原因
「コンピューターアカウント」のパスワード切れが原因です。
※コンピューターアカウントとユーザーアカウントは別のものです。
コンピューターアカウントのパスワードは、ドメインコントローラー(サーバー)とドメインメンバー(クライアント)が通信を行うときに使用されるものです。(通常、ユーザーは意識しません。)
このパスワードはサーバー側からクライアント側へ30日ごとに通知され、クライアントはその情報をローカルに保存します。
サーバー側には、現在のパスワードと1つ前に渡したパスワードを記録していて、このパスワードと一致しないクライアントとは通信できません。
(クライアントからログオンしようとすると「~このドメインにログオンできません。」と表示されてしまう。)
HD革命/WinProtectorを使用した場合を考えてみます。
ドメインに関する設定は行われている状態とします。→このときのパスワードをP1とします。
HD革命/WinProtectorを使用を続けて30日経過すると、新しいパスワードP2がサーバーから通知されます。
しかし、HD革命/WinProtectorで保護しているので、新しく通知されたパスワードP2はクライアントに保存されません(破棄される)
結果として、クライアントに保存されているパスワードはP1になりますが、サーバー側には、パスワードP1、P2の両方の情報を持っているのでサーバーとクライアントで通信可能です。
さらに30日が経過して、サーバーからさらに新しいパスワードP3が通知されます。
やはり、クライアント側はHD革命/WinProtectorで保護されているので、クライアントに保存されているパスワードはP1です。
サーバー側はパスワードP1の情報は無くなり、パスワードP2、P3の情報が保存されています。
結果、サーバーとクライアントに保存されているコンピューターアカウントのパスワード情報が一致しなくなり、ドメインにログオンできなくなります。
回避方法
この現象を回避するためには、以下の通りコンピューターアカウントのパスワードの更新を停止してみてください。
<クライアント側の設定>
(HD革命/WinProtectorの保護を解除してある状態で)グループポリシーエディタで、
[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]にある
「ドメイン メンバ : コンピュータ アカウント パスワード : 定期的な変更を無効にする」を "有効" にする
※グループポリシーエディタが起動できない場合は、レジストリエディタから
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
を開いて、DisablePasswordChange(DWORD値)の値を 1 にする。→DisablePasswordChangeがない場合は追加する。
<ドメイン側の設定>
グループポリシーエディタで
[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]にある
「ドメイン コントローラー : コンピュータ アカウント パスワードの変更を拒否する」を "有効" にする
※グループポリシーエディタが起動できない場合は、レジストリエディタから
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
を開いて、RefusePasswordChange(DWORD値)の値を 1 にする。→RefusePasswordChangeがない場合は追加する。
※レジストリキーの追加方法
