Windowsドメインにログインできない／ドメイン参加できない時の原因と対処法まとめ【社内SE完全版】

nasubi

12時間前

Contents

はじめに
よくあるエラー
原因は大きく4つ
対処法①：まずネットワーク疎通を確認（最優先）
- LAN / Wi-Fi の基本チェック
- ドメインコントローラーへ疎通確認
対処法②：DNS設定の確認（ドメインログオンで最重要）
- 確認方法
- DNSキャッシュクリア
対処法③：ログイン時の入力形式を変えて試す
- 試すべき形式：
対処法④：ローカルアカウントでログインできるか確認
対処法⑤：時刻同期（時刻ズレはログイン不可の原因）
- 強制同期：
対処法⑥：資格情報の破損・古いキャッシュを削除
対処法⑦：SMB 1.0の有効化（古い環境限定）
- GUI手順
- PowerShell
対処法⑧：イベントログとNetsetup.logを確認
対処法⑨：「信頼関係に失敗しました」エラーの対応（PCアカウント破損）
対処法⑩：ドメイン“参加（JOIN）”自体ができない場合のチェックポイント
最終手段（社内SE向け）
まとめ

はじめに

会社のWindows PCで、「ドメインにログインできません」 または 「ドメインに参加できません」 と表示されるトラブルは、企業環境では非常に多く発生します。

特に以下のようなタイミングでよく起こります：

出社直後
ネットワーク変更・Wi-Fi切り替え後
パスワード期限切れ
PCを長期間オフラインで利用していた
大型Windows Update後

この記事では、社内SEが現場で実際に使う“成功率の高い順”の対処法をまとめます。

よくあるエラー

「ログオンに使用できるログオンサーバーがありません」
「このワークステーションとプライマリドメインとの信頼関係に失敗しました」
「ドメインに参加できませんでした（エラー0x***）」
「ユーザー名またはパスワードが正しくありません」

原因は大きく4つ

① ネットワーク／DNS問題（最も多い）
② キャッシュ資格情報の破損
③ ドメインコントローラー（DC）に到達できない
④ 信頼関係エラー（PCアカウント破損）

対処法①：まずネットワーク疎通を確認（最優先）

LAN / Wi-Fi の基本チェック

LANケーブルが抜けていないか
社内Wi-Fiに接続できているか
社内VPNが必要な環境ではVPN接続したか

ドメインコントローラーへ疎通確認

ping ドメイン名
ping DCサーバー名

応答なし → ネットワークかDC側が問題。

対処法②：DNS設定の確認（ドメインログオンで最重要）

ドメインログオンは必ず “社内DNS（＝ドメインコントローラー）” を参照する必要があります。

確認方法

ipconfig /all

優先DNSが DCのIPアドレスになっているか？
8.8.8.8 や 1.1.1.1 が混ざっていないか？（NG）

DNSキャッシュクリア

ipconfig /flushdns

対処法③：ログイン時の入力形式を変えて試す

Windowsがローカルアカウント／ドメインアカウントを誤認するとログインできません。

試すべき形式：

ドメイン名\ユーザー名
例：CORP\yamada

ユーザー名@ドメイン名
例：yamada@corp.local

→ 特に Windows 10/11 はUPN形式（ユーザー名＠ドメイン）を好む場合があるため両方試すのが確実。

対処法④：ローカルアカウントでログインできるか確認

.\Administrator
.\ユーザー名

ローカルアカウントで入れた場合、以下をチェック：

DNSが外部DNSになっていないか
ドメインコントローラーへ ping が通るか

対処法⑤：時刻同期（時刻ズレはログイン不可の原因）

Kerberos認証は時刻に非常に厳しいため、時計がズレているとログイン不能になります。

強制同期：

w32tm /resync

対処法⑥：資格情報の破損・古いキャッシュを削除

長期間オフライン使用でありがちなパターン。

control keymgr.dll

→ 古いドメイン資格情報を削除。

対処法⑦：SMB 1.0の有効化（古い環境限定）

古いドメイン・古いNAS環境では SMB1 が必要な場合があります。 ※セキュリティリスクがあるため必要な場合のみ。

GUI手順

コントロールパネル → プログラム → 「Windowsの機能」 → SMB 1.0 にチェック

PowerShell

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

対処法⑧：イベントログとNetsetup.logを確認

ドメイン参加やログオンの失敗は詳細ログで原因が分かります。

イベントビューア → Windowsログ → システム / セキュリティ
C:\Windows\Debug\netsetup.log

対処法⑨：「信頼関係に失敗しました」エラーの対応（PCアカウント破損）

最も厄介なエラーのひとつ。解決方法：

ローカル管理者でログイン
PCをドメインから一度離脱（Workgroupへ）
再度ドメイン参加（JOIN）

→ これでほぼ必ず復旧できます。

対処法⑩：ドメイン“参加（JOIN）”自体ができない場合のチェックポイント

1. Windowsエディション

Pro / Enterprise / Education → 参加OK
Home → ドメイン参加不可（仕様）

2. IPv6を一時無効化

名前解決トラブル時に有効。

3. 必要ポートがブロックされていないか

ファイアウォール／UTMで以下が必要：

DNS：53
Kerberos：88
LDAP：389 / 636
SMB：445

4. 参加権限の不足

権限不足の場合、エラー 0x569 が出ます。 AD側で管理者が参加権限を付与する必要があります。

最終手段（社内SE向け）

AD上の該当PCオブジェクトを「リセット」
PCを再Join
GPO適用状況を確認（gpresult /h report.html）
プロファイル破損時 → 新規プロファイル作成

まとめ

ドメインログイン／参加の失敗は、ほとんど以下のどれかです。

DNS設定が外部になっている
ネットワークが社内LANに接続できていない
時刻ズレ・資格情報破損
信頼関係エラー（PCアカウント破損）

「ネットワーク → DNS → 入力形式 → 時刻 → 資格情報 → 信頼関係」 この順で切り分けるとほとんど解決します。

社内SEの現場でも再現性が高い手順ですので、ぜひ参考にしてください。