先日、ドメインユーザで会社のPCにサインインしようとしたところ、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とエラーメッセージが出て利用できないケースがありました。この場合の復旧手順について説明します。
「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」の意味
詳しく説明すると↓のようになりますが、ADサーバとクライアントPCのデータ不整合によって発生します。まぁ稀に発生します。
Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。
〜途中省略〜
何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア チャネルを確立することができなくなり、そのコンピュータからはドメインへのログオンができなくなります。これが、セキュアチャネルの破損と呼ばれる現象です。
Microsoft Technetフォーラムの投稿から
そんな不整合が一度起きてしまうと「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とアラートが出て、以後、ドメインユーザでサインインができなくなってしまいます。
この状態を技術屋的に表現すると「セキュアチャネルの破損」と言ったりします。もちろん復旧可能です。ただし管理者権限は必要です。
「セキュアチャネル 破損」をコマンドとログで確認する
一応、間違いないとは思いますが、「セキュアチャネル破損」であることは確認しましょう。手順は簡単。
- ローカル管理者でPCにサインイン
- PowerShellを管理者で起動
- コマンド「Test-ComputerSecureChannel -verbose」を実行
破損している場合はFalse」、正常なら「True」が帰ってきます。今回は「False」でした。
もしくは、イベントログのシステムログに「Netlogon 3210 」のエラーイベントが出力されていれば、これも「セキュアチャネル破損」と考えて間違いないかと思います。
セキュアチャネル破損からの修復手順
セキュアチャネルの修復も簡単。確認手順と同じくコマンドが簡単です。
- ローカル管理者でPCにサインイン
- PowerShellを管理者で起動
- コマンド「Test-ComputerSecureChannel -Repair -Credential “ドメイン名”\”ドメイン管理者ユーザー”」を実行
- 認証窓が表示されたら、↑の管理者ユーザのパスワードを入力
セキュアチャネルが正常に修復できた場合は「True」が帰ってきます。手順はこれだけ。
もしくは、ドメイン再参加でも復旧は可能です。むしドメイン再参加のほうが一般的な手順かも。ただ再起動も2回必要で地味に面倒。
久しぶりに技術者らしいことをしました。ちょっと楽しかった。
今はSEでも何でもない雑用係。とほほ。
コメント