プライマリドメインとの信頼関係に失敗しました windows10

【セキュアチャネル破損】このワークステーションとプライマリ ドメインとの信頼関係に失敗しました【復旧】

2022.08.06

先日、ドメインユーザで会社のPCにサインインしようとしたところ、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とエラーメッセージが出て利用できないケースがありました。この場合の復旧手順について説明します。

「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」の意味

詳しく説明すると↓のようになりますが、ADサーバとクライアントPCのデータ不整合によって発生します。まぁ稀に発生します。

Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。

〜途中省略〜

何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア チャネルを確立することができなくなり、そのコンピュータからはドメインへのログオンができなくなります。これが、セキュアチャネルの破損と呼ばれる現象です。

Microsoft Technetフォーラムの投稿から

そんな不整合が一度起きてしまうと「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とアラートが出て、以後、ドメインユーザでサインインができなくなってしまいます。

この状態を技術屋的に表現すると「セキュアチャネルの破損」と言ったりします。もちろん復旧可能です。ただし管理者権限は必要です。

「セキュアチャネル 破損」をコマンドとログで確認する

一応、間違いないとは思いますが、「セキュアチャネル破損」であることは確認しましょう。手順は簡単。

1. ローカル管理者でPCにサインイン
2. PowerShellを管理者で起動
3. コマンド「Test-ComputerSecureChannel -verbose」を実行

破損している場合はFalse」、正常なら「True」が帰ってきます。今回は「False」でした。

もしくは、イベントログのシステムログに「Netlogon 3210 」のエラーイベントが出力されていれば、これも「セキュアチャネル破損」と考えて間違いないかと思います。

セキュアチャネル破損からの修復手順

セキュアチャネルの修復も簡単。確認手順と同じくコマンドが簡単です。

1. ローカル管理者でPCにサインイン
2. PowerShellを管理者で起動
3. コマンド「Test-ComputerSecureChannel -Repair -Credential “ドメイン名”\”ドメイン管理者ユーザー”」を実行
4. 認証窓が表示されたら、↑の管理者ユーザのパスワードを入力

セキュアチャネルが正常に修復できた場合は「True」が帰ってきます。手順はこれだけ。

もしくは、ドメイン再参加でも復旧は可能です。むしドメイン再参加のほうが一般的な手順かも。ただ再起動も2回必要で地味に面倒。

Windowsでドメインから一度抜けて、再度ドメイン参加する具体的な方法 | IT trip

様々な理由から1度Windowsのドメインを抜け再度ドメインに参加しなければならない場合があると思います。ドメインの再参加は以下の手順となります。 １．ドメインを抜ける ドメイン...

久しぶりに技術者らしいことをしました。ちょっと楽しかった。

今はSEでも何でもない雑用係。とほほ。

先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。

表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。

最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。

対処することができたので、メモを残します。

【症状】

症状は前述の通りです。
ドメインユーザーでログインしようとするとメッセージが表示されてログインすることができません。

【原因】

原因は、セキュアチャネルの破損が主な原因となります。
セキュアチャネルとは、ドメインサーバーとクライアントマシンが安全に通信する仕組みで、互いにアカウントとパスワードを保持するものです。

この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。

このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。

【対処法】

対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。
もし、まだドメインユーザーでログインできる状態なら良いのですが、全ユーザーがロックされてしまった場合は、ローカルユーザーでログインする必要があります。

ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。

私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。
せめてPC使用するメンバー（最低限管理者）でローカルユーザーのIDとパスワードを共有しておく必要があるなと思いました。

修復の方法ですが、

1. 管理者権限のユーザーでログイン
2. 「コントロールパネル」⇒「システム」⇒「システムの詳細設定」⇒「コンピューター名」を開きます
3. 「変更」ボタンを押下
4. 「所属するグループ」で”ドメイン”にチェックが入っていると思うので、”ワークグループ”にチェックを入れ、適当なグループ名を設定します（WORK_GROUPで良いと思います）
   ※この時、ドメイン名をメモしておきましょう
5. 「OK」ボタンを押下して、ウィンドウを閉じていきます
6. 再起動を要求されるので、PCを再起動します（いいえを押した場合は、後ほど再起動してください）
7. 再起動したら、ローカルユーザーでログイン
8. 2、3の手順を行い、4の手順で今度は”ドメイン”にチェックを入れて、メモしていたドメイン名を入力します
9. 「OK」ボタンを押下します
10. ドメインのパスワードを求められるので入力します（分からない場合はドメインの管理者に確認を）
11. 「○○へようこそ！」のようなメッセージが表示されれば作業完了です

これで再びドメインユーザーでログインできるようになります。

他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。
コマンドで復旧する場合はログインできるユーザーがいないとダメですしね。。。

ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。＼(^o^)／
その場合は、Windowsを出荷状態に戻す作業で復活させられますよ。（データファイルは残りますが、アプリは要再インストール）

今回のマシンですが、Windows Updateを行った翌日に発生しました。
関連性のほどははっきりしませんが、一応記載しておきますね。

ちなみに、別件で明らかにWindows Updateが原因の障害（ログイン後に画面がブラックアウト）も発生したので、同Updateに起因する障害である確率は高いと思っています。
こちらの対処法も後日記事にします。

Mask_Siva

北の試される大地に生息しているSEです。
楽しみながらプログラムを作ったり、ゲームで遊んだりしています。