【セキュアチャネル破損】このワークステーションとプライマリ ドメインとの信頼関係に失敗しました【復旧】
2022.08.06
先日、ドメインユーザで会社のPCにサインインしようとしたところ、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とエラーメッセージが出て利用できないケースがありました。この場合の復旧手順について説明します。
「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」の意味
詳しく説明すると↓のようになりますが、ADサーバとクライアントPCのデータ不整合によって発生します。まぁ稀に発生します。
Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。
〜途中省略〜
何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア チャネルを確立することができなくなり、そのコンピュータからはドメインへのログオンができなくなります。これが、セキュアチャネルの破損と呼ばれる現象です。
Microsoft Technetフォーラムの投稿から
そんな不整合が一度起きてしまうと「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」とアラートが出て、以後、ドメインユーザでサインインができなくなってしまいます。
この状態を技術屋的に表現すると「セキュアチャネルの破損」と言ったりします。もちろん復旧可能です。ただし管理者権限は必要です。
「セキュアチャネル 破損」をコマンドとログで確認する
一応、間違いないとは思いますが、「セキュアチャネル破損」であることは確認しましょう。手順は簡単。
- ローカル管理者でPCにサインイン
- PowerShellを管理者で起動
- コマンド「Test-ComputerSecureChannel -verbose」を実行
破損している場合はFalse」、正常なら「True」が帰ってきます。今回は「False」でした。
もしくは、イベントログのシステムログに「Netlogon 3210 」のエラーイベントが出力されていれば、これも「セキュアチャネル破損」と考えて間違いないかと思います。
セキュアチャネル破損からの修復手順
セキュアチャネルの修復も簡単。確認手順と同じくコマンドが簡単です。
- ローカル管理者でPCにサインイン
- PowerShellを管理者で起動
- コマンド「Test-ComputerSecureChannel -Repair -Credential “ドメイン名”\”ドメイン管理者ユーザー”」を実行
- 認証窓が表示されたら、↑の管理者ユーザのパスワードを入力
セキュアチャネルが正常に修復できた場合は「True」が帰ってきます。手順はこれだけ。
もしくは、ドメイン再参加でも復旧は可能です。むしドメイン再参加のほうが一般的な手順かも。ただ再起動も2回必要で地味に面倒。
Windowsでドメインから一度抜けて、再度ドメイン参加する具体的な方法 | IT trip
様々な理由から1度Windowsのドメインを抜け再度ドメインに参加しなければならない場合があると思います。ドメインの再参加は以下の手順となります。 1.ドメインを抜ける ドメイン...
久しぶりに技術者らしいことをしました。ちょっと楽しかった。
今はSEでも何でもない雑用係。とほほ。
先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。
表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。
最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。
対処することができたので、メモを残します。
【症状】
症状は前述の通りです。
ドメインユーザーでログインしようとするとメッセージが表示されてログインすることができません。
【原因】
原因は、セキュアチャネルの破損が主な原因となります。
セキュアチャネルとは、ドメインサーバーとクライアントマシンが安全に通信する仕組みで、互いにアカウントとパスワードを保持するものです。
この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。
このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。
【対処法】
対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。
もし、まだドメインユーザーでログインできる状態なら良いのですが、全ユーザーがロックされてしまった場合は、ローカルユーザーでログインする必要があります。
ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。
私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。
せめてPC使用するメンバー(最低限管理者)でローカルユーザーのIDとパスワードを共有しておく必要があるなと思いました。
修復の方法ですが、
- 管理者権限のユーザーでログイン
- 「コントロールパネル」⇒「システム」⇒「システムの詳細設定」⇒「コンピューター名」を開きます
- 「変更」ボタンを押下
- 「所属するグループ」で”ドメイン”にチェックが入っていると思うので、”ワークグループ”にチェックを入れ、適当なグループ名を設定します(WORK_GROUPで良いと思います)
※この時、ドメイン名をメモしておきましょう - 「OK」ボタンを押下して、ウィンドウを閉じていきます
- 再起動を要求されるので、PCを再起動します(いいえを押した場合は、後ほど再起動してください)
- 再起動したら、ローカルユーザーでログイン
- 2、3の手順を行い、4の手順で今度は”ドメイン”にチェックを入れて、メモしていたドメイン名を入力します
- 「OK」ボタンを押下します
- ドメインのパスワードを求められるので入力します(分からない場合はドメインの管理者に確認を)
- 「○○へようこそ!」のようなメッセージが表示されれば作業完了です
これで再びドメインユーザーでログインできるようになります。
他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。
コマンドで復旧する場合はログインできるユーザーがいないとダメですしね。。。
ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。\(^o^)/
その場合は、Windowsを出荷状態に戻す作業で復活させられますよ。(データファイルは残りますが、アプリは要再インストール)
今回のマシンですが、Windows Updateを行った翌日に発生しました。
関連性のほどははっきりしませんが、一応記載しておきますね。
ちなみに、別件で明らかにWindows
Updateが原因の障害(ログイン後に画面がブラックアウト)も発生したので、同Updateに起因する障害である確率は高いと思っています。
こちらの対処法も後日記事にします。
Mask_Siva
北の試される大地に生息しているSEです。
楽しみながらプログラムを作ったり、ゲームで遊んだりしています。
目次
- 現象
- 考えられる原因
- 対処方法
- 操作手順 Windows7の場合
現象
【対象】Active Directory環境(ドメイン参加)のWindowsパソコン
【現象】
ユーザ名/パスワード入力後ログオンしようとすると、下記エラーが表示されログオンが出来ない
「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示される。
考えられる原因
クライアント側とサーバ側(ドメインコントローラ)で保持されるセキュアチャネルの情報が一致せずログオンに失敗します
多くは、クライアント側で保持されるセキュアチャネルの破損が原因として考えられます
※補足 原因となる事例の一例
「スリープモードを有効にしていると同様の現象が起こる」という事例があります。
スリープモード有効時、スリープになった時点で、ネットワークのセッションが切断され復旧後も既存のネットワーク接続に支障が出る場合があります。
その場合、ネットワークデバイスの設定の中で[電力の節約のために、コンピューターでこのデバイスの電源をオフにできるようにする]という設定をオフにする、もしくはスリープモード自体を無効にするして安定稼働をした事例もあります
対処方法
セキュアチャネル破損時の対処は、ドメインの再参加作業が必要です
以下の操作を実施してください。再起動が合計2回必要な作業になります。
【事前確認】
ドメインからワークグループに変更する前に、必ずPCのローカル管理者の権限を持つローカルアカウントが有効でログオンできる状態になっている事を確認して作業を行います
※キャッシュログオンしたユーザが、コンピュータのAdministratorsに入っている場合、またはDomain Usersが入っている場合は、管理者ユーザの有効化、またはローカル管理者を新規に作成可能です。
操作手順 Windows7の場合
- ローカルの管理者ユーザーでログオンします
※通常ドメインでログオンをしている場合、ユーザー名は[コンピュータ名ー¥ユーザー名]という形式で入力します - 「コンピュータ」を右クリックし、「プロパティ」を開きます
※コントロールパネル内にある[システム]を開いても同様の画面になります - 「設定の変更」を選択し、「変更」をクリックします
- 「ワークグループ」にチェックを入れて、任意の文字を入力します
※注 元のドメインに記載されている内容は再利用しますので内容を控えます
- 認証画面が表示されますので、権限のあるユーザーのID、パスワードを入力します。
- メッセージに従い設定を反映させクライアントPCを再起動します。
- ローカルユーザの管理者でログインします
※ 手順1と同様の操作です - 「コンピュータ」を右クリックし、「プロパティ」を開きます
※ 手順2と同様の操作です - 「設定の変更」を選択し、「変更」をクリックします
※ 手順3と同様の操作です
- 「ドメイン」にチェックを入れて、当該のドメイン名を入力します
※ 手順4で控えたドメイン名を入力します
- 認証画面が表示されますので、権限のあるユーザーのID、パスワードを入力します
- メッセージに従い設定を反映させクライアントPCを再起動します
- 再起動後、LANケーブルを抜いている場合は接続をしてから、ログオンが出来る事を確認します
- ログオンが可能になりましたら操作は完了です