none
サーバ障害「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」について

    質問

  • Windows Server 2008 R2 SP1 で運用しているファイルサーバが、突然、下記のような状態でアクセスできなくなりました。

    1.共有フォルダにアクセス出来ない
    2.サーバにログインして状況を確認しようとしたところ、通常使っているドメインのAdministratorでは、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」というエラーでログイン出来ない
    3.上記2は、リモートデスクトップアクセスでもローカルコンソールでもどちらも同じ
    4.ローカルのAdministratorではログイン可能
    5.外部からサーバへのPing応答は異常なし

    同エラーでは、ドメインへの再参加で解決するというような情報が多々ありますが、再起動で解決しています。



    なお、このトラブルの1週間ほど前に、メンテナンスでサーバを再起動した際、

    *** Hardware Malfunction 
    Call your hardware vendor for support 
    NMI: Parity Check / Memory Parity Error
    *** The system has halted ***
    といったエラーで起動が止まってしまい、電源の再投入で、問題なく起動したという現象が出ています。

    Hardware Malfunction については、サーバのハードウェアベンダーより、収集したハードウェア関連のログからは故障ではないと言われ、何も手当を出来ずそのまま使っています。



    <環境>

    ・ActiveDirectoryサーバ: Windows Server 2008 R2 SP1 2台
    ・DNSサーバ: 上記ActiveDirectoryに共存
    ・WINSサーバ: 上記ActiveDirectoryに共存
    ・ファイルサーバ導入ソフト: ハミングヘッズ セキュリティプラットフォーム(http://www.hummingheads.co.jp/sep/index.html)
    ・ファイルサーバ導入ソフト: ARCserve D2D
    ・ファイルサーバ導入ソフト: VMware vCenter Server
    ・ファイルサーバ構成: 仮想化でなく物理


    本障害の発生時は特に設定変更等の作業はしておらず、ファイルサーバ、ActiveDirectoryサーバのイベントログを全て確認しましたが、障害発生前後に特に目立ったログはありませんでした。



    上記の障害に関して、何か考えられる原因は無いでしょうか?

    よろしくお願いいたします。
    2012年10月29日 9:12

回答

  • まず、エラー メッセージ自体はセキュアチャネルが確立できなかったことを示すエラーです。
    現在問題ないかどうかは、ログオンしたうえで以下のコマンドを実施してみることでわかるかと思います。

    nltest /sc_verify:<ドメイン名>

    特に問題ない場合は、原因はわからないかもしれないです。

    ただ、ご質問のようなことが起こりうるシナリオを考えるとすれば以下のような状況が考えられます。

    1. DC01 と Server01 との間でコンピュータ アカウント パスワード変更が行われた
    2. DC01 と DC02 の間で一時的に複製が取れていない状況が発生していた
    3. このタイミングで Server01 が DC02 にログオン要求を送信した際にエラー発生
    4. Server01 再起動後は DC01 にログオン要求を送信 or DC01 と DC02 の間で複製が正常に完了していたためエラーにはならない

    いずれにせよ、まずは nltest で現在は問題がないのかの確認をすることが大事かと思います。



    • 編集済み a_pierrot 2012年10月31日 8:47 誤字修正
    • 回答としてマーク 星 睦美 2012年11月13日 1:31
    2012年10月31日 8:45

すべての返信

  • まず、エラー メッセージ自体はセキュアチャネルが確立できなかったことを示すエラーです。
    現在問題ないかどうかは、ログオンしたうえで以下のコマンドを実施してみることでわかるかと思います。

    nltest /sc_verify:<ドメイン名>

    特に問題ない場合は、原因はわからないかもしれないです。

    ただ、ご質問のようなことが起こりうるシナリオを考えるとすれば以下のような状況が考えられます。

    1. DC01 と Server01 との間でコンピュータ アカウント パスワード変更が行われた
    2. DC01 と DC02 の間で一時的に複製が取れていない状況が発生していた
    3. このタイミングで Server01 が DC02 にログオン要求を送信した際にエラー発生
    4. Server01 再起動後は DC01 にログオン要求を送信 or DC01 と DC02 の間で複製が正常に完了していたためエラーにはならない

    いずれにせよ、まずは nltest で現在は問題がないのかの確認をすることが大事かと思います。



    • 編集済み a_pierrot 2012年10月31日 8:47 誤字修正
    • 回答としてマーク 星 睦美 2012年11月13日 1:31
    2012年10月31日 8:45
  • 情報提供ありがとうございます。

    コマンドを実行してみました。

    >nltest /sc_verify:sbcr.local
    フラグ: b0 HAS_IP  HAS_TIMESERV
    信頼された DC 名 \\DC3.sbcr.local
    信頼された DC 接続状態 Status = 0 0x0 NERR_Success
    信頼の確認 Status = 0 0x0 NERR_Success
    コマンドは正常に完了しました

    特に問題はないようです。

    ご連絡いただいた起こりうるシナリオについては、

    1. パスワード変更は行なっていないので、可能性は考えにくいと思っています。
    2. DC01とDC02のイベントログを確認しましたが、特にエラーはなかったため、該当しないかも知れません。

    と思いますが、3・4かも知れません。

    一方、ハードウェアのほうでは、メインボードの交換と、メモリの確認(故障となれば交換)をしてもらうことになりましたので、まずは、こちらの様子を見ようと思います。

    再発等しましたら、また連絡させていただこうと思います。


    2012年11月6日 7:07
  • 現在は問題なさそうで何よりです。

    念のための補足ですが、記載したシナリオは切り離して考えられるものではなくすべて一連で一つのシナリオです。
    また、コンピュータ アカウント パスワードの変更はユーザーや管理者が意図として行うものではなくて、Active Directory 内でオンラインの DC とメンバーの間で自動的に行われるものです。
    この変更は意図的に無効にしない限り、既定では最後のパスワード変更から 30 日以上経過している状態で両者がオンラインの状態で行われます。

    http://technet.microsoft.com/ja-jp/library/cc785826(v=ws.10).aspx

     

    2012年11月6日 10:57