none
WindowsServerBackupからのリストアでセキュアチャネルの破損が発生する RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になります。

    Domain Controllers2台(1号機・2号機)、Active Directory内WorkStation5台あります。

    (すべてWindowsServer2016です)

    障害検証のためWorkStationのバックアップをWindowsServerBackupで取得し

    同一仕様の別筐体にリストアを実施し起動すると、ドメインアカウントでログイン不可となりました。

    nltest /sc_query:test.comを実施すると

    信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED

    と表示されセキュアチャネルが破損していました。

    ただリストアを取得した同一筐体を初期化しリストアを実施すると

    セキュアチャネルの破損は認められずドメインアカウントで正常にログイン出来ました。

    この場合バックアップを取得した筐体とリストアを実施した筐体が違うために発生したのでしょうか?

    2020年2月26日 1:14
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    ドメインにログオンできない ~ セキュア チャネルの破損 ~

    こちらに一般的なセキュア チャネルの破損原因が記載されていますが、バックアップを取得してからリストアするまで時間が経過していないでしょうか?

    Hebikuzure aka Murachi Akira

    2020年2月26日 8:17
    |
  • Question
    サインインして投票
    0
    サインインして投票

    気になりましたので検証してみました。

    Windowsバックアップでイメージを取得して他の端末に戻しても問題なくログインできました。ログイン後にnltestコマンドでも確認しましたがエラーも出ませんでした。

    2020年2月26日 12:49
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご指摘ありがとうございます。

    バックアップは2/4に取得し一昨日別筐体にリストア致しました。

    バックアップの有効期限として180日が初期値だと認識しておりますので
    問題ないかと思っております。

    2020年2月26日 22:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    検証ありがとうございます。

    検証頂いた結果正常にドメインアカウントでログインできたとなると

    原因は別の所にあるのかもしれません。

    もう少し当方でも検証してみます。

    2020年2月26日 22:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    バックアップを取得したのと同一筐体へのリストアでは問題が出ないのであれば、コンピューター アカウント パスワードの不一致が原因ではなさそうですね。

    DC 側のイベントログでは何か情報が見つかるでしょうか?

    Hebikuzure aka Murachi Akira

    2020年2月27日 0:33
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです

    バックアップ元となった筐体とバックアップをリストアした筐体で

    SIDが同じマシンが同一ドメイン上に一時的に2台いたということですよね?

    どちらかがドメイン落ちした状態にあるのはあたり前な気がしますが。

    また、セキュアチャネルの更新は180日ではなく30日(既定値)ですので

    30日以上前のイメージで復元する場合はドメイン落ちしている状態の場合があります。

    2020年2月27日 0:36
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ADSIエディターを起動して対象のコンピュータオブジェクトのpwdLastSet属性を確認すればいつ変更されたか確認可能ですよ。

    確認できた日時以前にバックアップを取得していて、その日時以降にリストアしていたなら想定の動きですね。

    バックアップ取得前に「nltest /sc_change_pwd:<ドメイン名>」で手動でパスワードを更新しておくとバックアップを取得した日から30日はもちますね。



    • 編集済み kaz8629 2020年2月27日 1:07
    2020年2月27日 0:56
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご教示ありがとうございます。

    リストア時、WindowsServerBackupを取得した筐体は停止しております。

    やはりセキュアチャネルの破損が原因なんですね。

    2020年3月2日 23:16
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご教示ありがとうございます。

    pwdLastSet属性をDC側で確認致しました。

    「dsquery * "CN=Administrator,CN=Users,DC=test,DC=local" -attr pwdLastSet」

    を実行しました。

      pwdLastSet
      132246541752959140

    の値が取得できましたので「 w32tm /ntte 132246541752959140」で変換し
    153063 03:02:55.2959140 - 2020/01/28 12:02:55

    となりしまた。

    この「2020/01/28 12:02:55」が最終更新日なので

    いくら最新のWindowsServerBackupを取得してもセキュアチャネルの破損は起こりえるのでしょうか?

    (この取得方法で合ってますでしょうか? 1/28日から更新されていないのが気になってます。

    administratorのパスワードは無期限にしておりますので、構築した際の日で止まっているのではと)

    2020年3月2日 23:24
    |
  • Question
    サインインして投票
    0
    サインインして投票
    ユーザーオブジェクトのpwdLastSetではなくて、バックアップを取得したコンピューターオブジェクトのpwdLastSetですよ!
    2020年3月2日 23:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご指摘ありがとうございます。

    再度取得したました。

    本日リストア対象OSを再インストール実施致しましたので

    「dsquery * "CN=Hogehoge,CN=Computers,DC=test,DC=local" -attr pwdLastSet」

    を実行し時間を変換し

    「w32tm /ntte 132276654463516877
    153097 23:30:46.3516877 - 2020/03/03 8:30:46」と表示されました。

    これですと3/3日から30日間はセキュアチャネルの破損は無く、リストアも無事完了する認識でよろしいでしょうか?

    2020年3月3日 0:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    バックアップを取得してからバックアップ取得元の端末でnltestを打ってパスワードを変更したり、ドメインに再参加させない限りパスワードは変更されないので30日は大丈夫かと思います。



    • 編集済み kaz8629 2020年3月3日 1:03
    2020年3月3日 1:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです

    バックアップ元OSが停止しているかは関係ないですね。

    AD上に管理されているSIDの問題なので。

    2020年3月4日 2:14
    |