none
このワークステーションとプライマリ ドメインとの信頼関係に失敗する

    質問

  • お世話になっております。

    Windows7をAD配下で使用しております。

    たまにユーザ様の問い合わせで、ログインできなくなったと連絡がきます。

    「このワークステーションとプライマリ ドメインとの信頼関係に失敗する」のメッセージが表示されます。

    管理者権限でログインし、一度ワークグループ名を入力し再起動⇒管理者でログイン⇒ドメイン参加し再起動⇒ユーザ様ログイン完了

    これでもダメな場合システムの復元をしております。

    そこで何点か質問があります。

    ①なぜ信頼関係に失敗するのか?②なぜ多発するのか?

    ③解決策はないのか?

    ご教示お願いいたします。

    2014年9月12日 0:59

回答

  • チャブーンです。

    なぜ多発するのか、についてですが、原因についてMSのブログ(他の方からご紹介がありますね)に記述があるようです。

    http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

    ----
    4.セキュア チャネルが破損する原因は?

    セキュア チャネルが破損する原因は様々ですが、一般的には下記のような状況で発生することが多いようです。

    • クライアントがバックアップからリストアされた際に、クライアントの保持するパスワードが古いパスワードに書き換えられ、DC が保持するコンピューター アカウントのパスワードと不整合が生じた場合
    • DC 上の Active Directory のデータベースがバックアップから復元された際に、DC が保持するコンピューター アカウントの��スワードが古いパスワードに書き換えられ、クライアントの保持するパスワードと不整合が生じた場合
    • クライアントのドメイン参加後、DC 上の管理ツールなどで、当該のコンピューターアカウントが一旦削除され、再度同じコンピューター名のアカウントが作成された場合
    • クライアントのドメイン参加後、DC 上の管理ツールなどで、当該のコンピューターアカウントに対して "アカウントのリセット" が実施された場合
    • クライアントで使用されていたコンピューター名が他のクライアントで使用され、ドメインへのログオンなどが行われた場合
    • サード パーティ製のアプリケーションにより、クライアントもしくは DC が保持するコンピューター アカウントのパスワードに関する情報を書き換えたために不整合が生じた場合
    • ファイルの破損、ディスクへの書き込みのエラーなどで、DC 上の Active Directory データベースに問題が生じた。もしくは、同じ理由でクライアントの保持するパスワードに問題が生じた場合

    上記の中でも、特に弊社に寄せられるお問い合わせが多いケースとしては、クライアントコンピューターをバックアップからリストアした場合です。

    コンピューター アカウントのパスワードは、既定では 30日間隔で自動的に更新されます。このため、クライアントと DC のいずれか一方のみを古いバックアップデータからリストアすると、片方に古いコンピューター アカウントのパスワードが復元されてしまい、不整合が生じることが原因です。

    もちろん、これら以外の理由でもセキュア チャネルが破損する可能性はあるのですが、ほとんどの場合は問題発生後の事後調査となってしまうため、最終的に原因がわからないことが多いというのが実情です。
    ---- 

    追記:ただ「30日間繋がなかったクライアント」が常に問題を起こすわけではありません。コンピュータパスワードの変更は「常にクライアント側から要求」され、ドメインコントローラ側で勝手に変更されることはありません。単に30日以上繋がなかった場合、クライアントからのパスワード変更要求が起こり実際にパスワードが変わるまで、ドメインコントローラ側のコンピュータパスワードは以前のままなので、不整合が起こることはありません。

    2014年9月12日 5:34
  • ドメインとクライアントは自動的にコンピューターオブジェクトに対するパスワード設定を行いセキュリティで
    保護された通信である”セキュアチャネル”を確立しています。

    この設定はグループポリシーによって制御されており、デフォルトの状態では30日毎にパスワードを
    変更する設定になっています。

    セキュア チャネルの破損が考えられます。
    http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

    原因はいろいろあるようです。
    上記リンクの「4.セキュアチャネルが破損する原因は?」を参照。

    私の経験では、長期(30日以上)ドメインネットワークに接続されていなかったPCを利用しようとした場合。
    例えば・・・・
     ・予備機などの位置づけPCや産休に入った社員所有の長期利用されていなかったPC
     ・ 社外への持ち出し状態で、社内ネットワーク(ドメイン)に接続していなかったPC
     ・検証環境下でADは起動してたが、クライアントPCはシャットダウンしていた場合に、
      いざ、クライアントPCを利用しようとした場合

    これらは、ADとクライアントPCに持っているコンピュータアカウントパスワードの不一致により発生します。

    解決策、回避策はいくつかあります。

    ■解決策
    1.
    コンピュータアカウントパスワードのリセット
    AD
    の管理ツールから対象となるコンピュータアカウントを選択して、リセットします。
    下記を参考にすると操作イメージがわかると思います。
    <http://news.mynavi.jp/series/AD/033/>

    2.
    ドメインの再参加
    すでに実施されている通り、ドメインの再参加となります。
    http://support.microsoft.com/kb/2771040/ja


    ■回避策
    コンピュータアカウントパスワードの有効期間の変更や拒否を設定する方法です。

    グループポリシーとしては3つ用意されてます。
     [
    コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-
     [
    ローカルポリシー]-[セキュリティオプション]
              ┣[ドメインコントローラー:コンピューターアカウントのパスワードの変更を拒否する]
              ┣[ドメインメンバー:コンピューターアカウントパスワード:定期的な変更を無効にする]
              ┗[ドメインメンバー:最大コンピューターアカウントのパスワード有効期間]

    GPOの変更については、セキュリティの観点も考慮しながら必要に応じて設定して頂ければと思います。
    2014年9月12日 2:35
  • oooohです。

    そういえばADサーバは複数台構成でしょうか。

    チャブーン様の追記文を読んでいて思いましたが、AD間の同期タイミング設定によっては

    ログオン要求サーバとクライアント間で一時的にコンピュータアカウントのパスワードの不整合が生じる可能性が

    あるのかな?とちょっと思いました。

    業務に差支えなければ「このワークステーションとプライマリ ~」のメッセージが出ているパソコンを

    なにもせずに一日放置してログオンできるようになるか見てみてはいかがでしょうか。

    ※そもそも複数台構成じゃない場合は忘れてください。

    2014年9月12日 7:14

すべての返信

  • ドメインとクライアントは自動的にコンピューターオブジェクトに対するパスワード設定を行いセキュリティで
    保護された通信である”セキュアチャネル”を確立しています。

    この設定はグループポリシーによって制御されており、デフォルトの状態では30日毎にパスワードを
    変更する設定になっています。

    セキュア チャネルの破損が考えられます。
    http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

    原因はいろいろあるようです。
    上記リンクの「4.セキュアチャネルが破損する原因は?」を参照。

    私の経験では、長期(30日以上)ドメインネットワークに接続されていなかったPCを利用しようとした場合。
    例えば・・・・
     ・予備機などの位置づけPCや産休に入った社員所有の長期利用されていなかったPC
     ・ 社外への持ち出し状態で、社内ネットワーク(ドメイン)に接続していなかったPC
     ・検証環境下でADは起動してたが、クライアントPCはシャットダウンしていた場合に、
      いざ、クライアントPCを利用しようとした場合

    これらは、ADとクライアントPCに持っているコンピュータアカウントパスワードの不一致により発生します。

    解決策、回避策はいくつかあります。

    ■解決策
    1.
    コンピュータアカウントパスワードのリセット
    AD
    の管理ツールから対象となるコンピュータアカウントを選択して、リセットします。
    下記を参考にすると操作イメージがわかると思います。
    <http://news.mynavi.jp/series/AD/033/>

    2.
    ドメインの再参加
    すでに実施されている通り、ドメインの再参加となります。
    http://support.microsoft.com/kb/2771040/ja


    ■回避策
    コンピュータアカウントパスワードの有効期間の変更や拒否を設定する方法です。

    グループポリシーとしては3つ用意されてます。
     [
    コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-
     [
    ローカルポリシー]-[セキュリティオプション]
              ┣[ドメインコントローラー:コンピューターアカウントのパスワードの変更を拒否する]
              ┣[ドメインメンバー:コンピューターアカウントパスワード:定期的な変更を無効にする]
              ┗[ドメインメンバー:最大コンピューターアカウントのパスワード有効期間]

    GPOの変更については、セキュリティの観点も考慮しながら必要に応じて設定して頂ければと思います。
    2014年9月12日 2:35
  • oooohです。

    私の考えも概ねt_otani様の仰るとおりです。

    セキュアチャネルのキー交換がうまくいっていないのでしょう。

    クライアント側のイベントビューアにNetlogon3210がありませんか?

    t_otani様の補足となりますが、

    PowerShellのTest-ComputerSecureChannelも有効ですので宜しければお試しください。

    また、ドメイン再参加を行う際はコンピュータアカウントのリセットではなく一旦削除する方がよいかもしれません。

    それから、根本的な解決を目指すのであればDNS名前解決やファイアウォールの設定、セグメント越え等で、

    クライアント(またはサーバ)からのコンピュータアカウントパスワードの変更が

    拒絶されている理由を調査する必要がありそうです。

    2014年9月12日 3:01
  • チャブーンです。

    なぜ多発するのか、についてですが、原因についてMSのブログ(他の方からご紹介がありますね)に記述があるようです。

    http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx

    ----
    4.セキュア チャネルが破損する原因は?

    セキュア チャネルが破損する原因は様々ですが、一般的には下記のような状況で発生することが多いようです。

    • クライアントがバックアップからリストアされた際に、クライアントの保持するパスワードが古いパスワードに書き換えられ、DC が保持するコンピューター アカウントのパスワードと不整合が生じた場合
    • DC 上の Active Directory のデータベースがバックアップから復元された際に、DC が保持するコンピューター アカウントの��スワードが古いパスワードに書き換えられ、クライアントの保持するパスワードと不整合が生じた場合
    • クライアントのドメイン参加後、DC 上の管理ツールなどで、当該のコンピューターアカウントが一旦削除され、再度同じコンピューター名のアカウントが作成された場合
    • クライアントのドメイン参加後、DC 上の管理ツールなどで、当該のコンピューターアカウントに対して "アカウントのリセット" が実施された場合
    • クライアントで使用されていたコンピューター名が他のクライアントで使用され、ドメインへのログオンなどが行われた場合
    • サード パーティ製のアプリケーションにより、クライアントもしくは DC が保持するコンピューター アカウントのパスワードに関する情報を書き換えたために不整合が生じた場合
    • ファイルの破損、ディスクへの書き込みのエラーなどで、DC 上の Active Directory データベースに問題が生じた。もしくは、同じ理由でクライアントの保持するパスワードに問題が生じた場合

    上記の中でも、特に弊社に寄せられるお問い合わせが多いケースとしては、クライアントコンピューターをバックアップからリストアした場合です。

    コンピューター アカウントのパスワードは、既定では 30日間隔で自動的に更新されます。このため、クライアントと DC のいずれか一方のみを古いバックアップデータからリストアすると、片方に古いコンピューター アカウントのパスワードが復元されてしまい、不整合が生じることが原因です。

    もちろん、これら以外の理由でもセキュア チャネルが破損する可能性はあるのですが、ほとんどの場合は問題発生後の事後調査となってしまうため、最終的に原因がわからないことが多いというのが実情です。
    ---- 

    追記:ただ「30日間繋がなかったクライアント」が常に問題を起こすわけではありません。コンピュータパスワードの変更は「常にクライアント側から要求」され、ドメインコントローラ側で勝手に変更されることはありません。単に30日以上繋がなかった場合、クライアントからのパスワード変更要求が起こり実際にパスワードが変わるまで、ドメインコントローラ側のコンピュータパスワードは以前のままなので、不整合が起こることはありません。

    2014年9月12日 5:34
  • t_otani様

    ありがとうございます。 まだまだADなどは初心者なのでわからないことが多くいですが、

    調べてみたいと思います。

    2014年9月12日 6:21
  • ooooh様

    回答ありがとうございます。

    一度ドメインから削除して、再参加してみたいと思います。

    2014年9月12日 6:22
  • チャブーン様

    回答ありがとうございます。 原因がわからないことが多いのですね。


    2014年9月12日 6:24
  • oooohです。

    そういえばADサーバは複数台構成でしょうか。

    チャブーン様の追記文を読んでいて思いましたが、AD間の同期タイミング設定によっては

    ログオン要求サーバとクライアント間で一時的にコンピュータアカウントのパスワードの不整合が生じる可能性が

    あるのかな?とちょっと思いました。

    業務に差支えなければ「このワークステーションとプライマリ ~」のメッセージが出ているパソコンを

    なにもせずに一日放置してログオンできるようになるか見てみてはいかがでしょうか。

    ※そもそも複数台構成じゃない場合は忘れてください。

    2014年9月12日 7:14
  • ooooh様

    返信が遅くなり申し訳ございません。

    ADは複数台構成しております。 社内ではAD間の同期タイミング設定によっては不整合が生じる可能性があるということは認識していました。(私だけ認識が出来ていません)

    回答ありがとうございました。おかげさまで知識が増える事が出来ました。


    2014年9月16日 2:18