先日DC2台のセキュアチャネルが破損してしまい、両方のサーバーでセキュアチャネルの修復を行いました。このセキュアチャネルの破損を事前に回避する方法、または起こりづらくする方法などはありますでしょうか。
原因となりえる要因を調べましたが、当環境ではどれも当てはまらなかったため通常の運用から回避策となりえるものがあればと思いご質問しました。例えば、両方のサーバーセキュアチャネルパスワードを更新の頻度を減らすなど←そんなことが出来るか分かりませんが、、、
oooohです。
コンピュータアカウントのパスワード更新の無効化の話なら下記を参照してください。
自動的なコンピュータアカウントパスワード変更を無効にする方法
チャブーンです。
この件ですが、端的にいえば「ドメインコントローラーの一部をシャットダウン運用することはやめる」ことをお奨めします。
実際はわかりませんが、現環境の保全目的(あるいは問題発生時の災害対策運用)でドメインコントローラーのネットワーク切断やコールドスタート運用をしているなら、やめることです。コンピューターアカウントのパスワード仕様はしたの資料にあるようになっていますが、ドメインコントローラーは自分自身にパスワード変更を行うため、資料よりも短い期間でパスワード不一致が発生する可能性が高いです。
https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/
ドメインコントローラーは基本的に「常時稼働している」ことが前提なので、その前提で運用設計を行うべきかと思います(常時稼働をしていればこの問題は起きません)。理由があって今の運用が変えられない、というなら、うえの資料にもありますが、パスワード変更の無効化を行うしかないでしょう。そこで発生するセキュリティリスクは、必然的に受け入れることになります。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
ご回答ありがとうございます。
このレジストリの変更はDCとクライアント間でパスワード更新がされないように設定したことはありますが、DCとDC間での更新にも有効ということでしょうか。
よろしくお願い致します。
フォーラムにご投稿くださいましてありがとうございます。
チャブーンさん も、適格なアドバイスをいただきありがとうございました。
またご存知の方おりましたら、ご意見を共有頂ければ本当に有難いです.
FAN
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
