2014/05/12

セキュア チャネル破損により、ドメインにログオンできない~Test-ComputerSecureChannel

Windows Server 2012 R2 Essentialsのトラブルシューティング中に見つけた内容をメモ。
ドメインに参加済みのクライアントPCにおいて、ドメイン ユーザでログオン(サインイン)出来ない場合の対処法になります。
特に、修復が可能なTest-ComputerSecureChannel コマンドレットは覚えておくべきだと思います。

3行で分かる、この記事の内容

  • ドメインにログオンできない理由の一つにセキュア チャネルの破損がある
  • 対処法は、「ドメインの再参加」と「Test-ComputerSecureChannel -Repair」の実行がある
  • 「Test-ComputerSecureChannel -Repair」は、管理者権限を持つローカル ユーザで実行すべし

ドメインにサインイン出来ない理由の一つ~セキュア チャネルの破損

セキュア チャネルは、クライアント~ドメイン コントローラー(DC)間の通信を保護するための通信チャネルで、認証時の資格情報を暗号化するそうです。
破損する原因はいくつかあり、イベント ビューアのシステム ログには下記のように記録されるとのこと。
  • クライアント - Netlogon 3210
  • ドメイン コントローラ - Netlogon 5722
対処法は「ドメインの再参加」になるそうです。非常に面倒ですね・・・
下記記事は2009年のものですが、非常に勉強になりました。
ドメインにログオンできない ~ セキュア チャネルの破損 ~ Ask the Network & AD Support Team
なお、本文中に出てくる「コンピューター アカウントのリセット」は下記サイトから確認できます。
コンピューター アカウントをリセットする - Windows Server

Test-ComputerSecureChannel コマンドレット

PowerShell 2.0から使える、Test-ComputerSecureChannel コマンドレットは、
  1. ローカル コンピューターとドメインの間のセキュリティで保護されたセキュア チャネルをテスト
  2. Repair パラメータを使用する事でセキュア チャネルを修復
する事が出来ます。
Hey, Scripting Guy! Blogには、実行結果がFalseだった場合に修復するサンプル スクリプトがありました。非常に便利!
>if(!(Test-ComputerSecureChannel)){Test-ComputerSecureChannel -Repair}
ローカル Administrators グループのユーザで実行
-Repair パラメータ付コマンドレットを実行する場合は、
このパラメーターを使用するには、現在のユーザーは、ローカル コンピューター上の Administrators グループのメンバーである
必要があります。
Test-ComputerSecureChannel コマンドレットは、管理者権限を持つローカル アカウントでサインイン(ログオン)してから実行しましょう。
参考にしたサイト
スポンサーリンク

スポンサーリンク