ドメインに参加済みのクライアントPCにおいて、ドメイン ユーザでログオン(サインイン)出来ない場合の対処法になります。
特に、修復が可能なTest-ComputerSecureChannel コマンドレットは覚えておくべきだと思います。
3行で分かる、この記事の内容
- ドメインにログオンできない理由の一つにセキュア チャネルの破損がある
- 対処法は、「ドメインの再参加」と「Test-ComputerSecureChannel -Repair」の実行がある
- 「Test-ComputerSecureChannel -Repair」は、管理者権限を持つローカル ユーザで実行すべし
ドメインにサインイン出来ない理由の一つ~セキュア チャネルの破損
セキュア チャネルは、クライアント~ドメイン コントローラー(DC)間の通信を保護するための通信チャネルで、認証時の資格情報を暗号化するそうです。破損する原因はいくつかあり、イベント ビューアのシステム ログには下記のように記録されるとのこと。
- クライアント - Netlogon 3210
- ドメイン コントローラ - Netlogon 5722
下記記事は2009年のものですが、非常に勉強になりました。
ドメインにログオンできない ~ セキュア チャネルの破損 ~ Ask the Network & AD Support Teamなお、本文中に出てくる「コンピューター アカウントのリセット」は下記サイトから確認できます。
コンピューター アカウントをリセットする - Windows Server
Test-ComputerSecureChannel コマンドレット
PowerShell 2.0から使える、Test-ComputerSecureChannel コマンドレットは、- ローカル コンピューターとドメインの間のセキュリティで保護されたセキュア チャネルをテスト
- Repair パラメータを使用する事でセキュア チャネルを修復
Hey, Scripting Guy! Blogには、実行結果がFalseだった場合に修復するサンプル スクリプトがありました。非常に便利!
>if(!(Test-ComputerSecureChannel)){Test-ComputerSecureChannel -Repair}
ローカル Administrators グループのユーザで実行
-Repair パラメータ付コマンドレットを実行する場合は、このパラメーターを使用するには、現在のユーザーは、ローカル コンピューター上の Administrators グループのメンバーである必要があります。
Test-ComputerSecureChannel コマンドレットは、管理者権限を持つローカル アカウントでサインイン(ログオン)してから実行しましょう。