AD に参加している PC にログインしようとすると、「このワークステーションとプライマリドメインとの信頼関係に失敗しました」という表示が出て、どうやってもログインできないことがあります。 そもそもの日本語がちょっと変なので、何を言っているのかわかり辛いですが、これは "The trust relationship between this workstation and the primary domain failed." を直訳したもののようです。 なんとなく AD の問題であって、こういうのはドメインからの一度該当のマシンを外して、ドメインに再参加すれば修正できるだろうというは分かります。実際に MS の公式な解説でもそのようなページも見つかります*1が、さらにいろいろと調べてみたらPowerShell を使うと意外と簡単に修復できることが分かりました。 † 確認方法 一番面倒なのは、何らかの方法で該当のマシンにログインする必要があることでしょうか。 nltest /sc_query:example.jp 問題が発生している場合 0x5 ERROR_ACCESS_DENIED という戻り値が返ってくることが確認できます。 † 修正方法 修正は PowerShell を管理者権限で起動して実施します。 Test-ComputerSecureChannel -Repair -Credential DOMAIN_NAME\DOMAIN_ADMIN 上記の作業が完了したら、確認方法に記載してある nltest を使って、コマンドが 0x0 NERR_Success を返すことを確認します。 † エラーの発生はセキュアチャネルの破損 この現象の発生メカニズムについては「ドメインにログオンできない ~ セキュア チャネルの破損
~」に公式の詳細な解説があります。 先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。 表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。 最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。 対処することができたので、メモを残します。 【症状】症状は前述の通りです。 【原因】原因は、セキュアチャネルの破損が主な原因となります。 この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。 このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。 【対処法】対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。 ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。 私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。 修復の方法ですが、
これで再びドメインユーザーでログインできるようになります。 他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。 ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。\(^o^)/ 今回のマシンですが、Windows Updateを行った翌日に発生しました。 ちなみに、別件で明らかにWindows
Updateが原因の障害(ログイン後に画面がブラックアウト)も発生したので、同Updateに起因する障害である確率は高いと思っています。 Mask_Siva北の試される大地に生息しているSEです。 「コンピューターアカウント」のパスワード切れが原因です。 コンピューターアカウントのパスワードは、ドメインコントローラー(サーバー)とドメインメンバー(クライアント)が通信を行うときに使用されるものです。(通常、ユーザーは意識しません。) このパスワードはサーバー側からクライアント側へ30日ごとに通知され、クライアントはその情報をローカルに保存します。 サーバー側には、現在のパスワードと1つ前に渡したパスワードを記録していて、このパスワードと一致しないクライアントとは通信できません。 HD革命/WinProtectorを使用した場合を考えてみます。 ドメインに関する設定は行われている状態とします。→このときのパスワードをP1とします。 HD革命/WinProtectorを使用を続けて30日経過すると、新しいパスワードP2がサーバーから通知されます。 しかし、HD革命/WinProtectorで保護しているので、新しく通知されたパスワードP2はクライアントに保存されません(破棄される) 結果として、クライアントに保存されているパスワードはP1になりますが、サーバー側には、パスワードP1、P2の両方の情報を持っているのでサーバーとクライアントで通信可能です。 さらに30日が経過して、サーバーからさらに新しいパスワードP3が通知されます。 やはり、クライアント側はHD革命/WinProtectorで保護されているので、クライアントに保存されているパスワードはP1です。 サーバー側はパスワードP1の情報は無くなり、パスワードP2、P3の情報が保存されています。 結果、サーバーとクライアントに保存されているコンピューターアカウントのパスワード情報が一致しなくなり、ドメインにログオンできなくなります。 目次
現象【対象】Active Directory環境(ドメイン参加)のWindowsパソコン 【現象】 考えられる原因クライアント側とサーバ側(ドメインコントローラ)で保持されるセキュアチャネルの情報が一致せずログオンに失敗します ※補足 原因となる事例の一例 対処方法セキュアチャネル破損時の対処は、ドメインの再参加作業が必要です 【事前確認】 操作手順 Windows7の場合
|