2つのWebサーバー、1つのデータベースサーバー、1つのドメインコントローラーで構成されるアマゾンウェブサービスでテスト環境をセットアップしています。それらはすべてWindows Server 2012であり、ドメインに参加しています。メンバーサーバーがランダムにエラーthe trust relationship between this workstation and the primary domain failed
をスローする場合があります。問題のあるコンピューターでローカルログインを行い、PowerShellコマンドReset-ComputerMachinePassword
を実行することで、この問題を解決できます。その後は問題ありません。
ただし、問題の根本的な原因は、グループポリシー設定 "コンピューターアカウントのパスワード変更を無効にする"が現在無効になっているためか、コンピューターのパスワードを手動でリセットする必要があるためかと思います。
このポリシーを有効にする必要がありますか?このポリシーを有効にするとどうなりますか?
「コンピューターアカウントのパスワードの有効期間」の設定の値は30日です。
マシンアカウントのパスワード変更を無効にする 設定を有効にすることはほとんどありません。マシンパスワードの最大有効期間の設定に基づいて、ドメインコンピューターがコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。
リンクされたTechnetドキュメントからのこの設定のMicrosoftの説明:
ドメインメンバー:コンピューターアカウントのパスワード変更を無効にするポリシー設定は、ドメインメンバーがコンピューターアカウントのパスワードを定期的に変更するかどうかを決定します。その値を[有効]に設定すると、ドメインメンバーがコンピューターアカウントのパスワードを変更できなくなります。 [無効]に設定すると、ドメインメンバーは、[ドメインメンバー:マシンアカウントのパスワードの最大有効期間]ポリシー設定の値で指定されたコンピューターアカウントのパスワードを変更できます。これは、既定では30日ごとです。
ドメインに属するWindows Server 2008 R2、Windows Server 2008、またはWindows Server 2003を実行しているコンピューターのデフォルト構成では、30日ごとにアカウントのパスワードを変更する必要があります。この機能を無効にすると、これらのオペレーティングシステムを実行しているコンピューターは、コンピューターアカウントと同じパスワードを保持します。アカウントのパスワードを自動的に変更できなくなったコンピューターは、悪意のあるユーザーがシステムのドメインアカウントのパスワードを決定する危険にさらされます。
リンクされているTechnetドキュメントからのこの設定に関するマイクロソフトのベストプラクティス:
このポリシー設定を有効にしないでください。コンピューターアカウントのパスワードは、メンバーとドメインコントローラー間、およびドメイン内のドメインコントローラー間で安全なチャネル通信を確立するために使用されます。安全なチャネルが確立されると、認証と承認の決定に必要な機密情報が送信されます。
同じコンピューターアカウントを使用するデュアルブートシナリオをサポートする目的でこのポリシー設定を使用しないでください。同じドメインに参加しているインストールをデュアルブートする場合は、2つのインストールに異なるコンピューター名を付けます。このポリシー設定がWindowsオペレーティングシステムに追加されたのは、数か月後に運用環境に投入される構築済みのコンピューターを備蓄する組織が容易になるようにするためです。これらのコンピューターをドメインに再参加させる必要はありません。
既に述べたように、この設定は、組織がマシンを事前に構築し、マシンアカウントのパスワードの最大有効期間が経過した後、信頼関係の失敗によるエラーが発生することなく、マシンを運用環境に配置できるようにするために作成されました。
この特定のエラーは、ドメインコントローラのマシンアカウントのパスワードが、マシンがローカルに保存したマシンアカウントのパスワードと一致しないか、マシンアカウントのパスワードが最大経過時間の設定を超えたために発生します。
一般に、マシンアカウントパスワードの期限切れは、エラーをスローしたマシンとドメインコントローラーが最大マシンアカウントパスワード有効期間内に通信できないか、安全に通信できない場合に発生します。たとえば、既存の名前のドメインに2台目のコンピューターを参加させた場合、マシンアカウントのパスワードの不一致が発生します-マシンアカウントが上書きされ、新しいマシンアカウントのパスワードが作成されるため、1台目のコンピューターには適切なマシンアカウントがなくなります認証するパスワード。
あなたの特定のケースでは、私の最初の疑いは、ファイアウォールがドメインコントローラーとこのエラーを生成し続けるコンピューター間のActive Directoryトラフィックをブロックしていることです。生成されました。安全な通信チャネルを作成しようとしたときにマシンがエラーをスローしたり、マシンアカウントのパスワードを自動的に更新しようとしたときにエラーが発生したりする可能性もあります。いずれの場合も、このマシンとドメインコントローラのイベントログを確認することで、問題が何であるかを判別できるはずです。 2つのサーバー間の接続を確立するエラーと、この問題の正確な原因を特定するためにいずれかのマシンのセキュリティサブシステムによってスローされたエラーを探しています。
そのポリシーまたは対応するレジストリキーは、 テストまたは開発ラボ の一部となるVMを作成する場合、特にそれらのVMが長期間オフラインまたは切断されている場合に役立ちます。
ただし、一般的には、本番環境での使用はお勧めしません。