web-dev-qa-db-ja.com

壊れた場合にActive Directoryセキュアチャネルをリセットする方法

場合によっては、コンピューターアカウントがドメインコントローラーへのセキュリティで保護されたチャネルを失うことがあります。

コンピュータを再起動せずにセキュリティで保護されたチャネルをリセットするにはどうすればよいですか?

問題のコンピューターは、2008 R2の機能レベルのActive DirectoryドメインとフォレストでServer 2008 R2を実行しているクラスター化されたSQL Serverです。

5
Steven Murawski

マシンがログオンサーバーであり、ローカルのドライブではなくオフサイトのネットワークドライブをマップするため、マシンがオフサイトのドメインコントローラー(WANの別の場所)を使用する場合があります。これは、セキュリティで保護されたチャネルを直接リセットすることで解決できます。

nltest /sc_reset:<domain>\<domain controller>
3
Andrew

nltest.exeを使用してチャネルを確認し、リセットを試みることができます。

nltest.exe /sc_verify:<fully.qualified.domain.name.here>

それでもうまくいかない場合は、netlogonサービスを再起動できます(私は主にPowerShellを使用しているので、その例を示します)。

Get-Service netlogon | restart-service
nltest.exe /sc_verify:<fully.qualified.domain.name.here>

サービスを再起動した後でnltestコマンドを実行して、セキュリティで保護されたチャネルが動作していることを確認しました。

ネットワークに変更を加えた場合(IPアドレス、ハードウェアの変更、仮想化など)、上記のコマンドを実行する前に、DNSキャッシュをフラッシュしてARPテーブルをクリアすることをお勧めします。

ipconfig /flushdns
arp -d *
Get-Service netlogon | restart-service
nltest.exe /sc_verify:<fully.qualified.domain.name.here>
5
Steven Murawski

PowerShellの新しいバージョン用に更新されました

PowerShell AsAdministratorを開く

Test-ComputerSecureChannel  -Verbose

Falseの場合は次を実行:

Test-ComputerSecureChannel -Repair -Server PDCEmulatorName -Verbose

修復するとメッセージが表示され、失敗した場合は資格情報を追加してみてください

Test-ComputerSecureChannel -Repair -Server PDCEmulatorName -Credential Domain\UserName -Verbose
0
James Gibbons