Windows Server: Identifikace a oprava poškozeného zabezpečeného kanálu v řadiči domény služby Active Directory

• Replikace mezi dotčeným řadičem domény a ostatními řadiči domény se nezdaří. Uvedený důvod selhání se může lišit, ale "Cílový hlavní název je nesprávný" je silným indikátorem poškozeného zabezpečeného kanálu.
  • Mezi kódy výsledků spojené s touto chybou patří -2146893022 a 0x80090322. Tyto kódy se mohou objevit v repadmin výstup nebo události v protokolu událostí adresářové služby.
• "Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal" je další chyba spojená s poškozeným zabezpečeným kanálem.
• Pokud je dotčeným řadičem domény server DNS, může konzola Správce DNS při připojování k tomuto řadiči domény zobrazit chybu "Přístup odepřen".

Vlastní kopie hesla k účtu počítače řadiče domény se neshoduje s odpovídajícím heslem uloženým v databázi služby Active Directory (AD). Pokud se tato hesla liší, nelze vytvořit zabezpečený kanál. Další informace o heslech k účtům počítačů ve službě AD najdete v části Další informace níže.

Skript Test-ComputerSecureChannel Příkaz PowerShell s příkazem -Repair může opravit poškozený zabezpečený kanál na DC. (Existují i jiné metody, ale tento příkaz je jednoduchý a přímočarý.) Na dotčeném řadiči domény proveďte následující kroky a opravte jeho zabezpečený kanál:

1. Pokud je v doméně pouze jeden řadič domény, tento krok přeskočte. Zastavte službu Kerberos Key Distribution Center (KDC) a nastavte její typ spouštění na hodnotu Zakázáno.
   Může být nutné to provést také na jiných řadičích domény v doméně, ale služba musí zůstat spuštěná alespoň na jednom řadiči domény. Viz Další informace níže.
2. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními.
3. Spustit klist purge pro odstranění existujících lístků protokolu Kerberos.
4. Spustit Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Nahraďte <good_dc> názvem nebo IP adresou řadiče domény, na kterém je spuštěna služba KDC.
5. Výstup příkazu by měl indikovat, že zabezpečený kanál byl úspěšně opraven:
   Obrázek 1: Zabezpečený kanál byl úspěšně opraven.
6. Vynuťte replikaci služby AD do dotčeného řadiče domény a z dotčeného řadiče domény a ověřte, že proběhla úspěšně.
7. Na všech řadičích domény resetujte typ spouštění služby KDC na hodnotu Automaticky a spusťte službu. (Jinými slovy, vraťte zpět to, co bylo provedeno v kroku 1.)

Hesla účtů počítače ve službě Active Directory

Každý počítač připojený k doméně má účet počítače v databázi AD. Podobně jako uživatelské účty mají i tyto účty počítačů přiřazená hesla. Tato hesla se používají k vytvoření zabezpečené komunikační cesty ( zabezpečeného kanálu) mezi zařízeními v doméně. Každý počítač ukládá kopii svého hesla lokálně a další kopie je uložena v databázi AD. Platnost hesel k účtům počítače nevyprší a uživatelé je nemusí ručně upravovat. Jsou vyňaty ze zásad hesel vytvořených pro hesla uživatelských účtů.

Ve výchozím nastavení se počítač připojený k doméně pokusí změnit heslo každých 30 dní, i když je tento interval možné změnit. Změna hesla je iniciována počítačem připojeným k doméně, nikoli mechanismem v rámci služby AD. Pokud je možné kontaktovat řadič domény, změní se místní kopie hesla počítače i kopie uložená ve službě AD. Pokud se zařízení nemůže spojit s řadičem domény, místní kopii hesla nezmění.

Tyto principy platí pro řadiče domény stejně jako pro jiné počítače připojené k doméně. Je možné, že místní kopie hesla k účtu počítače řadiče domény nebude synchronizována s kopií uloženou ve službě AD. To je dokonce možné, i když vzácné, v doméně s jedním řadičem domény.

Zastavení služby Kerberos Key Distribution Center (KDC)

Pokud je v doméně více řadičů domény, musí být služba KDC na dotčeném řadiči domény zastavena. Doporučuje se také nastavit typ spouštění služby na Zakázáno, aby se služba nespustila. V závislosti na rozsahu problému a počtu řadičů domény v doméně může být nutné službu zastavit i na jiných řadičích domény. Pokud jsou všechny ostatní řadiče domény v doméně vzájemně synchronizovány (replikace probíhá bez chyb), zastavte a zakažte službu pouze na dotčeném řadiči domény. V opačném případě ji zastavte a zakažte na všech řadičích domény, u kterých se nedaří replikovat. Je nutné jej ponechat spuštěný alespoň na jednom řadiči domény. Pokud je to možné, zastavte službu na všech řadičích domény kromě jednoho a zadejte tento řadič domény jako cíl -server Přepínač v kroku 4 by měl poskytnout dobré výsledky.