Windows Server: Identificer og reparer en ødelagt sikker kanal på en Active Directory-domænecontroller

Summary: Denne artikel beskriver, hvordan du identificerer en ødelagt sikker kanal på en Active Directory-domænecontroller (DC) og reparerer den.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replikering mislykkes mellem en berørt DC og andre i domænet. Årsagen til fejlen kan variere, men "Målhovednavnet er forkert" er en stærk indikator for en ødelagt sikker kanal.
    • Resultatkoder, der er knyttet til denne fejl, omfatter -2146893022 og 0x80090322. Disse koder kan forekomme i repadmin output eller hændelser i adresselistetjenestens hændelseslogfil.
  • "Tillidsforholdet mellem denne arbejdsstation og det primære domæne mislykkedes" er en anden fejl, der er forbundet med en ødelagt sikker kanal.
  • Hvis den berørte DC er en DNS-server, kan DNS Manager-konsollen producere fejlen "Adgang nægtet", når der oprettes forbindelse til den pågældende DC.

Cause

DC's egen kopi af adgangskoden til computerkontoen stemmer ikke overens med den tilsvarende adgangskode, der er gemt i Active Directory-databasen (AD). Når disse adgangskoder er forskellige, kan der ikke oprettes en sikker kanal. Flere oplysninger om adgangskoder til computerkonti i AD kan findes i Yderligere oplysninger nedenfor.

Resolution

Ikonet Test-ComputerSecureChannel PowerShell-kommando med -Repair switch kan reparere en ødelagt sikker kanal på en DC. (Der er andre metoder, men denne kommando er enkel og ligetil.) Udfør disse trin på den berørte DC for at reparere dens sikre kanal:

  1. Spring dette trin over, hvis der kun er én DC i domænet. Stop tjenesten Kerberos Key Distribution Center (KDC), og indstil dens starttype til Deaktiveret.
    Det kan også være nødvendigt at gøre dette på andre DC'er i domænet, men tjenesten skal fortsat køre på mindst én DC. Se Yderligere oplysninger nedenfor.
  2. Start en PowerShell-prompt med administratorrettigheder.
  3. Kør klist purge for at slette eksisterende Kerberos-billetter.
  4. Kør Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Udskift <good_dc> med navnet eller IP-adressen på en DC, som KDC-tjenesten kører på.
  5. Resultatet af kommandoen skal angive, at den sikre kanal blev repareret:
    Output af kommandoen Test-ComputerSecureChannel, der viser, at reparationen af den sikre kanal lykkedes Figur 1: Den sikre kanal blev repareret.
  6. Gennemtving AD-replikering til og fra den berørte DC, og bekræft, at det lykkes.
  7. Nulstil KDC-tjenestens starttype til Automatisk på alle DC'er, og start tjenesten. (Med andre ord, fortryd det, der blev gjort i trin 1).

Additional Information

Adgangskoder til computerkonti i Active Directory

Hver domænetilsluttet maskine har en computerkonto i AD-databasen. Ligesom brugerkonti er der knyttet adgangskoder til disse computerkonti. Disse adgangskoder bruges til at etablere en sikker kommunikationssti (en sikker kanal) mellem enheder i domænet. Hver maskine gemmer en kopi af sin adgangskode lokalt, og en anden kopi gemmes i AD-databasen. Adgangskoder til computerkonti udløber ikke og kræver ikke manuel vedligeholdelse af brugerne. De er undtaget fra adgangskodepolitikker, der er oprettet for adgangskoder til brugerkonti.

Som standard forsøger en domænetilsluttet maskine at ændre sin adgangskode hver 30. dag, selvom dette interval kan ændres. En ændring af adgangskoden initieres af den domænetilknyttede maskine, ikke af en mekanisme i AD. Hvis en DC kan kontaktes, ændres maskinens lokale kopi af adgangskoden og den kopi, der er gemt i AD. Hvis maskinen ikke kan kontakte en DC, ændrer den ikke den lokale kopi af dens adgangskode.

Disse principper gælder for DC'er på samme måde, som de gælder for andre domænetilknyttede maskiner. Det er muligt for en DC's lokale kopi af adgangskoden til computerkontoen at være ude af synkronisering med den kopi, der er gemt i AD. Dette er endda muligt, men sjældent, i et enkelt-DC-domæne.

 

Sådan stopper du Kerberos Key Distribution Center (KDC)-tjenesten

Hvis der er flere DC'er i domænet, skal KDC-tjenesten stoppes på den berørte DC. Det anbefales også at indstille tjenestens starttype til Deaktiveret for at forhindre, at tjenesten starter. Afhængigt af problemets omfang og antallet af DC'er i domænet skal tjenesten muligvis også stoppes på andre DC'er. Hvis alle andre DC'er i domænet er synkroniseret med hinanden (replikering uden fejl), skal du kun stoppe og deaktivere tjenesten på den berørte DC. Ellers skal du stoppe og deaktivere den på alle DC'er, der ikke replikeres. Den skal have lov til at køre på mindst én DC. Hvis det er muligt, standses tjenesten på alle DC'er undtagen én, og det angives, at DC er målet for -server Skift i trin 4 skal give gode resultater.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.