Windows Server: Identifizieren und Reparieren eines beschädigten sicheren Kanals auf einem Active Directory Domain Controller

• Die Replikation zwischen einem betroffenen Domänencontroller und anderen in der Domäne schlägt fehl. Der Grund für den Fehler kann variieren, aber "Der Zielprinzipalname ist falsch" ist ein starker Hinweis auf einen beschädigten sicheren Kanal.
  • Zu den Ergebniscodes, die diesem Fehler zugeordnet sind, gehören -2146893022 und 0x80090322. Diese Codes können angezeigt werden in repadmin Ausgabe oder Ereignisse im Ereignisprotokoll des Verzeichnisdiensts.
• "Die Vertrauensstellung zwischen dieser Workstation und der primären Domäne konnte nicht hergestellt werden" ist ein weiterer Fehler im Zusammenhang mit einem beschädigten sicheren Kanal.
• Wenn es sich bei dem betroffenen DC um einen DNS-Server handelt, erzeugt die DNS Manager-Konsole möglicherweise den Fehler "Zugriff verweigert", wenn eine Verbindung zu diesem DC hergestellt wird.

Die eigene Kopie des Computerkontokennworts des DC stimmt nicht mit dem entsprechenden Kennwort überein, das in der Active Directory-Datenbank (AD) gespeichert ist. Wenn diese Kennwörter unterschiedlich sind, kann kein sicherer Kanal eingerichtet werden. Weitere Informationen zu Kennwörtern für Computerkonten in AD finden Sie unter "Weitere Informationen " weiter unten.

Die Datei Test-ComputerSecureChannel PowerShell-Befehl mit dem Befehl -Repair Der Switch kann einen beschädigten sicheren Kanal auf einem DC reparieren. (Es gibt andere Methoden, aber dieser Befehl ist einfach und unkompliziert.) Führen Sie die folgenden Schritte auf dem betroffenen DC aus, um den sicheren Kanal zu reparieren:

1. Überspringen Sie diesen Schritt, wenn nur ein Domänencontroller in der Domäne vorhanden ist. Beenden Sie den KDC-Service (Kerberos Key Distribution Center ) und setzen Sie den Starttyp auf Deaktiviert.
   Es kann auch erforderlich sein, dies auf anderen DCs in der Domäne zu tun, aber der Dienst muss auf mindestens einem DC ausgeführt werden. Weitere Informationen finden Sie unten.
2. Starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.
3. Führen Sie klist purge , um vorhandene Kerberos-Tickets zu löschen.
4. Führen Sie Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Ersetzen Sie <good_dc> durch den Namen oder die IP-Adresse eines Domänencontrollers, auf dem der KDC-Service ausgeführt wird.
5. Die Ausgabe des Befehls sollte darauf hinweisen, dass der sichere Kanal erfolgreich repariert wurde:
   Abbildung 1: Der sichere Kanal wurde erfolgreich repariert.
6. Erzwingen Sie die AD-Replikation zum und vom betroffenen DC und vergewissern Sie sich, dass sie erfolgreich ist.
7. Setzen Sie den Starttyp des KDC-Dienstes auf allen DCs auf Automatisch zurück, und starten Sie den Dienst. (Mit anderen Worten: Machen Sie rückgängig, was in Schritt 1 getan wurde.)

Kennwörter für Computerkonten in Active Directory

Jeder in die Domäne eingebundene Computer verfügt über ein Computerkonto in der AD-Datenbank. Wie Nutzerkonten sind diesen Computerkonten Kennwörter zugeordnet. Diese Kennwörter werden verwendet, um einen sicheren Kommunikationspfad (einen sicheren Kanal) zwischen Geräten in der Domäne einzurichten. Jeder Computer speichert eine Kopie seines Kennworts lokal und eine weitere Kopie wird in der AD-Datenbank gespeichert. Kennwörter für Computerkonten laufen nicht ab und erfordern keine manuelle Wartung durch Nutzer. Sie sind von den Kennwortrichtlinien ausgenommen, die für Nutzerkontokennwörter eingerichtet wurden.

Standardmäßig versucht ein in die Domäne eingebundener Computer alle 30 Tage, sein Kennwort zu ändern, obwohl dieses Intervall geändert werden kann. Eine Kennwortänderung wird von dem mit der Domäne verbundenen Computer initiiert, nicht durch einen Mechanismus in AD. Wenn ein DC kontaktiert werden kann, ändern sich sowohl die lokale Kopie des Kennworts des Computers als auch die in AD gespeicherte Kopie. Wenn das Gerät keinen Kontakt zu einem DC herstellen kann, ändert es die lokale Kopie seines Kennworts nicht.

Diese Prinzipien gelten für Domänencontroller genauso wie für andere in die Domäne eingebundene Maschinen. Es ist möglich, dass die lokale Kopie des Computerkontokennworts eines DC nicht mit der in AD gespeicherten Kopie synchronisiert ist. Dies ist sogar, wenn auch selten, in einer Single-DC-Domäne möglich.

Beenden des KDC-Service (Kerberos Key Distribution Center)

Wenn mehrere DCs in der Domain vorhanden sind, muss der KDC-Service auf dem betroffenen DC beendet werden. Es wird auch empfohlen, den Starttyp des Dienstes auf Deaktiviert festzulegen, um zu verhindern, dass der Dienst gestartet wird. Je nach Ausmaß des Problems und Anzahl der DCs in der Domain muss der Service möglicherweise auch auf anderen DCs beendet werden. Wenn alle anderen DCs in der Domain miteinander synchronisiert sind (ohne Fehler replizieren), beenden und deaktivieren Sie den Service nur auf dem betroffenen DC. Andernfalls beenden und deaktivieren Sie sie auf allen DCs, die nicht repliziert werden können. Es muss auf mindestens einem DC ausgeführt werden. Beenden Sie nach Möglichkeit den Service auf allen DCs außer einem und geben Sie diesen DC als Ziel der -server Ein Wechsel in Schritt 4 sollte gute Ergebnisse liefern.