Windows Server: Identificar y reparar un Secure Channel dañado en una controladora de dominio de Active Directory

• Se produce un error en la replicación entre una DC afectada y otras en el dominio. El motivo dado para la falla puede variar, pero "El nombre principal de destino es incorrecto" es un fuerte indicador de un canal seguro roto.
  • Los códigos de resultado asociados con este error incluyen -2146893022 y 0x80090322. Estos códigos pueden aparecer en repadmin o eventos en el registro de eventos del servicio de directorio.
• "La relación de confianza entre esta estación de trabajo y el dominio principal falló" es otro error asociado con un canal seguro dañado.
• Si la DC afectada es un servidor DNS, la consola del administrador de DNS puede producir un error de "Acceso denegado" cuando se conecte a ese DC.

La copia propia de la DC de su contraseña de cuenta de computadora no coincide con la contraseña correspondiente almacenada en la base de datos de Active Directory (AD). Cuando estas contraseñas difieren, no se puede establecer un canal seguro. Puede encontrar más información sobre las contraseñas de cuenta de computadora en AD en Información adicional a continuación.

La variable Test-ComputerSecureChannel Comando PowerShell con el comando -Repair El switch puede reparar un canal seguro roto en un CC. (Hay otros métodos, pero este comando es simple y directo). Realice estos pasos en la DC afectada para reparar su canal seguro:

1. Omita este paso si solo hay una DC en el dominio. Detenga el servicio Centro de distribución de claves (KDC) de Kerberos y establezca su tipo de inicio en Deshabilitado.
   También puede ser necesario hacer esto en otras DC del dominio, pero el servicio debe dejarse en ejecución en al menos una DC. Consulte la información adicional a continuación.
2. Inicie un símbolo del sistema de PowerShell con privilegios elevados.
3. Ejecutar klist purge para eliminar vales de Kerberos existentes.
4. Ejecutar Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Reemplace <good_dc> por el nombre o la dirección IP de una DC en la que se ejecuta el servicio KDC.
5. El resultado del comando debe indicar que el canal seguro se reparó correctamente:
   Figura 1: El canal seguro se reparó correctamente.
6. Fuerce la replicación de AD hacia y desde la DC afectada y confirme que se realice correctamente.
7. Restablezca el tipo de inicio del servicio KDC a Automático en todos los controladores de dominio e inicie el servicio. (En otras palabras, deshaga lo que se hizo en el paso 1).

Contraseñas de cuenta de computadora en Active Directory

Cada máquina unida a un dominio tiene una cuenta de equipo en la base de datos de AD. Al igual que las cuentas de usuario, estas cuentas de computadora tienen contraseñas asociadas. Estas contraseñas se utilizan para establecer una ruta de comunicación segura (un canal seguro) entre los dispositivos del dominio. Cada máquina almacena una copia de su contraseña localmente y otra se almacena en la base de datos de AD. Las contraseñas de las cuentas de computadora no vencen y no requieren mantenimiento manual por parte de los usuarios. Están exentas de las políticas de contraseña establecidas para las contraseñas de cuentas de usuario.

De manera predeterminada, una máquina unida a un dominio intenta cambiar su contraseña cada 30 días, aunque este intervalo se puede cambiar. Un cambio de contraseña lo inicia la máquina unida al dominio, no un mecanismo dentro de AD. Si se puede establecer contacto con una DC, la copia local de la máquina de la contraseña y la copia almacenada en AD cambiarán. Si la máquina no puede comunicarse con una DC, no cambiará la copia local de su contraseña.

Estos principios se aplican a los controladores de dominio al igual que se aplican a otras máquinas unidas a un dominio. Es posible que la copia local de una DC de su contraseña de cuenta de computadora no esté sincronizada con la copia almacenada en AD. Esto es incluso posible, aunque poco frecuente, en un dominio de una sola DC.

Detención del servicio del centro de distribución de claves (KDC) de Kerberos

Si hay varias DC en el dominio, el servicio KDC se debe detener en la DC afectada. También se recomienda establecer el tipo de inicio del servicio en Deshabilitado para evitar que el servicio se inicie. Según la extensión del problema y la cantidad de DC en el dominio, es posible que también deba detener el servicio en otras DC. Si todas las demás DC del dominio están sincronizadas entre sí (replicando sin errores), detenga y deshabilite el servicio solo en la DC afectada. De lo contrario, deténgalo y deshabilítelo en cualquier DC que no se pueda replicar. Se debe dejar en ejecución en al menos una DC. Si es posible, detener el servicio en todas las DC excepto en una y especificar esa DC como el destino de -server El cambio en el paso 4 debería dar buenos resultados.