Windows Server: Active Directory -toimialueen ohjauskoneen rikkoutuneen suojatun kanavan tunnistaminen ja korjaaminen

Summary: Tässä artikkelissa kerrotaan, miten Active Directory -toimialueen ohjauskoneen (DC) rikkinäinen suojattu kanava tunnistetaan ja korjataan.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replikointi epäonnistuu ongelman sisältävän ohjauskoneen ja muiden toimialueen toimijoiden välillä. Vian syy voi vaihdella, mutta "Kohteen päänimi on virheellinen" on vahva merkki rikkinäisestä suojatusta kanavasta.
    • Tähän virheeseen liittyviä tuloskoodeja ovat -2146893022 ja 0x80090322. Nämä koodit voivat esiintyä repadmin Hakemistopalvelun tapahtumalokin tulos tai tapahtumat.
  • "Tämän työaseman ja ensisijaisen toimialueen välinen luottamussuhde epäonnistui" on toinen virhe, joka liittyy rikkinäiseen suojattuun kanavaan.
  • Jos kyseinen ohjauskone on DNS-palvelin, DNS Manager -konsoli saattaa tuottaa Käyttö estetty -virheen, kun kyseiseen ohjauskoneeseen muodostetaan yhteys.

Cause

Ohjauskoneen oma kopio tietokonetilin salasanasta ei vastaa Active Directory (AD) -tietokantaan tallennettua vastaavaa salasanaa. Jos nämä salasanat eroavat toisistaan, suojattua kanavaa ei voida muodostaa. Lisätietoja tietokonetilien salasanoista AD:ssä on alla kohdassa Lisätiedot .

Resolution

pikanäppäimellä Test-ComputerSecureChannel PowerShell-komento -Repair kytkin voi korjata DC: n rikkoutuneen suojatun kanavan. (On muitakin tapoja, mutta tämä komento on yksinkertainen ja suoraviivainen.) Korjaa sen suojattu kanava suorittamalla nämä toimet ongelmallisessa ohjauskoneessa:

  1. Ohita tämä vaihe, jos toimialueella on vain yksi toimialueen ohjauskone. Pysäytä Kerberos Key Distribution Center (KDC) -palvelu ja aseta sen käynnistystyypiksi Ei käytössä.
    Tämä voi olla tarpeen myös toimialueen muissa toimialueen ohjauskoneissa, mutta palvelun on oltava käynnissä vähintään yhdessä toimialueen ohjauskoneessa. Katso lisätietoja alta.
  2. Käynnistä järjestelmänvalvojan oikeuksin suoritettava PowerShell-kehote.
  3. Suorita klist purge poistaaksesi olemassa olevat Kerberos-liput.
  4. Suorita Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Korvaa <good_dc> sen toimikoneen nimellä tai IP-osoitteella, jossa KDC-palvelu on käynnissä.
  5. Komennon tuloksen pitäisi osoittaa, että suojattu kanava on korjattu onnistuneesti:
    Test-ComputerSecureChannel -komennon tulos osoittaa, että suojatun kanavan korjaus on onnistunut Kuva 1: Suojattu kanava korjattiin onnistuneesti.
  6. Pakota AD-replikointi ongelmalliseen ohjauskoneeseen ja sieltä pois sekä vahvista, että se onnistuu.
  7. Palauta KDC-palvelun käynnistystyypiksi Automaattinen kaikissa toimialueen ohjauskoneissa ja käynnistä palvelu. (Toisin sanoen kumoa vaiheessa 1 tehdyt toimet.)

Additional Information

Tietokonetilin salasanat Active Directoryssa

Jokaisella toimialueeseen liitetyllä koneella on tietokonetili AD-tietokannassa. Kuten käyttäjätileihin, myös näihin tietokonetileihin liittyy salasanoja. Näitä salasanoja käytetään muodostamaan suojattu viestintäpolku ( suojattu kanava) verkkotunnuksen laitteiden välille. Jokainen kone tallentaa kopion salasanastaan paikallisesti, ja toinen kopio tallennetaan AD-tietokantaan. Tietokonetilin salasanat eivät vanhene eivätkä vaadi käyttäjiltä manuaalista ylläpitoa. Ne on vapautettu käyttäjätilien salasanoja koskevista salasanakäytännöistä.

Oletusarvoisesti toimialueeseen liitetty tietokone yrittää vaihtaa salasanansa 30 päivän välein, mutta tätä aikaväliä voidaan muuttaa. Salasanan vaihdon käynnistää toimialueeseen liitetty kone, ei AD:n mekanismi. Jos ohjauskoneeseen voidaan ottaa yhteyttä, sekä laitteen paikallinen kopio salasanasta että AD:hen tallennettu kopio muuttuvat. Jos laite ei saa yhteyttä toimilaitteeseen, se ei vaihda salasanan paikallista kopiota.

Nämä periaatteet koskevat toimialueen ohjauskoneita samalla tavalla kuin muitakin toimialueeseen liitettyjä koneita. On mahdollista, että toimialueen ohjauskoneen tietokonetilin salasanan paikallinen kopio ei ole synkronoitu AD:hen tallennetun kopion kanssa. Tämä on jopa mahdollista, vaikkakin harvinaista, yhdellä DC-verkkotunnuksella.

 

Kerberos Key Distribution Center (KDC) -palvelun pysäyttäminen

Jos toimialueella on useita toimialueen ohjauskoneita, KDC-palvelu on pysäytettävä kyseisessä toimialueen ohjauskoneessa. Palvelun käynnistystyypiksi kannattaa asettaa myös Ei käytössä, jotta palvelu ei käynnisty. Ongelman laajuuden ja toimialueen toimialueiden ohjauskoneiden määrän mukaan palvelu on ehkä pysäytettävä myös muissa toimialueen ohjauskoneissa. Jos kaikki muut toimialueen toimialueen ohjauskoneet on synkronoitu keskenään (replikoidaan ilman virheitä), pysäytä palvelu ja poista se käytöstä ainoastaan kyseisessä toimialueen ohjauskoneessa. Muussa tapauksessa pysäytä se ja poista se käytöstä kaikissa ohjauskoneissa, jotka eivät replikoidu. Se on jätettävä käyntiin vähintään yhdellä DC: llä. Jos mahdollista, pysäytä palvelu yhtä lukuun ottamatta kaikissa toimialueen ohjauskoneissa ja määritä kyseinen toimilaite -server Vaiheen 4 vaihdon pitäisi antaa hyviä tuloksia.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.