Windows Server: Identificazione e riparazione di un canale protetto interrotto su un controller di dominio Active Directory

• La replica ha esito negativo tra un controller di dominio interessato e altri nel dominio. Il motivo fornito per l'errore può variare, ma "The target principal name is erbe" è un forte indicatore di un canale protetto interrotto.
  • I codici dei risultati associati a questo errore includono -2146893022 e 0x80090322. Questi codici possono essere visualizzati in repadmin output o eventi nel registro eventi del servizio directory.
• "La relazione di trust tra questa workstation e il dominio primario non è riuscita" è un altro errore associato a un canale protetto interrotto.
• Se il controller di dominio interessato è un server DNS, la console DNS Manager potrebbe generare un errore "Access denied" durante la connessione a tale controller di dominio.

La copia del controller di dominio della password dell'account del computer non corrisponde alla password corrispondente archiviata nel database Active Directory (AD). Quando queste password sono diverse, non è possibile stabilire un canale sicuro. Ulteriori informazioni sulle password degli account dei computer in AD sono disponibili nella sezione Informazioni aggiuntive di seguito.

La variabile Test-ComputerSecureChannel Comando PowerShell con -Repair può riparare un canale protetto interrotto su un DC. (Esistono altri metodi, ma questo comando è semplice e diretto.) Eseguire questi passaggi sul controller di dominio interessato per ripararne il canale protetto:

1. Ignorare questo passaggio se è presente un solo controller di dominio nel dominio. Arrestare il servizio Kerberos Key Distribution Center (KDC) e impostare il relativo tipo di avvio su Disabled.
   Potrebbe essere necessario eseguire questa operazione anche su altri controller di dominio nel dominio, ma il servizio deve essere lasciato in esecuzione su almeno un controller di dominio. Vedere le informazioni aggiuntive riportate di seguito.
2. Avviare un prompt PowerShell con privilegi elevati.
3. Eseguire klist purge per eliminare i ticket Kerberos esistenti.
4. Eseguire Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Sostituire <good_dc> con il nome o l'indirizzo IP di un controller di dominio in cui è in esecuzione il servizio KDC.
5. L'output del comando dovrebbe indicare che il canale protetto è stato riparato correttamente:
   Figura 1. Il canale protetto è stato riparato correttamente.
6. Forzare la replica di Active Directory da e verso il controller di dominio interessato e verificare che abbia esito positivo.
7. Reimpostare il tipo di avvio del servizio KDC su Automatic su tutti i controller di dominio e avviare il servizio. In altre parole, annullare ciò che è stato fatto nel passaggio 1.

Password degli account del computer in Active Directory

Ogni computer aggiunto a un dominio dispone di un account computer nel database AD. Analogamente agli account utente, a questi account computer sono associate password. Queste password vengono utilizzate per stabilire un percorso di comunicazione sicuro (un canale sicuro) tra i dispositivi nel dominio. Ogni computer archivia una copia della password in locale e un'altra copia viene archiviata nel database AD. Le password degli account del computer non scadono e non richiedono la manutenzione manuale da parte degli utenti. Sono esenti dalle policy stabilite per le password degli account utente.

Per impostazione predefinita, un computer aggiunto a un dominio tenta di modificare la password ogni 30 giorni, anche se questo intervallo può essere modificato. La modifica della password viene avviata dal computer aggiunto al dominio, non da un meccanismo all'interno di AD. Se è possibile contattare un DC, la copia locale della password del computer e la copia archiviata in AD cambieranno. Se il computer non è in grado di contattare un DC, non cambierà la copia locale della relativa password.

Questi principi si applicano ai controller di dominio esattamente come si applicano ad altri computer aggiunti a un dominio. È possibile che la copia locale di un controller di dominio della password dell'account del computer non sia sincronizzata con la copia archiviata in AD. Ciò è possibile, anche se raro, in un dominio a singolo DC.

Arresto del servizio KDC (Key Distribution Center) Kerberos

Se nel dominio sono presenti più DC, il servizio KDC deve essere arrestato sul controller di dominio interessato. È inoltre consigliabile impostare il tipo di avvio del servizio su Disabled per impedire l'avvio del servizio. A seconda dell'entità del problema e del numero di controller di dominio nel dominio, potrebbe essere necessario arrestare il servizio anche su altri controller di dominio. Se tutti gli altri controller di dominio nel dominio sono sincronizzati tra loro (replica senza errori), arrestare e disabilitare il servizio solo sul controller di dominio interessato. In caso contrario, arrestarla e disabilitarla su tutti i controller di dominio che non riescono a eseguire la replica. Deve essere lasciato in esecuzione su almeno un DC. Se possibile, arrestare il servizio su tutti i controller di dominio tranne uno e specificare tale controller di dominio come destinazione di -server switch nel passaggio 4 dovrebbe dare buoni risultati.