Windows Server:Active Directoryドメイン コントローラーで破損したセキュア チャネルを特定して修復する

Summary: この記事では、Active Directoryドメイン コントローラー(DC)上の破損したセキュア チャネルを特定して修復する方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • 影響を受けるDCとドメイン内の他のDCの間でレプリケーションが失敗します。失敗の理由はさまざまですが、「ターゲット プリンシパル名が正しくありません」は、セキュリティで保護されたチャネルが壊れていることを示す強力な指標です。
    • このエラーに関連する結果コードには、「 -2146893022 」と 「0x80090322」があります。これらのコードは、次の場所に表示されることがあります。 repadmin ディレクトリ サービス イベント ログの出力またはイベント。
  • 「このワークステーションとプライマリ ドメイン間の信頼関係に障害が発生しました」というエラーも、セキュリティで保護されたチャネルの切断に関連するエラーです。
  • 影響を受けるDCがDNSサーバーの場合、そのDCに接続すると、DNSマネージャー コンソールで「アクセスが拒否されました」というエラーが生成されることがあります。

Cause

DC 自体のコンピューター アカウント パスワードのコピーが、Active Directory (AD) データベースに格納されている対応するパスワードと一致しません。これらのパスワードが異なる場合、安全なチャネルを確立できません。ADのコンピューター アカウント パスワードの詳細については、以下の「追加情報 」を参照してください。

Resolution

Test-ComputerSecureChannel PowerShellコマンドを -Repair スイッチは、DC上の破損したセキュア チャネルを修復できます。(他の方法もありますが、このコマンドは単純明快です。影響を受けるDCで次の手順を実行して、セキュア チャネルを修復します。

  1. ドメイン内にDCが1つしかない場合は、この手順をスキップします。Kerberosキー配布センター(KDC)サービスを停止し、スタートアップの種類を[無効]に設定します。
    ドメイン内の他の DC でこれを行う必要がある場合もありますが、サービスは少なくとも 1 つの DC で実行したままにする必要があります。以下の 「追加情報 」を参照してください。
  2. 管理者特権でPowerShellプロンプトを起動します。
  3. そのノードで klist purge をクリックして、既存の Kerberos チケットを削除します。
  4. そのノードで Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    <good_dc>は、KDCサービスが実行されているDCの名前またはIPアドレスに置き換えます。
  5. コマンドの出力には、セキュア チャネルが正常に修復されたことが示されます。
    セキュリティで保護されたチャネルが正常に修復されたことを示す Test-ComputerSecureChannel コマンドの出力図1: セキュア チャネルが正常に修復されました。
  6. 影響を受けるDCとの間でADレプリケーションを強制し、成功することを確認します。
  7. すべてのDCでKDCサービスのスタートアップの種類を 自動 にリセットし、サービスを開始します。(つまり、手順 1 で行った操作を元に戻します)。

Additional Information

Active Directoryのコンピューター アカウント パスワード

ドメインに参加しているすべてのマシンには、AD データベースにコンピューター アカウントがあります。ユーザー アカウントと同様に、これらのコンピューター アカウントにはパスワードが関連付けられています。これらのパスワードは、ドメイン内のデバイス間で安全な通信パス( 安全なチャネル)を確立するために使用されます。各マシンはパスワードのコピーをローカルに保存し、別のコピーはADデータベースに保存されます。コンピューター アカウントのパスワードに有効期限が切れることはなく、ユーザーによる手動メンテナンスも不要です。ユーザー アカウントのパスワードに対して確立されたパスワード ポリシーから除外されます。

既定では、ドメインに参加しているコンピューターは 30 日ごとにパスワードの変更を試みますが、この間隔は変更できます。パスワードの変更は、AD内のメカニズムではなく、ドメインに参加しているマシンによって開始されます。DCに接続できる場合、マシンのパスワードのローカル コピーとADに保存されているコピーの両方が変更されます。マシンが DC に接続できない場合、パスワードのローカル コピーは変更されません。

これらの原則は、他のドメインに参加しているマシンに適用されるのと同様に、DC にも適用されます。DCのコンピューター アカウント パスワードのローカル コピーが、ADに保存されているコピーと同期されていない可能性があります。これは、まれではありますが、単一のDCドメインでも可能です。

 

Kerberosキー配布センター(KDC)サービスの停止

ドメインに複数のDCがある場合は、影響を受けるDCでKDCサービスを停止する必要があります。サービスが開始されないようにするには、サービスのスタートアップの種類を [無効] に設定することもお勧めします。問題の程度とドメイン内の DC の数によっては、他の DC でもサービスを停止する必要がある場合があります。ドメイン内の他のすべてのDCが相互に同期されている(エラーなしでレプリケートされている)場合は、影響を受けるDCでのみサービスを停止して無効にします。それ以外の場合は、レプリケートに失敗しているすべてのDCでこれを停止して無効にします。少なくとも1つのDCで動作したままにしておく必要があります。可能であれば、1 つを除くすべての DC でサービスを停止し、その DC を -server 手順4のスイッチで良い結果が得られるはずです。

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.