Windows Server: Een verbroken beveiligd kanaal identificeren en repareren op een Active Directory Domain-controller

Summary: In dit artikel wordt beschreven hoe u een defect beveiligd kanaal op een Active Directory-domeincontroller (DC) kunt identificeren en repareren.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replicatie mislukt tussen een betrokken DC en andere DC in het domein. De reden voor de storing kan variëren, maar "De naam van de doel-principal is incorrect" is een sterke indicator van een verbroken beveiligd kanaal.
    • Resultaatcodes die aan deze fout zijn gekoppeld, zijn onder meer -2146893022 en 0x80090322. Deze codes kunnen voorkomen in repadmin uitvoer of gebeurtenissen in het gebeurtenislogboek van de Directory Service.
  • "De vertrouwensrelatie tussen dit werkstation en het primaire domein is mislukt" is een andere fout die verband houdt met een verbroken beveiligd kanaal.
  • Als de betreffende DC een DNS-server is, kan de DNS Manager console de foutmelding 'Toegang geweigerd' genereren bij het maken van verbinding met die DC.

Cause

De eigen kopie van het wachtwoord van het computeraccount van de DC komt niet overeen met het corresponderende wachtwoord dat is opgeslagen in de Active Directory (AD)-database. Wanneer deze wachtwoorden verschillen, kan er geen veilig kanaal tot stand worden gebracht. Meer informatie over wachtwoorden voor computeraccounts in AD vindt u in Aanvullende informatie hieronder.

Resolution

De Test-ComputerSecureChannel PowerShell-opdracht met de -Repair switch kan een gebroken beveiligingskanaal op een DC repareren. (Er zijn andere methoden, maar deze opdracht is eenvoudig en duidelijk.) Voer deze stappen uit op de betreffende DC om het beveiligde kanaal te repareren:

  1. Sla deze stap over als er slechts één DC in het domein is. Stop de Kerberos Key Distribution Center (KDC)-service en stel het opstarttype in op Uitgeschakeld.
    Het kan ook nodig zijn om dit te doen op andere DC's in het domein, maar de service moet op ten minste één DC worden uitgevoerd. Zie hieronder voor meer informatie .
  2. Start een PowerShell-prompt met verhoogde bevoegdheden.
  3. Voer klist purge om bestaande Kerberos-tickets te verwijderen.
  4. Voer Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Vervang good_dc door de naam of het IP-adres van een DC waarop de KDC-service> wordt uitgevoerd.<
  5. De uitvoer van de opdracht moet aangeven dat het beveiligde kanaal met succes is gerepareerd:
    Uitvoer van de opdracht Test-ComputerSecureChannel met geslaagde reparatie van het beveiligde kanaal Afbeelding 1: Het beveiligde kanaal is hersteld.
  6. Forceer AD-replicatie van en naar de getroffen DC en bevestig dat deze slaagt.
  7. Zet het opstarttype van de KDC-service terug op Automatisch op alle DC's en start de service. (Met andere woorden, ongedaan maken wat in stap 1 is gedaan.)

Additional Information

Wachtwoorden voor computeraccounts in Active Directory

Elke computer die lid is van een domein heeft een computeraccount in de AD-database. Net als gebruikersaccounts zijn aan deze computeraccounts wachtwoorden gekoppeld. Deze wachtwoorden worden gebruikt om een beveiligd communicatiepad (een beveiligd kanaal) tot stand te brengen tussen apparaten in het domein. Elke machine slaat een kopie van het wachtwoord lokaal op en een andere kopie wordt opgeslagen in de AD-database. Wachtwoorden voor computeraccounts verlopen niet en hoeven niet handmatig te worden onderhouden door gebruikers. Ze zijn uitgezonderd van het wachtwoordbeleid dat is ingesteld voor wachtwoorden van gebruikersaccounts.

Standaard probeert een computer die lid is van een domein het wachtwoord elke 30 dagen te wijzigen, hoewel dit interval kan worden gewijzigd. Een wachtwoordwijziging wordt geïnitieerd door de computer die lid is van het domein, niet door een mechanisme binnen AD. Als er contact kan worden gemaakt met een DC, worden de lokale kopie van het wachtwoord van het apparaat en de kopie die is opgeslagen in AD beide gewijzigd. Als het apparaat geen contact kan maken met een DC, wordt de lokale kopie van het wachtwoord niet gewijzigd.

Deze principes zijn van toepassing op DC's net zoals ze van toepassing zijn op andere machines die lid zijn van een domein. Het is mogelijk dat de lokale kopie van het wachtwoord van het computeraccount van een DC niet synchroon loopt met de kopie die is opgeslagen in AD. Dit is zelfs mogelijk, hoewel zeldzaam, in een single-DC domein.

 

De Kerberos Key Distribution Center (KDC)-service stoppen

Als er meerdere DC's in het domein zijn, moet de KDC-service op de betreffende DC worden gestopt. Het wordt ook aanbevolen om het opstarttype van de service in te stellen op Uitgeschakeld om te voorkomen dat de service wordt gestart. Afhankelijk van de omvang van het probleem en het aantal DC's in het domein, moet de service mogelijk ook voor andere DC's worden stopgezet. Als alle andere DC's in het domein met elkaar zijn gesynchroniseerd (zonder fouten worden gerepliceerd), moet u de service op alleen de betreffende DC stoppen en uitschakelen. Anders stopt u het en schakelt u het uit op alle DC's die niet kunnen worden gerepliceerd. Het moet op ten minste één gelijkstroom blijven draaien. Stop indien mogelijk de service op alle DC's op één na en specificeer die DC als het doel van de -server Overschakelen in stap 4 zou goede resultaten moeten geven.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.