Windows Server: Identifiser og reparer en ødelagt, sikker kanal på en Active Directory-domenekontroller

Summary: Denne artikkelen viser hvordan du identifiserer en ødelagt, sikker kanal på en Active Directory-domenekontroller (DC) og reparerer den.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replikering mislykkes mellom en berørt DC og andre i domenet. Årsaken som oppgis for feilen kan variere, men "Målkontohavsnavnet er feil" er en sterk indikator på en ødelagt, sikker kanal.
    • Resultatkoder knyttet til denne feilen inkluderer -2146893022 og 0x80090322. Disse kodene kan vises i repadmin utdata eller hendelser i hendelsesloggen for katalogtjenesten.
  • "Klareringsforholdet mellom denne arbeidsstasjonen og det primære domenet mislyktes" er en annen feil knyttet til en ødelagt sikker kanal.
  • Hvis den berørte DCen er en DNS-server, kan DNS Manager-konsollen gi feilmeldingen Ingen tilgang når du kobler til DCen.

Cause

DCs egen kopi av passordet for datamaskinkontoen samsvarer ikke med det tilsvarende passordet som er lagret i Active Directory-databasen (AD). Når disse passordene er forskjellige, kan det ikke opprettes en sikker kanal. Mer informasjon om datamaskinkontopassord i AD finner du i Tilleggsinformasjon nedenfor.

Resolution

Informasjonen i Test-ComputerSecureChannel PowerShell-kommando med -Repair Svitsjen kan reparere en ødelagt, sikker kanal på en DC. (Det finnes andre metoder, men denne kommandoen er enkel og grei.) Utfør disse trinnene på berørt DC for å reparere den sikre kanalen:

  1. Hopp over dette trinnet hvis det bare er én DC i domenet. Stopp tjenesten Kerberos Key Distribution Center (KDC), og angi oppstartstypen til Deaktivert.
    Det kan også være nødvendig å gjøre dette på andre DC-er i domenet, men tjenesten må kjøre på minst én DC. Se Tilleggsinformasjon nedenfor.
  2. Start en forhøyet PowerShell-ledetekst.
  3. Kjør klist purge for å slette eksisterende Kerberos-billetter.
  4. Kjør Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Erstatt <good_dc> med navnet eller IP-adressen til en DC som KDC-tjenesten kjører på.
  5. Utdataene fra kommandoen skal indikere at den sikre kanalen ble reparert:
    Utdataene fra kommandoen Test-ComputerSecureChannel som viser vellykket reparasjon av den sikre kanalen Figur 1: Den sikre kanalen ble reparert.
  6. Fremtving AD-replikering til og fra den berørte DCen, og bekreft at den lykkes.
  7. Tilbakestill oppstartstypen for KDC-tjenesten til Automatisk på alle DC-er, og start tjenesten. (Med andre ord, angre det som ble gjort i trinn 1.)

Additional Information

Passord for datamaskinkonto i Active Directory

Hver domenetilknyttede maskin har en datamaskinkonto i AD-databasen. I likhet med brukerkontoer er disse datamaskinkontoene passord tilknyttet. Disse passordene brukes til å etablere en sikker kommunikasjonsbane (en sikker kanal) mellom enheter i domenet. Hver maskin lagrer en kopi av passordet lokalt, og en annen kopi lagres i AD-databasen. Passord for datamaskinkonto utløper ikke og krever ikke manuelt vedlikehold av brukere. De er unntatt fra passordpolicyer som er etablert for brukerkontopassord.

Som standard prøver en domenetilknyttet maskin å endre passordet hver 30. dag, men dette intervallet kan endres. En passordendring startes av den domenetilknyttede maskinen, ikke av en mekanisme i AD. Hvis en DC kan kontaktes, vil både maskinens lokale kopi av passordet og kopien som er lagret i AD endres. Hvis maskinen ikke kan kontakte en DC, vil den ikke endre den lokale kopien av passordet.

Disse prinsippene gjelder for DC-er på samme måte som de gjelder for andre domenetilknyttede maskiner. Det er mulig for en DCs lokale kopi av passordet til datakontoen å være usynkronisert med kopien lagret i AD. Dette er til og med mulig, men sjeldent, i et enkelt-DC-domene.

 

Stoppe tjenesten Kerberos Key Distribution Center (KDC)

Hvis det er flere DCer i domenet, må KDC-tjenesten stoppes på den berørte DCen. Det anbefales også å sette tjenestens oppstartstype til Deaktivert for å hindre at tjenesten starter. Avhengig av omfanget av problemet og antall DC-er i domenet, kan det hende at tjenesten må stoppes på andre DC-er også. Hvis alle andre DCer i domenet synkroniseres med hverandre (replikeres uten feil), må du bare stoppe og deaktivere tjenesten på den berørte DCen. Ellers må du stoppe og deaktivere den på alle DC-er som ikke replikerer. Den må stå å kjøre på minst en DC. Hvis mulig, stoppe tjenesten på alle DCs unntatt én og spesifisere at DC som målet for -server Bytte i trinn 4 skal gi gode resultater.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.