Windows Server: Identyfikowanie i naprawianie uszkodzonego bezpiecznego kanału na kontrolerze domeny usługi Active Directory

Summary: W tym artykule pokazano, jak zidentyfikować uszkodzony bezpieczny kanał na kontrolerze domeny (DC) usługi Active Directory i go naprawić.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replikacja między kontrolerem domeny, którego dotyczy problem, a innymi w domenie, kończy się niepowodzeniem. Przyczyna błędu może się różnić, ale komunikat "Docelowa nazwa główna jest niepoprawna" jest dobrym wskaźnikiem uszkodzonego bezpiecznego kanału.
    • Kody wyników skojarzone z tym błędem to -2146893022 i 0x80090322. Kody te mogą pojawić się w repadmin dane wyjściowe lub zdarzenia w dzienniku zdarzeń usługi katalogowej.
  • "Relacje zaufania między tą stacją roboczą a domeną podstawową nie powiodły się" to kolejny błąd związany z uszkodzonym bezpiecznym kanałem.
  • Jeśli kontroler domeny, którego dotyczy problem, jest serwerem DNS, konsola Menedżera DNS może zwrócić błąd "Odmowa dostępu" podczas nawiązywania połączenia z tym kontrolerem domeny.

Cause

Własna kopia hasła konta komputera kontrolera domeny nie jest zgodna z odpowiednim hasłem przechowywanym w bazie danych usługi Active Directory (AD). Jeśli te hasła są różne, nie można ustanowić bezpiecznego kanału. Więcej informacji na temat haseł do kont komputerów w usłudze AD można znaleźć w sekcji Dodatkowe informacje poniżej.

Resolution

Plik Test-ComputerSecureChannel Polecenie PowerShell z poleceniem -Repair może naprawić uszkodzony bezpieczny kanał na kontrolerze domeny. (Istnieją inne metody, ale to polecenie jest proste i nieskomplikowane). Wykonaj następujące czynności na kontrolerze domeny, którego dotyczy problem, aby naprawić jego bezpieczny kanał:

  1. Pomiń ten krok, jeśli w domenie znajduje się tylko jeden kontroler domeny. Zatrzymaj usługę Centrum dystrybucji kluczy Kerberos (KDC) i ustaw jej typ uruchamiania na Wyłączony.
    Może to być również konieczne w przypadku innych kontrolerów domeny w domenie, ale usługa musi być uruchomiona na co najmniej jednym kontrolerze domeny. Zobacz dodatkowe informacje poniżej.
  2. Uruchom monit PowerShell z podwyższonym poziomem uprawnień.
  3. Uruchom klist purge , aby usunąć istniejące bilety Kerberos.
  4. Uruchom Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Zastąp <good_dc> nazwą lub adresem IP kontrolera domeny, na którym jest uruchomiona usługa centrum dystrybucji kluczy.
  5. Dane wyjściowe polecenia powinny wskazywać, że bezpieczny kanał został pomyślnie naprawiony:
    Dane wyjściowe polecenia Test-ComputerSecureChannel pokazujące pomyślną naprawę bezpiecznego kanału Rysunek 1. Bezpieczny kanał został pomyślnie naprawiony.
  6. Wymuś replikację AD do i z kontrolera domeny, którego dotyczy problem, i potwierdź, że zakończyła się powodzeniem.
  7. Zresetuj typ uruchamiania usługi centrum dystrybucji kluczy na wartość Automatycznie na wszystkich kontrolerach domeny i uruchom usługę. (Innymi słowy, cofnij to, co zostało zrobione w kroku 1).

Additional Information

Hasła do kont komputerów w usłudze Active Directory

Każda maszyna przyłączona do domeny ma konto komputera w bazie danych usługi AD. Podobnie jak konta użytkowników, z tymi kontami komputerów są skojarzone hasła. Hasła te służą do ustanowienia bezpiecznej ścieżki komunikacji ( bezpiecznego kanału) między urządzeniami w domenie. Każdy komputer przechowuje kopię swojego hasła lokalnie, a inna kopia jest przechowywana w bazie danych usługi AD. Hasła do kont komputerów nie wygasają i nie wymagają ręcznej obsługi przez użytkowników. Są oni wyłączeni z zasad haseł ustanowionych dla haseł kont użytkowników.

Domyślnie komputer przyłączony do domeny próbuje zmienić hasło co 30 dni, chociaż ten interwał można zmienić. Zmiana hasła jest inicjowana przez komputer przyłączony do domeny, a nie przez mechanizm w usłudze AD. Jeśli można skontaktować się z kontrolerem domeny, lokalna kopia hasła urządzenia i kopia przechowywana w usłudze AD ulegną zmianie. Jeśli urządzenie nie może skontaktować się z kontrolerem domeny, nie zmieni lokalnej kopii swojego hasła.

Te zasady mają zastosowanie do kontrolerów domeny tak samo, jak mają zastosowanie do innych maszyn przyłączonych do domeny. Istnieje możliwość, że lokalna kopia hasła konta komputera kontrolera domeny nie jest zsynchronizowana z kopią przechowywaną w usłudze AD. Jest to nawet możliwe, choć rzadkie, w domenie z jednym kontrolerem domeny.

 

Zatrzymywanie usługi Centrum dystrybucji kluczy Kerberos (KDC)

Jeśli w domenie znajduje się wiele kontrolerów domeny, należy zatrzymać usługę centrum dystrybucji kluczy na kontrolerze domeny, którego dotyczy problem. Zaleca się również ustawienie typu uruchamiania usługi na Wyłączone, aby zapobiec uruchamianiu usługi. W zależności od zakresu problemu i liczby kontrolerów domeny w domenie może być konieczne zatrzymanie usługi również na innych kontrolerach domeny. Jeśli wszystkie inne kontrolery domeny w domenie są ze sobą zsynchronizowane (replikacja bez błędów), zatrzymaj i wyłącz usługę tylko na kontrolerze domeny, którego dotyczy problem. W przeciwnym razie zatrzymaj i wyłącz go na wszystkich kontrolerach domeny, których replikacja nie powiodła się. Musi być uruchomiony na co najmniej jednym kontrolerze domeny. Jeśli to możliwe, zatrzymaj usługę na wszystkich kontrolerach domeny z wyjątkiem jednego i określ ten kontroler domeny jako miejsce docelowe -server Zmiana w kroku 4 powinna dać dobre rezultaty.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.