Windows Server: Identificar e reparar um canal seguro quebrado em um controlador de domínio do Active Directory

• A replicação falha entre um DC afetado e outros no domínio. O motivo fornecido para a falha pode variar, mas "O nome principal do destino está incorreto" é um forte indicador de um canal seguro quebrado.
  • Os códigos de resultado associados a esse erro incluem -2146893022 e 0x80090322. Esses códigos podem aparecer em repadmin ou eventos no registro de eventos do serviço de diretórios.
• "A relação de confiança entre esta estação de trabalho e o domínio principal falhou" é outro erro associado a um canal seguro quebrado.
• Se o DC afetado for um servidor DNS, o console do DNS Manager poderá produzir um erro "Acesso negado" ao se conectar a esse DC.

A própria cópia da senha da conta de computador do DC não corresponde à senha correspondente armazenada no banco de dados do Active Directory (AD). Quando essas senhas diferem, um canal seguro não pode ser estabelecido. Mais informações sobre senhas de contas de computador no AD podem ser encontradas em Informações adicionais abaixo.

O comando Test-ComputerSecureChannel Comando do PowerShell com o -Repair pode reparar um canal seguro quebrado em um DC. (Existem outros métodos, mas esse comando é simples e direto.) Execute estas etapas no DC afetado para reparar seu canal seguro:

1. Ignore essa etapa se houver apenas um DC no domínio. Interrompa o serviço Key Distribution Center (KDC) do Kerberos e defina seu tipo de inicialização como Disabled.
   Também pode ser necessário fazer isso em outros DCs no domínio, mas o serviço deve ser deixado em execução em pelo menos um DC. Consulte as informações adicionais abaixo.
2. Inicie um prompt do PowerShell com privilégios elevados.
3. Execute klist purge para excluir tíquetes Kerberos existentes.
4. Execute Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Substitua <good_dc> pelo nome ou endereço IP de um DC no qual o serviço KDC está sendo executado.
5. O resultado do comando deve indicar que o canal seguro foi reparado com êxito:
   Figura 1: O canal seguro foi reparado com sucesso.
6. Force a replicação do AD de e para o DC afetado e confirme se ela foi bem-sucedida.
7. Redefina o tipo de inicialização do serviço KDC como Automático em todos os DCs e inicie o serviço. (Em outras palavras, desfaça o que foi feito na etapa 1.)

Senhas da conta de computador no Active Directory

Cada computador associado a um domínio tem uma conta de computador no banco de dados do AD. Assim como as contas de usuário, essas contas de computador têm senhas associadas a elas. Essas senhas são usadas para estabelecer um caminho de comunicação seguro (um canal seguro) entre dispositivos no domínio. Cada máquina armazena uma cópia de sua senha localmente e outra cópia é armazenada no banco de dados do AD. As senhas das contas de computador não expiram e não exigem manutenção manual por parte dos usuários. Eles estão isentos das políticas de senha estabelecidas para senhas de conta de usuário.

Por padrão, uma máquina associada a um domínio tenta alterar sua senha a cada 30 dias, embora esse intervalo possa ser alterado. Uma alteração de senha é iniciada pela máquina associada ao domínio, não por um mecanismo dentro do AD. Se um DC puder ser contatado, a cópia local da máquina da senha e a cópia armazenada no AD serão alteradas. Se a máquina não puder entrar em contato com um DC, ela não alterará a cópia local de sua senha.

Esses princípios se aplicam aos DCs da mesma forma que se aplicam a outras máquinas ingressadas em domínio. É possível que a cópia local de uma senha da conta de computador de um DC esteja fora de sincronia com a cópia armazenada no AD. Isso é até possível, embora raro, em um único domínio DC.

Interrompendo o serviço Key Distribution Center (KDC) do Kerberos

Se houver vários DCs no domínio, o serviço KDC deverá ser interrompido no DC afetado. A configuração do tipo de inicialização do serviço como Desativado também é recomendada para impedir que o serviço seja iniciado. Dependendo da extensão do problema e do número de DCs no domínio, talvez seja necessário interromper o serviço em outros DCs também. Se todos os outros DC no domínio estiverem sincronizados entre si (replicando sem erros), interrompa e desative o serviço somente no DC afetado. Caso contrário, interrompa-o e desative-o em todos os DCs que não estejam conseguindo replicar. Ele deve ser deixado em execução em pelo menos um DC. Se possível, interromper o serviço em todos os DCs, exceto um, e especificar esse DC como o destino do -server Alternar na etapa 4 deve dar bons resultados.