Windows Server. Выявление и восстановление поврежденного защищенного канала на контроллере домена Active Directory

• Сбой репликации между затронутым контроллером домена и другими контроллерами домена в домене. Причина сбоя может отличаться, но сообщение «Неверное имя целевого участника» является надежным признаком нарушения защищенного канала.
  • Коды результатов, связанные с этой ошибкой: -2146893022 и 0x80090322. Эти коды могут отображаться в repadmin выходные данные или события в журнале событий службы каталогов.
• «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» — еще одна ошибка, связанная с нарушенным защищенным каналом.
• Если затронутый контроллер домена является DNS-сервером, консоль диспетчера DNS может выдать ошибку «Отказано в доступе» при подключении к этому контроллеру домена.

Собственная копия пароля учетной записи компьютера контроллера домена не соответствует соответствующему паролю, хранящемуся в базе данных Active Directory (AD). Если эти пароли отличаются, невозможно установить защищенный канал. Дополнительные сведения о паролях учетных записей компьютеров в AD можно найти в разделе Дополнительная информация ниже.

Переменная Test-ComputerSecureChannel PowerShell с параметром -Repair коммутатор может восстановить поврежденный защищенный канал на контроллере домена. (Существуют и другие методы, но эта команда проста и понятна.) Выполните следующие действия на затронутом контроллере домена, чтобы восстановить его защищенный канал:

1. Пропустите этот шаг, если в домене имеется только один контроллер домена. Остановите работу службы центра распределения ключей Kerberos (KDC) и задайте для ее типа запуска значение Отключено.
   Это также может потребоваться сделать на других контроллерах домена в домене, но служба должна работать хотя бы на одном контроллере домена. См. раздел «Дополнительная информация » ниже.
2. Запустите командную строку PowerShell с повышенными привилегиями.
3. Выполните klist purge , чтобы удалить существующие билеты Kerberos.
4. Выполните Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Замените <good_dc> именем или IP-адресом контроллера домена, на котором запущена служба KDC.
5. В выходных данных команды должно быть указано, что защищенный канал был успешно восстановлен:
   Рис. 1. Защищенный канал был успешно восстановлен.
6. Выполните принудительную репликацию AD на затронутый контроллер домена и с затронутого контроллера домена и убедитесь, что она выполнена успешно.
7. Сбросьте тип запуска службы KDC на «Автоматический » на всех контроллерах домена и запустите службу. (Другими словами, отмените то, что было сделано на шаге 1.)

Пароли учетных записей компьютеров в Active Directory

Каждый компьютер, присоединенный к домену, имеет учетную запись компьютера в базе данных AD. Как и учетные записи пользователей, эти учетные записи компьютеров имеют связанные с ними пароли. Эти пароли используются для создания безопасного пути связи ( защищенного канала) между устройствами в домене. Каждый компьютер сохраняет копию своего пароля локально, а другая копия хранится в базе данных AD. Пароли учетных записей компьютеров не имеют срока действия и не требуют ручного обслуживания пользователями. На них не распространяются политики паролей, установленные для паролей учетных записей пользователей.

По умолчанию компьютер, присоединенный к домену, пытается изменить свой пароль каждые 30 дней, хотя этот интервал можно изменить. Изменение пароля инициируется компьютером, присоединенным к домену, а не механизмом в AD. Если с контроллером домена можно связаться, локальная копия пароля компьютера и копия, хранящаяся в AD, изменятся. Если компьютер не может связаться с контроллером домена, он не изменит локальную копию своего пароля.

Эти принципы применимы к контроллерам домена так же, как и к другим машинам, присоединенным к домену. Локальная копия пароля учетной записи компьютера контроллера домена может быть не синхронизирована с копией, хранящейся в AD. Это возможно даже, хотя и редко, в домене с одним ЦОД.

Остановка службы центра распределения ключей (KDC) Kerberos

Если в домене имеется несколько контроллеров домена, сервис KDC должен быть остановлен на затронутом контроллере домена. Также рекомендуется установить для типа запуска службы значение Отключено, чтобы предотвратить запуск службы. В зависимости от масштаба проблемы и количества контроллеров домена может потребоваться остановить работу службы и на других контроллерах домена. Если все остальные контроллеры домена синхронизированы друг с другом (репликация выполняется без ошибок), остановите и отключите сервис только на затронутом контроллере домена. В противном случае остановите и отключите ее на всех контроллерах домена, на которых не выполняется репликация. Он должен работать хотя бы на одном контроллере домена. Если возможно, остановите сервис на всех контроллерах домена, кроме одного, и укажите этот контроллер домена в качестве целевого ресурса -server Переключатель на шаге 4 должен дать хорошие результаты.