Windows Server: Identifiera och reparera en trasig säker kanal på en Active Directory-domänkontrollant

Summary: Den här artikeln visar hur du identifierar en bruten säker kanal på en Active Directory-domänkontrollant (DC) och reparerar den.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Replikeringen misslyckas mellan en påverkad domänkontrollant och andra i domänen. Orsaken till felet kan variera, men "Målhuvudnamnet är felaktigt" är en stark indikator på en bruten säker kanal.
    • Resultatkoder som är associerade med det här felet är -2146893022 och 0x80090322. Dessa koder kan förekomma i repadmin utdata eller händelser i händelseloggen för katalogtjänsten.
  • "Förtroenderelationen mellan den här arbetsstationen och den primära domänen misslyckades" är ett annat fel som är associerat med en trasig säker kanal.
  • Om den berörda domänkontrollanten är en DNS-server kan DNS-hanterarens konsol ge felmeddelandet "Åtkomst nekad" när du ansluter till domänkontrollanten.

Cause

Domänkontrollantens egen kopia av lösenordet för datorkontot matchar inte motsvarande lösenord som lagras i Active Directory-databasen (AD). När dessa lösenord skiljer sig åt kan en säker kanal inte upprättas. Mer information om lösenord för datorkonton i AD finns i Ytterligare information nedan.

Resolution

Informationen Test-ComputerSecureChannel PowerShell-kommandot med -Repair switch kan reparera en trasig säker kanal på en DC. (Det finns andra metoder, men det här kommandot är enkelt och okomplicerat.) Utför följande steg på den berörda domänkontrollanten för att reparera dess säkra kanal:

  1. Hoppa över det här steget om det bara finns en domänkontrollant i domänen. Stoppa tjänsten Kerberos Key Distribution Center (KDC) och ange dess starttyp till Inaktiverad.
    Det kan också vara nödvändigt att göra detta på andra domänkontrollanter i domänen, men tjänsten måste köras på minst en domänkontrollant. Se ytterligare information nedan.
  2. Starta en upphöjd PowerShell-prompt.
  3. Kör klist purge för att ta bort befintliga Kerberos-biljetter.
  4. Kör Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    Ersätt <good_dc> med namnet eller IP-adressen för en domänkontrollant som KDC-tjänsten körs på.
  5. Kommandots utdata bör indikera att den säkra kanalen har reparerats:
    Utdata från kommandot Test-ComputerSecureChannel som visar lyckad reparation av den säkra kanalen Bild 1: Den säkra kanalen har reparerats.
  6. Framtvinga AD-replikering till och från den berörda domänkontrollanten och bekräfta att den lyckas.
  7. Återställ starttypen för KDC-tjänsten till Automatisk på alla domänkontrollanter och starta tjänsten. (Med andra ord, ångra det som gjordes i steg 1.)

Additional Information

Lösenord för datorkonton i Active Directory

Varje domänansluten dator har ett datorkonto i AD-databasen. Precis som användarkonton har dessa datorkonton associerade lösenord. Dessa lösenord används för att upprätta en säker kommunikationsväg (en säker kanal) mellan enheter i domänen. Varje dator lagrar en kopia av sitt lösenord lokalt och en annan kopia lagras i AD-databasen. Lösenord för datorkonton upphör inte att gälla och kräver inte manuellt underhåll av användarna. De är undantagna från lösenordspolicyer som upprättats för lösenord för användarkonton.

Som standard försöker en domänansluten dator ändra sitt lösenord var 30:e dag, även om det här intervallet kan ändras. En lösenordsändring initieras av den domänanslutna datorn, inte av en mekanism i AD. Om en domänkontrollant kan kontaktas ändras både maskinens lokala kopia av lösenordet och kopian som lagras i AD. Om enheten inte kan kontakta en domänkontrollant kommer den inte att ändra den lokala kopian av lösenordet.

Dessa principer gäller för domänkontrollanter precis som de gäller för andra domänanslutna datorer. Det är möjligt att en domänkontrollants lokala kopia av lösenordet för datorkontot inte är synkroniserad med kopian som lagras i AD. Detta är till och med möjligt, även om det är sällsynt, i en domän med en enda domänkontroll.

 

Stoppa tjänsten Kerberos Key Distribution Center (KDC)

Om det finns flera domänkontrollanter i domänen måste KDC-tjänsten stoppas på den berörda domänkontrollanten. Vi rekommenderar också att du anger tjänstens starttyp till Inaktiverad för att förhindra att tjänsten startar. Beroende på problemets omfattning och antalet domänkontrollanter i domänen kan tjänsten även behöva stoppas på andra domänkontrollanter. Om alla andra domänkontrollanter i domänen synkroniseras med varandra (replikerar utan fel) stoppar och inaktiverar du tjänsten endast på den berörda domänkontrollanten. Annars stoppar och inaktiverar du den på alla domänkontrollanter som inte kan replikeras. Den måste köras på minst en DC. Om möjligt, stoppa tjänsten på alla domänkontrollanter utom en och ange den domänkontrollanten som mål för -server Byte i steg 4 bör ge bra resultat.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.