Windows Server: Active Directory Etki Alanı Denetleyicisindeki Bozuk Güvenli Kanalı Belirleme ve Onarma

Summary: Bu makalede, Active Directory etki alanı denetleyicisindeki (DC) bozuk bir güvenli kanalın nasıl belirleneceği ve onarılacağı gösterilmektedir.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Etkilenen bir DC ile etki alanındaki diğer DC arasında çoğaltma başarısız olur. Hatanın nedeni değişebilir ancak "Hedef asıl adı yanlış", bozuk bir güvenli kanalın güçlü bir göstergesidir.
    • Bu hatayla ilişkili sonuç kodları arasında -2146893022 ve 0x80090322 bulunur. Bu kodlar şurada görünebilir: repadmin Dizin Hizmeti olay günlüğündeki çıktı veya olaylar.
  • Bu iş istasyonu ile birinci etki alanı arasındaki güven ilişkisi başarısız", bozuk bir güvenli kanalla ilişkili başka bir hatadır.
  • Etkilenen DC bir DNS sunucusuysa DNS Manager konsolu bu DC'ye bağlanırken "Erişim reddedildi" hatası verebilir.

Cause

DC'nin bilgisayar hesabı parolasının kendisine ait kopyası, Active Directory (AD) veritabanında saklanan ilgili parolayla eşleşmiyor. Bu parolalar farklı olduğunda güvenli bir kanal kurulamaz. AD'deki bilgisayar hesabı parolaları hakkında daha fazla bilgiyi aşağıdaki Ek Bilgiler bölümünde bulabilirsiniz.

Resolution

Komutta Test-ComputerSecureChannel ile PowerShell komutu -Repair anahtar, bir DC'deki bozuk bir güvenli kanalı onarabilir. (Başka yöntemler de vardır ancak bu komut basit ve anlaşılırdır.) Etkilenen DC'nin güvenli kanalını onarmak için bu adımları uygulayın:

  1. Etki alanında yalnızca bir DC varsa bu adımı atlayın. Kerberos Key Distribution Center (KDC) hizmetini durdurun ve başlangıç türünü Devre Dışı olarak ayarlayın.
    Bunu etki alanındaki diğer DC'lerde de yapmak gerekebilir ancak hizmetin en az bir DC'de çalışır durumda bırakılması gerekir. Aşağıdaki Ek Bilgiler bölümüne bakın.
  2. Yükseltilmiş bir PowerShell istemi başlatın.
  3. Sürücüyü yüklemek için ilgili düğümde klist purge mevcut Kerberos anahtarlarını silmek için
  4. Sürücüyü yüklemek için ilgili düğümde Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    good_dc değerini, KDC hizmetinin çalıştırıldığı DC'nin adı veya IP adresi ile değiştirin<.>
  5. Komutun çıktısı, güvenli kanalın başarıyla onarıldığını göstermelidir:
    Güvenli kanalın başarılı bir şekilde onarıldığını gösteren Test-ComputerSecureChannel komutunun çıktısı Şekil 1: Güvenli kanal başarıyla onarıldı.
  6. Etkilenen DC'ye ve DC'den AD çoğaltmayı zorlayın ve başarılı olduğunu onaylayın.
  7. KDC hizmetinin başlangıç türünü tüm DC'lerde Otomatik olarak sıfırlayın ve hizmeti başlatın. (Başka bir deyişle, 1. adımda yapılanı geri alın.)

Additional Information

Active Directory'de Bilgisayar Hesabı Parolaları

Etki alanına katılmış her makinenin AD veritabanında bir bilgisayar hesabı vardır. Kullanıcı hesapları gibi, bu bilgisayar hesaplarının da kendileriyle ilişkilendirilmiş parolaları vardır. Bu parolalar, etki alanındaki aygıtlar arasında güvenli bir iletişim yolu ( güvenli bir kanal) oluşturmak için kullanılır. Her makine parolasının bir kopyasını yerel olarak depolar ve başka bir kopya AD veritabanında saklanır. Bilgisayar hesabı parolalarının süresi dolmaz ve kullanıcılar tarafından manuel bakım yapılması gerekmez. Kullanıcı hesabı parolaları için oluşturulan parola politikalarından muaftırlar.

Varsayılan olarak, etki alanına katılmış bir makine parolasını her 30 günde bir değiştirmeyi dener, ancak bu aralık değiştirilebilir. Parola değişikliği, AD içindeki bir mekanizma tarafından değil, etki alanına katılmış makine tarafından başlatılır. DC ile bağlantı kurulabiliyorsa makinenin yerel parola kopyası ve AD'de depolanan kopya değişir. Makine bir DC ile bağlantı kuramıyorsa parolasının yerel kopyasını değiştirmez.

Bu ilkeler, etki alanına katılmış diğer makineler için geçerli olduğu gibi DC'ler için de geçerlidir. Bir DC'nin bilgisayar hesabı parolasının yerel kopyasının, AD'de saklanan kopyayla senkronize olmaması mümkündür. Bu, nadir de olsa tek DC etki alanında bile mümkündür.

 

Kerberos Key Distribution Center (KDC) hizmetini durdurma

Etki alanında birden fazla DC varsa etkilenen DC'de KDC hizmeti durdurulmalıdır. Hizmetin başlatılmasını önlemek için hizmetin başlangıç türünün Devre Dışı olarak ayarlanması da önerilir. Sorunun kapsamına ve etki alanındaki DC sayısına bağlı olarak, hizmetin diğer DC'lerde de durdurulması gerekebilir. Etki alanındaki diğer tüm DC'ler birbiriyle senkronize edilmişse (hatasız çoğaltılıyorsa) hizmeti yalnızca etkilenen DC'de durdurun ve devre dışı bırakın. Aksi takdirde, çoğaltılamayan DC'lerde bunu durdurun ve devre dışı bırakın. En az bir DC'de çalışır durumda bırakılmalıdır. Mümkünse biri hariç tüm DC'lerde hizmeti durdurmak ve bu DC'yi -server 4. adımdaki geçiş iyi sonuçlar vermelidir.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.