Сервер Windows: Виявлення та виправлення пошкодженого захищеного каналу на контролері домену Active Directory

• Реплікація не відбувається між ураженим DC та іншими в домені. Причина збою може бути різною, але «Ім'я принципала цілі неправильне» є сильним індикатором розриву захищеного каналу.
  • Коди результатів, пов'язані з цією помилкою, включають -2146893022 і 0x80090322. Ці коди можуть з'являтися в repadmin вивід або події в журналі подій служби каталогу.
• «Не вдалося довірчих відносин між цією робочою станцією та основним доменом» — ще одна помилка, пов'язана з пошкодженим захищеним каналом.
• Якщо уражений DC є DNS-сервером, консоль DNS Manager може видавати помилку «Доступ заборонено» під час підключення до цього DC.

Власна копія пароля облікового запису комп'ютера округу Колумбія не збігається з відповідним паролем, що зберігається в базі даних Active Directory (AD). Якщо ці паролі відрізняються, неможливо встановити захищений канал. Докладнішу інформацію про паролі облікових записів комп'ютерів у AD можна знайти в розділі «Додаткова інформація » нижче.

Об'єкт Test-ComputerSecureChannel PowerShell з командою -Repair Вимикач може відремонтувати зламаний захищений канал на постійному струмі. (Є й інші методи, але ця команда проста і зрозуміла.) Виконайте такі дії на пошкодженому постійному струмі, щоб відремонтувати його захищений канал:

1. Пропустіть цей крок, якщо в домені лише один DC. Зупиніть роботу служби Kerberos Key Distribution Center (KDC) і встановіть для її типу запуску значення Вимкнено.
   Також може знадобитися зробити це на інших ДЦ у домені, але службу потрібно залишити працювати принаймні на одному ДЦ. Додаткову інформацію дивіться нижче.
2. Запустіть розширений запит PowerShell.
3. Бігти klist purge , щоб видалити наявні квитки Kerberos.
4. Бігти Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
   Замініть <good_dc> на ім'я або IP-адресу постійного струму, на якому запущено службу KDC.
5. Вихід команди повинен вказувати на те, що захищений канал був успішно відремонтований:
   Малюнок 1: Захищений канал був успішно відремонтований.
6. Примусово реплікація АД до ураженого постійного струму та з нього та підтвердьте, що вона вдалася.
7. Скиньте тип запуску служби KDC на Автоматичний на всіх DC і запустіть службу. (Іншими словами, скасуйте те, що було зроблено на кроці 1.)

Паролі облікових записів комп'ютера в Active Directory

Кожна машина, приєднана до домену, має обліковий запис комп'ютера в базі даних AD. Як і облікові записи користувачів, ці облікові записи комп'ютерів мають пов'язані паролі. Ці паролі використовуються для встановлення безпечного каналу зв'язку ( захищеного каналу) між пристроями в домені. Кожен апарат зберігає копію свого пароля локально, а інша копія зберігається в базі даних AD. Паролі облікових записів комп'ютерів не мають терміну дії та не потребують ручного обслуговування користувачами. Вони звільнені від політики паролів, встановленої для паролів облікових записів користувачів.

За замовчуванням комп'ютер, приєднаний до домену, намагається змінити свій пароль кожні 30 днів, хоча цей інтервал можна змінити. Зміна пароля ініціюється комп'ютером, приєднаним до домену, а не механізмом у межах AD. Якщо можна зв'язатися з постійним струмом, локальна копія пароля апарата та копія, що зберігається в AD, зміняться. Якщо апарат не може підключитися до постійного струму, він не змінить локальну копію свого пароля.

Ці принципи застосовуються до DC так само, як і до інших машин, з'єднаних з доменом. Локальна копія пароля облікового запису комп'ютера постійного струму може бути несинхронізована з копією, що зберігається в AD. Це навіть можливо, хоча й рідко, в домені з одним DC.

Зупинка служби Kerberos Key Distribution Center (KDC)

Якщо в домені є кілька DC, службу KDC потрібно зупинити на відповідному DC. Також рекомендується встановити тип запуску служби на Вимкнено, щоб запобігти запуску служби. Залежно від масштабу проблеми та кількості ДЦ у домені, можливо, доведеться зупинити роботу служби й на інших ДЦ. Якщо всі інші ДЦ в домені синхронізовані між собою (реплікація без помилок), зупиніться і відключіть службу тільки на ураженому ДЦ. В іншому випадку зупиніться та вимкніть його на будь-яких DC, які не відтворюються. Його необхідно залишити працюючим хоча б на одному постійному струмі. Якщо можливо, зупиніть службу на всіх ЦЦ, крім одного, і вказавши цей ДЦ як ціль -server Перемикання на кроці 4 має дати хороші результати.