次の方法で共有

Active Directory のパスワード値がクライアント デバイスよりも新しい

セキュリティで保護されたチャネルの問題をトラブルシューティングするための Data コレクションの手順に基づいてデータを収集した後 Active Directory の pwdLastSet 値がクライアント デバイスよりも新しいことがわかります。 この記事では、このシナリオの問題を解決する方法について説明します。

考えられる原因

仮想マシンを古いスナップショットに戻す

この原因を確認する特定のイベントが見つかりません。 代わりに、時間のジャンプについてログを確認できます。 たとえば、System イベント ビューアー イベントが 2 月から 7 月にジャンプしている場合は疑わしいとします。 常に使用されているコンピューター上のデータのない数か月は、質問を開始する理由である必要があります。

また、システムが最近開始されたかどうかを確認することもできます。

イベント ID 12 のスクリーンショット。 

Event ID 12  
Log name: System  
Source: Kernel-General  
Description: The operating system started at system time 2024-08-24T19:15:58.500000000Z.

アップタイムを確認することもできます。 仮想マシンが以前のスナップショットに戻された場合、アップタイムは最新の状態になります。 また、スナップショットの反転だけでなく、必要な操作にも関連している可能性があります。

タスク マネージャーのアップタイムのスクリーンショット。

Note

マシンの再起動によって起動時間が引き起こされたかどうかを確認する必要があります。 コンピューターで何が行われたかを判断するには、ユーザーとの通信が必要です。

ベア メタル バックアップからの物理マシンまたは仮想マシンの復元

この原因は、前のセクションの原因と似ています。 最初の手順では、影響を受けるデバイスでアクションを確認するためのログがあるかどうかをバックアップ ソリューション管理者に確認します。

また、時間のジャンプについてログを確認することもできます。 たとえば、System イベント ビューアー イベントが 2 月から 7 月にジャンプしている場合は疑わしいとします。 常に使用されているコンピューター上のデータのない数か月は、質問を開始する理由である必要があります。

デバイスに最近のアップタイムがあるかどうかを確認します。

古いシステム復元ポイントからのマシンの復元

システムとアプリケーションのイベント ビューアー ログで、システムの復元が発生したことを示すイベントを調査できます (ID: 1208 または 8202)

Log Name:      System  
Source:        Microsoft-Windows-StartupRepair  
Event ID:      1208  
Level:         Information  
User:          SYSTEM  
Description: Restored system to an earlier restore point.  

Log Name:      Application  
Source:        System Restore  
Event ID:      8202  
Level:         Information  
Description: Successfully restored system (Restore Operation).

予期しないシャットダウンまたは停電

コンピューターが起動すると、"回復" 画面が表示され、ユーザーは既定のオプションを選択します。既定のオプションは、コンピューターを最後のシステム復元ポイントに復元することです。 また、マシンのパスワード変更後に Windows Embedded クライアントが予期せずシャットダウンされた場合、Regfdata ボリューム上のデータは失われ、最新の既知の状態に復元されます。たとえば、 HKLM\SECURITY\Policy\Secrets$machine.ACC 内の変更は、マシンの電源が失われたり、クリーンにシャットダウンされなかったりすると失われます。

予期しないシャットダウンまたは停電に関するイベントを検索できます (ID: 41 または 6008)

Log Name:      System  
Source:        Microsoft-Windows-Kernel-Power  
Event ID:      41  
Task Category: (63)  
Level:         Critical  
Description: The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. 

Log Name:      System  
Source:        EventLog  
Event ID:      6008  
Description: The previous system shutdown at 9:03:23 AM on 6/28/2018 was unexpected.

プールされたデスクトップで構成された仮想デスクトップ インフラストラクチャ (VDI) コンピューターは、イメージに基づいており、ユーザーがサインアウトしたときにスナップショットに復元されます (非永続的なマシンとも呼ばれます)。

一部の VDI インフラストラクチャには、依存関係として Netlogon を持つサービスがあります。 この場合は、VDI インフラストラクチャのサービスが、セキュリティで保護されたチャネル操作を回避する方法で Netlogon サービスを操作していないことを確認する必要があります。

また、影響を受けるデバイスがイメージから作成される可能性があり、コンピューターは Active Directory 上にあるものに従って、セキュリティで保護されたチャネル値に関する古いデータを含む環境に入ることができます。

この場合は、VDI インフラストラクチャ管理者が処理する必要があります。

解決方法

セキュリティで保護されたチャネル (または信頼関係) を修復するには、次の手順に従います。

  1. ドメイン管理者の資格情報を使用して、次のいずれかのコマンドを実行します。

    • Windows コマンド プロンプトから:

      nltest /sc_reset:domain_name

    • Windows PowerShell プロンプトから:

      Test-ComputerSecureChannel -Repair -Credential *

  2. コンピューターを再起動します。