この記事では、ログインの試行中にドメイン内のクライアント コンピューターまたはメンバー サーバーで発生するセキュリティで保護されたチャネルに関する一般的な問題に対処するためのガイダンスを提供します。
現象
セキュリティで保護されたチャネルの問題により、ドメインに参加しているデバイスとそのドメインの間に信頼関係が切断された場合、コンピューターで次の現象が発生します。
Active Directory またはドメイン資格情報を使用してコンピューターにサインインすることはできません。 次のエラー メッセージが表示されます。
このワークステーションとプライマリ ドメインとの信頼関係が失敗しました。
ローカル ユーザーまたはキャッシュされた資格情報を使用してサインインできます。
システム イベント ビューアー ログに NETLOGON ソースからのイベント 3210 が表示されます。
Log name: System Source: NETLOGON Level: Error Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.Netlogon ログが有効になっている場合は、次の例のようになります。
Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022 Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022) Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022 Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64 .p./...[d..4d.ef Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022 Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0. Date Time [SESSION] CORP: NlSessionSetup: Session setup Failedセキュリティで保護されたチャネルの状態をテストしようとすると、"アクセスが拒否されました" というエラーが表示されます。
C:\>nltest /sc_query:contoso.com Flags: 0 Trusted DC Name Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully
一般的なシナリオ
最も一般的なシナリオとその原因を次に示します。
- クライアント コンピューターまたはメンバー サーバーに、Active Directory データベースよりも古いパスワードがあります。
- Active Directory データベースには、クライアント コンピューターまたはメンバー サーバーよりも古いパスワードがあります。 (ドメイン コントローラーが以前の状態に復元されるか、Active Directory レプリケーションの問題が発生しました)。
解決方法
この問題のトラブルシューティングを行うには、これらの手順に従います。
発生したシナリオに基づいて、ソリューションの対応する記事を参照してください。
その他の考慮事項
次のレジストリ キーに、(完全修飾ドメイン名 (FQDN) ではなく) コンピューターの実際の名前が含まれていることを確認します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerNameHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname
これらのキーのクエリを実行するには、次のコマンドを実行します。
Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname
Note
一部の IT 技術者または管理者は、セキュリティで保護されたチャネルの破損の問題を解決するために、マシンをドメインに再び参加させます。これは有効な解決策です。 ただし、絶え間ない問題や繰り返し発生する問題の原因を見つける必要がある場合は、この記事を参考にして、環境の根本原因を見つけることができます。
詳細
用語
- ローカル セキュリティ機関 (LSA) シークレット: 重要なデータを格納するために Windows のローカル セキュリティ機関によって使用される特別な保護された記憶域。 この一連の記事では、LSA シークレットは、ドメインに参加しているデバイスのコンピューター パスワードを参照します。
- Cupdtime: LSA シークレットの最後の更新時刻を指します。この一連の記事では、コンピューターのパスワードです。 この情報は、
HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtimeの Windows レジストリに格納されます。 - pwdLastSet (PasswordLastSet): Active Directory に格納されているコンピューター オブジェクト属性。