Güvenli kanal sorunları nedeniyle etki alanına katılmış bir cihaz ile etki alanı arasındaki güven ilişkisi kesildi

Bu makale, oturum açma girişimleri sırasında bir etki alanı içindeki istemci makinelerinde veya üye sunucularda karşılaşılan yaygın güvenli kanal sorunlarını gidermeye yönelik yönergeler sağlar.

Belirtiler

Güvenli kanal sorunları etki alanına katılmış bir cihazla etki alanı arasında güven ilişkisinin bozulmasına neden olduğunda, bilgisayarda aşağıdaki belirtileri gözlemlersiniz:

• Active Directory veya etki alanı kimlik bilgilerini kullanarak bilgisayarda oturum alamazsınız. Aşağıdaki hata iletisi oluşur:

  Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız.

  Yerel bir kullanıcı veya önbelleğe alınmış kimlik bilgilerini kullanarak oturum açabilirsiniz.

• System Olay Görüntüleyicisi günlüğünde NETLOGON kaynağından bir Olay 3210 görürsünüz:

  

  Log name: System  
  Source: NETLOGON  
  Level: Error  
  Description: This computer could not authenticate with \\DCName.contoso.com, a Windows domain controller for domain CONTOSO, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
  

• Netlogon günlüğü etkinleştirildiyse, şu örneğe benzer bir şey görürsünüz:

  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [CRITICAL] CORP: NlSessionSetup: new password is bad, try old one
  Date Time [CRITICAL] NlPrintRpcDebug: Couldn't get EEInfo for I_NetServerAuthenticate3: 1761 (may be legitimate for 0xc0000022)
  Date Time [SESSION] CORP: NlSessionSetup: Negotiated flags with server are 0x612fffff
  Date Time [CRITICAL] CORP: NlSessionSetup: Session setup: cannot I_NetServerAuthenticate 0xc0000022
  Date Time [MISC] Eventlog: 3210 (1) "CORP" "\\DCName.Contoso.com" 2f8270f1 5bc8d5e7 34c3e164 6665df64   .p./...[d..4d.ef
  Date Time [SESSION] CORP: NlSetStatusClientSession: Set connection status to c0000022
  Date Time [SESSION] CORP: NlSetStatusClientSession: Unbind from server \\DCName.Contoso.com (TCP) 0.
  Date Time [SESSION] CORP: NlSessionSetup: Session setup Failed
  

• Güvenli kanal durumunu test etmeye çalışırsanız "Erişim reddedildi" hatası alırsınız:

  C:\>nltest /sc_query:contoso.com
  
  Flags: 0
  Trusted DC Name
  Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
  The command completed successfully
  

Genel senaryolar

En yaygın senaryolar ve bunların nedenleri şunlardır:

• İstemci makinesi veya üye sunucu Active Directory veritabanından daha eski bir parolaya sahiptir.
• Active Directory veritabanı, istemci makinesinden veya üye sunucudan daha eski bir parolaya sahiptir. (Etki alanı denetleyicisi önceki bir duruma veya Active Directory çoğaltma sorunlarına geri yüklenir.)

Çözüm

Sorunu gidermek için şu adımları izleyin:

1. Sorunun nedenini belirlemek için verileri toplayın.

2. Karşılaştığınız senaryoya bağlı olarak, çözümler için ilgili makaleye bakın:

   • Active Directory,istemci cihazından daha yeni bir parola değerine sahip
   • İstemci cihazında Active Directory'den daha yeni bir parola değeri var

Dikkat edilecek diğer noktalar

Aşağıdaki kayıt defteri anahtarlarının bilgisayarın gerçek adını (tam etki alanı adı (FQDN) değil) içerdiğinden emin olun:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\hostname

Aşağıdaki komutları çalıştırarak bu anahtarları sorgulayabilirsiniz:

Reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName /v ComputerName
Reg query HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters /v hostname

Not

Bazı BT teknisyenleri veya yöneticileri, bozuk güvenli kanal sorununu çözmek için makineyi etki alanına yeniden ekler ve bu da geçerli bir çözümdür. Ancak, sürekli veya yinelenen sorunların nedenini bulmanız gerekirse, bu makale ortamdaki kök nedeni bulmanıza yardımcı olur.

Daha Fazla Bilgi

• PsExec
• Nltest
• Netlogon hizmeti için hata ayıklama günlüğünü etkinleştirme
• Önbelleğe alınan kimlik bilgileri ve doğrulama

Terminoloji

• Yerel Güvenlik Yetkilisi (LSA) gizli dizisi: Windows'ta Yerel Güvenlik Yetkilisi tarafından önemli verileri depolamak için kullanılan özel korumalı bir depolama alanı. Bu makale serisinde LSA gizli dizisi, etki alanına katılmış bir cihazın bilgisayar parolasını ifade eder.
• Cupdtime: LSA gizli dizisinin son güncelleştirme zamanını, bu makale dizisinde bilgisayar parolasını ifade eder. Bu bilgiler altında HKEY_LOCAL_MACHINE/Security/Policy/Secrets$MACHINE.ACC/cupdtimeWindows kayıt defterinde depolanır.
• pwdLastSet (PasswordLastSet): Active Directory'de depolanan bir bilgisayar nesnesi özniteliği.