AD環境で時々発生します。
対処法をまとめてみました。
発生したトラブル
Windowsにログオンしようとすると画像のようなメッセージが表示され、ログオンできなくなる。
このワークステーションとプライマリドメインの信頼関係に失敗しました
環境
Windows 10 Pro で Active Directoryにドメイン参加済み
対処法
私の少ない経験から対処法を2つ書いていきます。
対処法1:セキュアチャネルの修復
今回のトラブルはたいていの場合セキュアチャネルが破損しています。
そのため、セキュアチャネルを修復してあげれば再びログオンできるようになる可能性が高いです。
- ログオンできないユーザーにDomain Adminsを付与する
セキュアチャネルの修復のために、Domain Adminsに対象ユーザーを追加しておきます。 - 管理者のローカルアカウントでログオンする
ADの参加ユーザーではなく、管理者権限をもつWindowsのローカルユーザーでログオンします。
ローカルユーザーでのログオンは、ユーザー名に”パソコン名\ローカルユーザー名“と入力します。 - 管理者権限でPowerShellを起動する
ローカルユーザーでログオン後、PowerShellを管理者として起動します。 - セキュアチャネルを修復する
以下のコマンドを入力し、セキュアチャネルの状況を確認します。
Test-ComputerSecureChannel
Falseの場合、セキュアチャネルが破損しています。
引き続き、以下のコマンドを実行し、セキュアチャネルを修復します。
Test-ComputerSecureChannel -Repair -Credential ドメイン\ユーザー名
資格情報が要求されるので、対象ユーザーの現在のログオンパスワードを入力し『OK』します。
成功するとPowerShellでTrueが返ってきます。
対象ユーザーでログオンできれば解決です。
Domain Adminsから対象ユーザーを抜いて終わりです。
Domain Adminsにユーザー追加しないと
Domain Adminsにユーザー追加しないとPowerShellで修復ができず、以下のようにエラーメッセージが出ます。
|
1 2 3 4 5 6 7 |
PS C:\Windows\system32> Test-ComputerSecureChannel -Repair -Credential ドメイン\ユーザー名 Test-ComputerSecureChannel : ドメイン内のコンピューター アカウントのセキュリティで保護されたチャネル パスワードをリセットできません。次の例外が原因で操作に失敗しました: アクセスが拒否されました。 (HRESULT からの例外:0x80070005 (E_ACCESSDENIED))。 発生場所 行:1 文字:1 + Test-ComputerSecureChannel -Repair -Credential ドメイン\ユーザー名 + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OperationStopped: (コンピューター名:String) [Test-ComputerSecureChannel], InvalidOperationException + FullyQualifiedErrorId : FailToResetPasswordOnDomain,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand |
対処法2:ドメイン再参加
セキュアチャネルの修復ができない場合などは、面倒ではありますがドメインへの再参加をします。
このページを閲覧している人であれば詳細な手順はお分かりだと思うので簡単に書きます。
- 対象ユーザーをDomain Adminsに追加する
- 対象PCのローカルユーザー(管理者)でログオンする
- ドメインからWORKGROUPへ変更する⇒再起動
- WORKGROUPからドメインへ再参加する
- ドメインユーザーでログオンできることを確認する
コメント