ドメインコントローラー、ADからコンピュータ、サーバのセキュアチャネルの破損を確認するコマンド

ドメインコントローラー、ADからコンピュータ、サーバのセキュアチャネルの破損を確認するコマンドに関する情報です。

基本的にはユーザーがドメイン環境にアクセス、接続できないという申告で気づくことが多いかと思いますが、管理者側からチェックしたい場合に、便利です。

情報元はこちらです。

3. セキュアチャネルが破損した時の対処方法

結論から先にお話しすると、セキュアチャネルが破損してしまった場合、問題の発生したクライアントコンピューターを一度ドメインの登録から外して、再度ドメインに参加させる必要があります。

コンピューターアカウントのパスワードは、ユーザーアカウントのパスワードのように DC 側でパスワードのリセットを行って、次回以降はユーザーが新しく設定したパスワードを使用する・・・といった方法を使うことができません。これは、コンピューターアカウントパスワードの更新はセキュアチャネルを使用して、DC とクライアントの間で対話的に行う必要があり、どちらからが一方的にパスワードを変更することはできないからです。

もしクライアント側で保持しているパスワード情報のみがおかしくなってしまったのであれば、クライアントをバックアップからリストアするという方法もありますが、そのような状況は稀でしょう。また、詳しくは後述していますが、サポートツールで提供されている nltest や netdom などのツールを使用しても、クライアントコンピューターをセキュアチャネルが破損した状態から回復させることはできません (ただ、余談ではありますが、セキュアチャネルが破損したのが DC である場合は、KB 435000 に記載されている手順で対処できる場合があります) 。

それでは、下記にクライアントをドメインに再参加させる手順をご紹介します。

1) [コントロールパネル] を開き、[システム] をダブルクリックします。
2) (Windows Vista の場合) 開いた画面の左側のメニューから、"システムの詳細設定" をクリックします。
3) [コンピュータ名] タブを開き、[変更] ボタンをクリックします。
4) [ワークグループ] のラジオボタンを選択し、ワークグループ名を入力して [OK] をクリックします。
5) コンピューターを再起動します。
6) 再度、1 ～ 3 の手順を実施して、コンピュータ名 / ドメイン名の変更の画面を開きます。
7) [ドメイン] のラジオボタンを選択し、再参加するドメイン名を入力して [OK] をクリックします。
8) コンピューターを再起動します。

続いて、確認コマンドです。

- セキュアチャネルの検証を行う
クライアントコンピューターと DC との間で正しくセキュアチャネルを確立できているかどうかを検証します。例えば、セキュアチャネルが破損していてキャッシュログオンしているクライアントコンピューターに対して下記のコマンドを実行するとエラーの結果が出力されます。
<コマンド実行例>
nltest /SC_VERIFY:{ドメイン名}
netdom verify {コンピューター名} /domain:{ドメイン名}

- コンピューターアカウントパスワードのリセット
セキュアチャネルの確立に使用するコンピューターアカウントのパスワードをリセットします。
<コマンド実行例>
nltest /SC_RESET:{ドメイン名}
netdom reset {コンピューター名} /domain:{ドメイン名}

- コンピューターアカウントパスワードの更新
セキュアチャネルの確立に使用するコンピューターアカウントのパスワードを更新します。
<コマンド実行例>
nltest /SC_CHANGE_PWD:{ドメイン名}

** 留意事項-1 **
上記のいずれのコマンドも、nltest はクライアント側で、netdom は DC 側で実行します。

** 留意事項-2 **
nltest や netdom を用いてパスワードのリセットや更新を行うためには、DC との間でセキュアチャネルが確立されている必要があります。このため、セキュアチャネルの破損後には、これらのコマンドを用いてもパスワードのリセットや更新を行うことはできません。一度破損してしまったセキュアチャネルを復旧するためには、やはりドメインへの再参加を行う必要があることにご留意ください。