Hyper-v このワークステーションとプライマリドメインの信頼関係に失敗しました

Q: セキュアチャネルの破損の原因は？

いわゆる「セキュアチャネルの破損」状態です。 原因の一例としては、ドメイン参加している PC/サーバのバックアップ取得後にコンピュータアカウントのパスワードが変更され、その後 PC/サーバ側をリストアした場合、コンピュータアカウントのパスワードは元に戻ってしまい、ドメインコントローラ側と不一致になります。

Q: プライマリドメインって何？

プライマリ ドメインはお客様の Google サービスのメインのブランドになります。 アカウントに追加されたユーザーには、そのドメインのユーザー名（taro@[ドメイン名].com など）がデフォルトで付与されます。 ユーザーはこの名前を使用して Google アカウントにログインします。

先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。

表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。

最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。

対処することができたので、メモを残します。

【症状】

症状は前述の通りです。
ドメインユーザーでログインしようとするとメッセージが表示されてログインすることができません。

【原因】

原因は、セキュアチャネルの破損が主な原因となります。
セキュアチャネルとは、ドメインサーバーとクライアントマシンが安全に通信する仕組みで、互いにアカウントとパスワードを保持するものです。

この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。

このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。

【対処法】

対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。
もし、まだドメインユーザーでログインできる状態なら良いのですが、全ユーザーがロックされてしまった場合は、ローカルユーザーでログインする必要があります。

ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。

私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。
せめてPC使用するメンバー（最低限管理者）でローカルユーザーのIDとパスワードを共有しておく必要があるなと思いました。

修復の方法ですが、

管理者権限のユーザーでログイン
「コントロールパネル」⇒「システム」⇒「システムの詳細設定」⇒「コンピューター名」を開きます
「変更」ボタンを押下
「所属するグループ」で”ドメイン”にチェックが入っていると思うので、”ワークグループ”にチェックを入れ、適当なグループ名を設定します（WORK_GROUPで良いと思います）
※この時、ドメイン名をメモしておきましょう
「OK」ボタンを押下して、ウィンドウを閉じていきます
再起動を要求されるので、PCを再起動します（いいえを押した場合は、後ほど再起動してください）
再起動したら、ローカルユーザーでログイン
2、3の手順を行い、4の手順で今度は”ドメイン”にチェックを入れて、メモしていたドメイン名を入力します
「OK」ボタンを押下します
ドメインのパスワードを求められるので入力します（分からない場合はドメインの管理者に確認を）
「○○へようこそ！」のようなメッセージが表示されれば作業完了です

これで再びドメインユーザーでログインできるようになります。

他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。
コマンドで復旧する場合はログインできるユーザーがいないとダメですしね。。。

ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。＼(^o^)／
その場合は、Windowsを出荷状態に戻す作業で復活させられますよ。（データファイルは残りますが、アプリは要再インストール）

今回のマシンですが、Windows Updateを行った翌日に発生しました。
関連性のほどははっきりしませんが、一応記載しておきますね。

ちなみに、別件で明らかにWindows Updateが原因の障害（ログイン後に画面がブラックアウト）も発生したので、同Updateに起因する障害である確率は高いと思っています。
こちらの対処法も後日記事にします。

Mask_Siva

北の試される大地に生息しているSEです。
楽しみながらプログラムを作ったり、ゲームで遊んだりしています。

Windows Server 2012 R2のドメインコントローラー配下のメンバーサーバにて、”このワークステーションとプライマリドメインとの信頼関係に失敗しました”と表示される事があります。これはWindows Server 2016、Windows Server 2019でも発生しうる事象です。

基本的に、よく発生する現象ではないのですが、サーバーを仮想化した環境の場合、ある操作で発生する事があります。

よく発生する要因として、仮想マシンのバックアップ、スナップショットを取っておいて、そのバックアップ、スナップショットから仮想マシンの状態が古い状態になると、発生する場合があります。

例えば、VMwareの仮想環境で、1か月前に取得したスナップショットへ戻す場合などですね。

>>［Network］ → Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windows OSの復元後、ドメイン・ログオンに失敗する現象を防ぐ

https://www.atmarkit.co.jp/fwin2k/win2ktips/1327discap/discap.html

ちなみにこの事象は、以下のようなコンピューターアカウントのパスワードの不一致によって発生すると思われます。

ユーザー自身とドメイン・ユーザー・アカウントの関係と同じく、ドメインに参加しているコンピュータにも「コンピュータ・アカウント」があり、その情報はドメイン・コントローラの持つデータベースに格納されている。そしてコンピュータ・アカウントにもパスワードがあり、ドメインとコンピュータの双方に保存されていて両者間の認証に利用される。
ただし、ユーザー・アカウントと違ってコンピュータ・アカウントのパスワードは自動で更新され、通常はユーザーの目に触れることはない。デフォルトの更新間隔である30日が経つと、コンピュータはドメイン・コントローラと通信しあって新たなパスワードを生成し、双方で更新・保存する。
ところが、ドメインとコンピュータの間で何らかの理由によりパスワードが食い違ってしまうと、そのコンピュータはドメインに正しく参加していないと見なされ、ドメインにログオンできなくなってしまう。

この状態から解決するには、ドメインからコンピューターを削除し、その後でコンピューターをドメインに再参加させます。

【手順】

①ローカル管理者アカウントを使用して、コンピューターにログオンします。

②「スタート」ボタンをクリックし、「コンピューター」を右クリックし、「プロパティ」をクリックします。コンピューター名の横にある「設定の変更」をクリックします。

③「コンピューター名」タブで、「変更」をクリックします。

④「所属するグループ」見出しの下で、「ワークグループ」を選択し、ワークグループ名を入力して、「OK」をクリックします。

⑤コンピューターを再起動するかどうかを確認するメッセージが表示されたら、「はい」をクリックします。

⑥再起動後、再び、ローカル管理者アカウントを使用して、コンピューターにログオンします。

⑦「コンピューター名」タブで、「変更」をもう一度クリックします。

⑧「所属するグループ」見出しの下で、「ドメイン」を選択し、ドメイン名を入力します。「OK」をクリックし、ドメイン内でアクセス許可を持っているユーザーの資格情報を入力します。

⑨コンピューターを再起動するかどうかを確認するメッセージが表示されたら、「はい」をクリックします。

⑩コンピューターを再起動します。

以前の職場では、仮想環境でなくても、物理マシンのWindows 10でわりと発生した事がありました。意外と遭遇する事象ではありますが、サーバーによっては再ドメイン参加はリスクになる場合があるので、注意が必要ですね。基本的にセキュリティチャネルの破損した場合は、ドメイン再参加が手っ取り早く復旧出来ます。

ドメイン環境でWindowsマシンを運営していると、ドメインに関する問題が発生する場合があります。

例えば、「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示され、ドメインにログインできない場合があります。

例えば、VMwareなどの仮想環境で、かなり前に取得したバックアップやスナップショットから仮想マシンを戻した場合などにも、このメッセージが表示される場合があります。

そして、この問題に関するマイクロソフトの公開情報はこちらです。

"このワークステーションとプライマリドメインとの信頼関係に失敗しました" エラーが Windows 7 にログオンすると表示される

https://support.microsoft.com/ja-jp/help/2771040/the-trust-relationship-between-this-workstation-and-the-primary-domain

現象としては、ドメイン環境で Windows 7 を搭載しているコンピューターにログオンするときに、次のエラーメッセージが表示されます。

「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」

解決方法は、ドメインからコンピューターを削除し、その後でコンピューターをドメインに接続します。

この場合、次の手順を実行します。

①新しいローカル管理者アカウントを使用して、コンピューターにログオンします。
②[スタート] ボタンをクリックし、[コンピューター] を右クリックし、[プロパティ] をクリックします。
③コンピューター名の横にある [設定の変更] をクリックします。
④[コンピューター名] タブで、[変更] をクリックします。
⑤[所属するグループ] 見出しの下で、[ワークグループ] を選択し、ワークグループ名を入力して、[OK] をクリックします。
⑥コンピューターを再起動するかどうかを確認するメッセージが表示されたら、[はい] をクリックします。
⑦[コンピューター名] タブで、[変更] をもう一度クリックします。
⑧[所属するグループ] 見出しの下で、[ドメイン] を選択し、ドメイン名を入力します。
⑨[OK] をクリックし、ドメイン内でアクセス許可を持っているユーザーの資格情報を入力します。
⑩コンピューターを再起動するかどうかを確認するメッセージが表示されたら、[はい] をクリックします。
⑪コンピューターを再起動します。

このメッセージですが、通常の運用をしていても発生する場合があります。

ちなみに、ドメイン再参加はDomain Usersの権限でも操作することが可能です。

セキュアチャネルの破損の原因は？

いわゆる「セキュアチャネルの破損」状態です。原因の一例としては、ドメイン参加している PC/サーバのバックアップ取得後にコンピュータアカウントのパスワードが変更され、その後 PC/サーバ側をリストアした場合、コンピュータアカウントのパスワードは元に戻ってしまい、ドメインコントローラ側と不一致になります。