Show AD に参加している PC にログインしようとすると、「このワークステーションとプライマリドメインとの信頼関係に失敗しました」という表示が出て、どうやってもログインできないことがあります。 そもそもの日本語がちょっと変なので、何を言っているのかわかり辛いですが、これは "The trust relationship between this workstation and the primary domain failed." を直訳したもののようです。 なんとなく AD の問題であって、こういうのはドメインからの一度該当のマシンを外して、ドメインに再参加すれば修正できるだろうというは分かります。実際に MS の公式な解説でもそのようなページも見つかります*1が、さらにいろいろと調べてみたらPowerShell を使うと意外と簡単に修復できることが分かりました。 † 確認方法 一番面倒なのは、何らかの方法で該当のマシンにログインする必要があることでしょうか。 nltest /sc_query:example.jp 問題が発生している場合 0x5 ERROR_ACCESS_DENIED という戻り値が返ってくることが確認できます。 † 修正方法 修正は PowerShell を管理者権限で起動して実施します。 Test-ComputerSecureChannel -Repair -Credential DOMAIN_NAME\DOMAIN_ADMIN 上記の作業が完了したら、確認方法に記載してある nltest を使って、コマンドが 0x0 NERR_Success を返すことを確認します。 † エラーの発生はセキュアチャネルの破損 この現象の発生メカニズムについては「ドメインにログオンできない ~ セキュア チャネルの破損
~」に公式の詳細な解説があります。 会社などで"ドメイン"方式でネットワークを管理していると、このエラーに直面することがあります。 今回は貸出用途のノートパソコンで起こったエラーとなります。ちなみに、このノートパソコンのスペックは以下の通り。
ログインしようとすると「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示されてログインできないエラーを対処します。 【忙しい人向け】結論、これやっとけ!今回のエラーは複合的な要素が絡まってこじらせた面もあるので説明が長いです。
信頼関係に失敗しました。なんか心理に引っかかる、メンタルに刺さる物言いですよね。なんか人生こじらせた感じにきこえるんでやめてもらえませんかねいじめですかこれそうですよね。 この「信頼関係」という意味深な機能名、英語表記では"Trust"と表記されています。
Trustの意味・使い方・読み方 | Weblio英和辞書 1000万語収録!Weblio辞書 - Trust とは【意味】信頼,信任... 【例文】have trust in a person... 「Trust」の意味・例文・用例ならWeblio英和・和英辞書 直訳すると確かに“信頼”になります。けど意味合いとしてはMicrosoftの「セキュリティセンター」が「トラストセンター」と名前が変わっていたり、他の会社でもサポートセンターのことを「トラストセンター」と読んだりするところもあります。 このエラーが出た場合の一般的な対応法として「セキュアチャネルが破損しているのでドメインに入り直す」というものがあります。 ドメインの入り直し方についてはその諸先輩方のサイトにお譲りするとして、うちの会社だとこの方法を取る為にコンピュータ名を変える必要が出てきます。 うちでは私がActiveDirectoryの管理者であった時は、サーバー側から該当のコンピュータ名を探して削除してもう一度ドメインに入り直し、とかやってたのですが、現在は会社の事情で親会社様が管理しています。そうなると、古いコンピュータ名をわざわざ消す手間なんかやってらんないとか、コンピュータ名変えるなら手続き踏めとか事務的な方向でいろいろめんどくさいのですよぐちぐちぐち。。。 ということで、出来るだけ自前で解決したいと思います。 エラーその1 IPアドレス設定が消えたよく見ると、画面右下のネットワークアイコンが「ザ・ワールド」な状態になっていました。 LANケーブルがつながっているのにこの状態です。となればネットワークアダプタが怪しそうです。 しかしこのままではログインもできないので、先ずはローカル管理者でログインします。 ローカル管理者でログインユーザー名:.¥[管理者権限のあるID] 念のためトラブルシューティングも掛けてみますが毎度ながら何の役にも立ちません。 一度ローカル管理者でログインして「ネットワークと共有センター」からIPv4の設定を確認してみたところ、IPアドレスが全て消えてました。そりゃ繋がらないわ。 【参考】IPアドレス設定画面までの道のり
再設定してOKを押すと
結局このままでは詰んでますので別の対策を取る必要があります。 対応1:重複したネットワークアダプタを削除Microsoft本家のドキュメントにこのエラー解説があります。 IP アドレスを設定するとエラー メッセージが表示される - Windows Server ネットワーク アダプターで IP アドレスを設定しようとするときに発生するエラーの解決策を提供します。 [TCP/IP プロパティ] ダイアログ ボックスに既定の IP アドレスが表示される - Windows Server サーバーで静的 IP アドレスを手動で構成した後で、TCP/IP プロパティが既定の設定に戻Windows説明します。 エラー本文と調べた結果からの推測ですが
という状態になっていると思われます。 デバイスマネージャーから非表示のデバイスを表示させる設定をして灰色になっているデバイスを削除すればよい、という感じのことが書いていたのでやってみます。 重複するデバイスの削除方法
デバイスマネージャーの起動は必ずコマンドプロンプトから続けて起動してください。setで設定した内容は、このコマンドプロンプトの中でのみ有効となります。コントロールパネルから潜っていく、いつもの起動法では無効になったデバイスは出てきません。 ・・・しかし、この環境では灰色のアイコンは出てきませんでした。 ただ、どっちにしろ今のネットワークアダプタの挙動がおかしいので入れ直すこととします。 対応2:ネットワークアダプタの再インストールデバイスマネージャーから消したいネットワークアダプタを右クリックして「アンインストール」を押しますが、注意点があります。 「このデバイスのドライバーソフトウェアを削除します。」にはチェックを入れません! 今回はデバイスのみを削除します。ドライバを消すとドライバの入手と再インストールが必要になり手間が掛かりますが、デバイスのみ削除であれば再起動することで勝手に復活します。 パソコン再起動後にデバイスマネージャーを起動するとネットワークアダプタが復活しています。 その後、再度IPアドレスの設定を行ったところ、エラーは出なくなりました。 ※こちらのサイト様を参考にさせていただきました。 存在しないが情報として残っているネットワークアダプタを削除する方法 Windows 10でネットワークアダプターのドライバーを再インストールする方法 - Lenovo Support JP しかし、ネットワークはつながるようになったが、信頼関係のエラーは直っていませんでした。まだ心を開いてくれないご様子。相当こじらせちゃったようです。 セキュアチャネルの修復ネットワークが復活しても信頼関係に溝があるならいよいよセキュアチャネルの破損か?と思い、何とか直す方法はないか調べてみたらありました! 今度はコマンドプロンプトではなく「PowerShell」を使います。管理者権限で起動しましょう。 セキュアチャネルの状態確認の為に以下を入力します。
破損していた場合は以下のコマンドで修復が可能です。
成功すれば「True」,失敗すれば「False」と表示されます。 ※こちらのサイト様を参考にさせていただきました。 セキュアチャネル破損の真相と衝撃 昨日の投稿 にて紹介しました、Viewデスクトップをスナップショットから復元した場合に仮想デスクトップのステータスが『プロトコル障害』となる問題については、セキュアチャネルの破損が原因だったのですが、どうにも気になって、、調べてみました。 セキュアチャネルについて纏めると・・... セキュアチャネルが破損した際にコマンドで修復する方法 セキュアチャネルが破損した際にコマンドで修復する方法のご紹介です。セキュアチャネルが破損していると「このワークステーションとプライマリドメインとの信頼関係に失敗しました」とエラーメッセージが表示されWindowsへログインする事ができません。その時はPowerShellで次の修復コマンドを実施願います。 今回の環境でチェックをしてみたところ、セキュアチャネルは正常のようです。 しかしそれでも状況は変わらず。 キャッシュログインWindowsではドメインユーザーのログインがオフラインでもできるように「キャッシュログイン」というログイン方法があります。 一度ユーザープロファイルを消したらログイン情報が消えるのでは、と思い、やってみましたが症状は変わらずです。 そこで、当時使用していたパスワードでログインできるかを試してみましたが、エラーのまま。更にLANケーブルを抜いて、再度当時使用していたのパスワードでログインを試してみたらログインできました。 恐らくLANケーブルが刺さっている状態ではオンラインとみなされ、ドメインサーバーと照合しに行くので、ノートパソコンで持っている情報と合致しないことから信頼関係のエラーが発生しますが、LANケーブルを抜くことでオフラインと認識されてキャッシュログインに切り替わるので、昔の情報を覚えていればログインができる、という仕組みだと思います。 ちなみに、キャッシュログインの時に使う「ドメインログオン情報」はレジストリに書かれているようです。ユーザープロファイルは関係ないので消し損でした。 ネットワークはつながっている、キャッシュログオンとはいえドメインユーザーでログオンできた。ならばここでLANケーブルを繋いだらADサーバーと通信が始まってドメインログオン情報が更新されるのでは!?と思い。1時間程そのままにしてから再起動、再度ログインしたら問題なくログイン出来るようになりました。 時系列で整理してみるうちではパソコンのログインパスワードを半年に1回強制的に替えなければならないグループポリシーが設定されています。 パスワードの有効期限が切れた状態でログインしようとした場合でも信頼関係のエラーが発生するそうです。 そこで、今回の流れを図で書いてみました。 このように、別のパソコンでパスワードが変更されたことで、久々に使ったパソコンのドメインログオン情報とサーバーの情報に食い違いが出てしまい、エラーとなったものと思われます。 擬人化すると、半年前の話を蒸し返して家に入ろうとしたので「何よ!いまさらそんな昔の話!」って言われた、というところですかね。 ADパスワード有効期限の際、オフライン時キャッシュログオンアカウントでパスワード変更し、オンライン後ADログオンするとADパスワード有効期限となってしまう。 まとめネットワークアダプタの件は大型アップデートの時に何件か食らっているので、アップデート後は特に注意が必要です。 ということで、そのミリーゼ少佐が最悪な主従関係から信頼関係を築き上げていくストーリーのこちらをお勧めします。 |