Question Comment réinitialiser le canal sécurisé Active Directory en cas de rupture


Parfois, un compte d'ordinateur peut perdre son canal sécurisé au profit d'un contrôleur de domaine.

Comment réinitialiser un canal sécurisé sans redémarrer l'ordinateur?

L'ordinateur en question est un serveur SQL Server en cluster exécutant Server 2008 R2 dans un domaine et une forêt Active Directory de niveau fonctionnel R2 R2.


5
2017-09-19 20:56


origine




Réponses:


Il est déjà arrivé qu'une machine décide d'utiliser un contrôleur de domaine hors site (ailleurs sur notre réseau étendu) en tant que serveur de connexion et de mapper des lecteurs réseau hors site plutôt que des lecteurs locaux; cela peut être résolu en réinitialisant directement le canal sécurisé:

nltest /sc_reset:<domain>\<domain controller>

3
2017-09-19 23:36





nltest.exe peut être utilisé pour vérifier le canal et tenter de le réinitialiser.

nltest.exe /sc_verify:<fully.qualified.domain.name.here>

Si cela ne le fait pas, vous pouvez redémarrer le service netlogon (j'utilise principalement PowerShell, je vais donc vous en donner un exemple).

Get-Service netlogon | restart-service
nltest.exe /sc_verify:<fully.qualified.domain.name.here>

J'ai exécuté la commande nltest après avoir redémarré le service pour valider que le canal sécurisé était de nouveau opérationnel.

Si vous avez apporté des modifications au réseau (adresses IP, modification du matériel, virtualisation, etc.), vous pouvez vider votre cache DNS et effacer votre table arp avant d'exécuter les commandes ci-dessus.

ipconfig /flushdns
arp -d *
Get-Service netlogon | restart-service
nltest.exe /sc_verify:<fully.qualified.domain.name.here>

5
2017-09-19 20:56





MISE À JOUR pour les nouvelles versions de powershell

Ouvrez PowerShell en tant qu'administrateur

Test-ComputerSecureChannel  -Verbose

Si False, lancez:

Test-ComputerSecureChannel -Repair -Server PDCEmulatorName -Verbose

Si le problème est réparé, un message s'affiche. S'il échoue, essayez d'ajouter un identifiant.

Test-ComputerSecureChannel -Repair -Server PDCEmulatorName -Credential Domain\UserName -Verbose

0
2018-06-15 19:44



Cela a fonctionné pour moi. Je parie que les autres réponses fonctionneront aussi, mais elles ne montrent pas comment spécifier les informations d'identification - Mike Caron
La réparation a échoué pour moi. Je devais le disjoindre du domaine (attribuer au groupe de travail WORKGROUP), redémarrer, réinitialiser le compte de l'ordinateur dans AD (TRÈS important! compte administrateur, redémarrez. - vapcguy