[ホーム] - [Windows Server 2016 FAQ 一覧] - [セキュアチャネルはなぜ必要なのか | Windows ドメイン]



作成日:2019/08/30
更新日:2019/08/30
対象:Windows Server 2016

セキュアチャネルはなぜ必要なのか | Windows ドメイン




【目次】


セキュアチャネルとは


セキュアチャネルとはドメインコントローラと(ドメインに参加した)クライアントPCの双方でパスワードで確立するセキュアな通信です。ここでのパスワードはユーザのパスワードとは異なり、コンピュータが持つパスワードです。双方向でパスワードを持ち合っています。認証に成功するとセッション・キーが生成され、これによりセキュアチャネルが確立されます。パスワードが一致しないなどの現象が発生すると「セキュアチャネル破損」が発生し、ログインなどができなくなります。

セキュアチャネルとは




なぜ必要なのか


セキュアチャネルは以下のような理由で必要となります。
・安全にログインするため。偽物のドメインコントローラに接続しないため。
・送信するパスワードなどを外部からの盗聴から守るため。


特徴


・DC 上ではコンピューター アカウントの属性値が保存されています
・クライアントでは LSA シークレットと呼ばれる領域に保存されています。

Netlogon サービスによりセキュアチャネルは管理されます。

確立できない


以下のような場合にセキュアチャネルが確立できなくなります。
・バックアップからリストアしてパスワードが古くなった場合。
・同じPC名で複数のPCがドメインに参加した場合。(通常はできないが何らかの原因で参加)
・短期間でドメイン削除/参加を行い、かつ他のドメインコントローラに複製されず不整合が発生した場合。
・かなり久しぶりにドメインにログインしたPC

パスワード不整合の場合はコンピュータアカウントのパスワードをリセットしたいのですが、セキュアチャネルの確立が必要なので基本的にできません。

セキュアチャネル破損を修復する


一番簡単な解決方法はドメインから一度抜けてから再度参加する方法です。
DC間でもセキュアチャネルが破損する可能性あります。その場合もDCの再昇格が一番簡単な復旧方法です。

破損時のメッセージ


破損した場合は以下のようなメッセージが表示されます。

・クライアント側の Netlogon 3210 イベントログ、DC側 Netlogon 5722 のイベントログエラーが発生している場合はセキュアチャネル破損の可能性が高い。
・"このワークステーションとプライマリドメインとの信頼関係に失敗しました。"と表示されログインできない場合はセキュアチャネル破損の可能性が高い。






(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2022

[Windows Server 2016 FAQ 一覧に戻る]