とある会社のファイルサーバー運用をしているのですが、リモートデスクトップで繋ごうとするとエラーが発生しました。
「時刻が合っていないのでリモートできない」的なエラー。。。
いや、クライアントもファイルサーバーもドメイン参加しているので時間はAD基準になっている為そんなはずはない。
ってことで何かエラーが出ていないかイベントビューアを見てみました。
NETLOGONのエラーが出ている
最近windows update(KB4074597)を適用し再起動を実施したのですが、そのころからエラーが出ている様子。
エラーの内容はこれ。
5719 NETLOGON
次の理由のため、このコンピューターはドメイン 〇〇のドメイン コントローラーの セキュリティで保護されたセッションをセットアップできませんでした。現在、ログオン要求を処理できるログオン サーバーはありません。これにより、認証の問題が発生する可能性があります。このコンピューターがネットワークに接続されていることを確認してください。 問題が解決されない場合は、ドメイン管理者に問い合わせてください。
見た感じドメインコントローラーと通信が出来ていない感じ。
とりあえずpingを打ってみる。
問題無し。
ではgpupdate /force。
グループポリシーを適用できない。
やはりドメコンと上手く通信出来ていない感じ。
pingが通る為ネットワーク的には問題ないので、セキュアチャネルが破損している可能性大です。
コマンドでセキュアチャネルの破損を復旧できるか?
ドメコンとの通信はセキュアチャネルというところを通って行われます。
これが破損していると当然ドメコンとは通信できないわけですね。
ネットワーク的につながっていても、windows的にNGなのでエラーが出るってな感じ。
不思議なことにセキュアチャネルの破損(と思われる)してから、特にドメイン参加していないNASやその他機器にファイルサーバーから一切アクセスできなくなりましたw
ファイル名を指定して実行からIPでリソースを探しても全く無理。
これは謎。
ドメイン参加しているサーバーなので、最初にドメコンと通信を行う為おかしなことになっているのか???
さすがにマズいですね。
バックアップ用のNASもファイルサーバーから見れないので、ノーガード状態です。
一度以下のコマンドを試してみました。
Test-ComputerSecureChanne
→ false が返ってきます。これでセキュアチャネルが破損していることは確定
Test-ComputerSecureChanne -repair
→ エラーが返ってきます。このコマンドで回復できると思いましたが全く持ってムリでした。
Test-ComputerSecureChannel -credential administrator -repair
→ 何となくクレデンシャルを入れてみましたが、当然無理。ローカルアドミン、ドメインアドミン、ドメイン名をIPにしたり色々試しましたがどれも無理。
やはりドメイン再参加しかないようだ
結局ドメイン再参加一択。
ドメイン離脱→ドメイン再参加、これをやるにあたって懸念事項は2点。
1.フォルダ権限(NTFSアクセス権)に不具合は出ないか?
→ WORKGROUPに戻してアクセス権を確認すると、ユーザーが文字化けしたような(SIDが見える)感じで一瞬不安になりますが、ドメイン再参加すると正しく表示される。(はず)
2.ドメインを離脱したは良いが、本当に再参加できるのか?
→ WORKGROUPからドメインに参加するためにはネットワークに問題無いかだけがキーポイントになります。再参加させるファイルサーバーからドメインコントローラーにpingが通れば基本問題ありません。
もしそれでも参加出来ないようであれば、ADからコンピュータアカウントを削除して試してみましょう。恐らく成功するはず。
セキュアチャネルの破損って意外に重い
ドメイン再参加で一番ネックなのは「再起動」が最低2度発生すること。
これが本当にネックです。
現役のサーバー、しかもファイルサーバーともなると揉めること受けあいw
とは言えバックアップが取れないことや、それ以外のリソースにアクセスできないのは運用する立場からすると非常に困ってしまいます。
今のところドメイン再参加が一番良さそうですが、「Test-ComputerSecureChanne -repair」が成功したら本当にラッキー。
できればこのコマンドで仕留めたかった。。。
コメント