様々な要因でセキュアチャネルが破損すると、「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、Windowsにログイン出来なくなります。この症状は発生した場合の対処方法や応急処置を紹介します。
概要
Windowsへのログイン時、「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、ログイン出来ない場合の対処方法です。
セキュアチャネルが破損している場合に発生しますので、基本的にはドメインへの再参加かPowershellのコマンドによって復旧する必要があります。ただ、出張中などで処置が出来ない場合、応急処置的な対応で一時的にログインする方法もあります。
詳細
復旧方法
※復旧作業にはドメインの管理者権限(Domain Admin以上)を持つアカウントが必要になりますので、一般ユーザーの方は実施しないでください。
復旧作業時、基本的にローカルの管理者アカウントでログインする必要があります。情シス部門であれば把握しているとは思いますが、まれにローカルのアカウント情報が変更されていたり、LAPS(Local Administrator Password Solution)を運用しているがために、パスワードがいっちしなくなっている状況があります。その場合は、以下の「応急処置で一時的にログインする方法」でログインし、ローカルアカウントの確認を行ったり、パスワードを変更したりする必要があります。
ドメインへ再参加して復旧する方法
ワークグループに降格し、ドメインに再参加することで復旧出来ます。
「システムのプロパティ」画面の「コンピューター名」タブを開き「変更」ボタンをクリックます。
「コンピューター名/ドメイン名の変更」画面で所属するグループを「ワークグループ」に変更し、適当な名前を入力します。その後、「OK」ボタンをクリックします。
下図が表示されたら「OK」ボタンをクリックします。
「閉じる」ボタンを押し、「システムのプロパティ」画面を閉じます。
すると再起動を求められますので、「今すぐ再起動する」をクリックします。
再起動後、ローカルの管理者アカウントでログインします。「システムのプロパティ」画面を開きます。「コンピューター名」タブをクリックし、「変更」ボタンをクリックします。
「ドメイン」を選択し、参加するドメイン名を入力します。その後、「OK」ボタンをクリックします。
ドメインの管理者権限(Domain Admin以上)の権限を持つアカウントのユーザー名とパスワードを入力し、「OK」ボタンをクリックします。
下図が表示されたら「OK」ボタンをクリックします。
「閉じる」ボタンを押し、「システムのプロパティ」画面を閉じます。
すると再起動を求められますので、「今すぐ再起動する」をクリックします。
起動後、ドメインユーザーでログインし、改善されているか確認します。
PowerShellで復旧する方法
OSがWindows 8/Windows Server 2012 以降であれば、PowerShellで
のコマンドを実行することでセキュアチャネルの破損を修復し、ログイン出来る状態に復旧することが出来ます。Test-ComputerSecureChannel
残念ながらWindows 7では規定のPowerShellのバージョンにより、そのままでは
のコマンドを実行することができませんが、Powershell3.0を有効にすることで実行できるようになります。Test-ComputerSecureChannel
ローカルの管理者アカウントでログインします。
管理者権限でPowerShellを起動し、次のコマンドを実行します。
Test-ComputerSecureChannel -credential Administrator -repair
アカウントの入力画面が表示されますので、ドメインの管理者権限(Domain Admin以上)の権限を持つアカウントのユーザー名とパスワードを入力し、「OK」ボタンをクリックします。
「True」と表示されたらセキュアチャネルの破損が修復されたことになります。
Windowsを再起動し、ドメインユーザーでログイン出来るようになっていることを確認します。
応急処置で一時的にログインする方法
すぐに復旧作業が行えない状況や、ローカルの管理者アカウントを調べたり作成したりするためになんとかログインしたい状況になることがあります。その場合は次の方法でログイン出来ることがあります。
パソコンからLANケーブルを抜く、Wi-Fiを切断するなどをしてネットワークにつながっていない状態(スタンドアロンの状態)にします。
その状態で、ログインを試みます。
すると、一時的にパソコン内に残っている情報を利用してログイン出来ることがあります。
パソコンの状態によってはログイン出来ないこともあるのですが、1つの対処方法として覚えておいて損はないと思います。
セキュアチャネルとは
ドメインコントローラとクライアントパソコンの双方でパスワードを確立するセキュアな通信です。ここでのパスワードはユーザのパスワードとは異なり、コンピュータが持つパスワードです。双方向でパスワードを持ち合っています。認証に成功するとセッションキーが生成され、これによりセキュアチャネルが確立されます。
何らかの要因でドメインコントローラーとクライアントパソコンがもつパスワードが一致しないなどの状態が発生しセキュアチャネルが確立されないとセキュアチャネルが破損した状態になります。
この状態になると、ログインを試みたさいに「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、ログイン出来なくなります。
セキュアチャネルが破損する要因
様々な要因がありますが、以下のような場合に破損することがあります。
- 過去の復元ポイントに戻す
- バックアップからWindowsのシステムを復元する
- 何かしらの要因でスタートアップ修復が行われ、過去の復元ポイントに戻された
- 長期間パソコンを起動していなかった場合
復旧方法
基本的にドメインへの再参加が必要になります。
手順は上述の方法をご参考ください。
セキュアチャネルが破損しているか確認する方法
セキュアチャネルが破損している場合、ドメインコントローラーとクライアントパソコンのイベントビューアーにNetlogonのエラーが記録されます。これを確認することで、クライアントパソコンの利用者から連絡が来る前に対応していくことが可能です。
ドメインコントローラー Netlogon 5722
クライアントパソコン Netlogon 3210
おすすめ書籍
どこでもインターネットで調べることができますが、社内のセキュリティーポリシーでインターネットを利用できない場所で作業することもありますし、ネットワークトラブルで使用できないこともありますので、買って損はしない一冊です。
Windowsコマンドプロンプトポケットリファレンス
Windows PowerShell ポケットリファレンス
今すぐ使えるかんたん Windows 11 完全ガイドブック 困った解決
これから Windows 11 に触れる人にも 経験者にもわかりやすい本です。
やりたいことが検索しやすいため、社内での教育や問い合わせ対応にも使えますし、社内のFAQの作成にも役立つため、私のようなひとり情シスでも活用しやすいためおすすめです。
おわりに
「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示された場合の対処方法でした。このエラーが発生した場合は、基本的にドメインへの再参加が必要になるため、管理する台数が多かったり、多拠点のパソコンで発生したりした場合は面倒です。「突然使えなくなったから今すぐ復旧して欲しい!」という状態で連絡が来ることがほとんどですので、こちらの予定が変わってしまうことも多いため、イベントログを確認しておいて、発生しそうなクライアントパソコンに対して事前に対応しておくとスムーズにことが進むと思います。
また、手順中にも記載していますが、ローカルの管理者アカウントが必要になるため、こちらについてもきちんと把握出来るようにしておきましょう。