「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示された場合の対処方法

Active Directory

様々な要因でセキュアチャネルが破損すると、「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、Windowsにログイン出来なくなります。この症状は発生した場合の対処方法や応急処置を紹介します。

概要

Windowsへのログイン時、「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、ログイン出来ない場合の対処方法です。

セキュアチャネルが破損している場合に発生しますので、基本的にはドメインへの再参加かPowershellのコマンドによって復旧する必要があります。ただ、出張中などで処置が出来ない場合、応急処置的な対応で一時的にログインする方法もあります。

詳細

復旧方法

※復旧作業にはドメインの管理者権限(Domain Admin以上)を持つアカウントが必要になりますので、一般ユーザーの方は実施しないでください。

復旧作業時、基本的にローカルの管理者アカウントでログインする必要があります。情シス部門であれば把握しているとは思いますが、まれにローカルのアカウント情報が変更されていたり、LAPS(Local Administrator Password Solution)を運用しているがために、パスワードがいっちしなくなっている状況があります。その場合は、以下の「応急処置で一時的にログインする方法」でログインし、ローカルアカウントの確認を行ったり、パスワードを変更したりする必要があります。

ドメインへ再参加して復旧する方法

ワークグループに降格し、ドメインに再参加することで復旧出来ます。

「システムのプロパティ」画面の「コンピューター名」タブを開き「変更」ボタンをクリックます。

簡単に「システムのプロパティ」画面を開く方法

ちなみに、「システムのプロパティ」画面は以下の方法で開くことが出来ます。
Windows 7以前になれていると、なかなかたどり着きにくいので便利です。

  1. 「Windows」キーを押しながら「R」キーを押し、 [ファイル名を指定して実行] を起動します
  2. 「名前」に「sysdm.cpl」と入力し [OK] をクリックします。

「コンピューター名/ドメイン名の変更」画面で所属するグループを「ワークグループ」に変更し、適当な名前を入力します。その後、「OK」ボタンをクリックします。

下図が表示されたら「OK」ボタンをクリックします。

「閉じる」ボタンを押し、「システムのプロパティ」画面を閉じます。

すると再起動を求められますので、「今すぐ再起動する」をクリックします。

再起動後、ローカルの管理者アカウントでログインします。「システムのプロパティ」画面を開きます。「コンピューター名」タブをクリックし、「変更」ボタンをクリックします。

「ドメイン」を選択し、参加するドメイン名を入力します。その後、「OK」ボタンをクリックします。

ドメインの管理者権限(Domain Admin以上)の権限を持つアカウントのユーザー名とパスワードを入力し、「OK」ボタンをクリックします。

下図が表示されたら「OK」ボタンをクリックします。

「閉じる」ボタンを押し、「システムのプロパティ」画面を閉じます。

すると再起動を求められますので、「今すぐ再起動する」をクリックします。

起動後、ドメインユーザーでログインし、改善されているか確認します。

PowerShellで復旧する方法

OSがWindows 8/Windows Server 2012 以降であれば、PowerShellでTest-ComputerSecureChannelのコマンドを実行することでセキュアチャネルの破損を修復し、ログイン出来る状態に復旧することが出来ます。
残念ながらWindows 7では規定のPowerShellのバージョンにより、そのままではTest-ComputerSecureChannelのコマンドを実行することができませんが、Powershell3.0を有効にすることで実行できるようになります。

ローカルの管理者アカウントでログインします。

管理者権限でPowerShellを起動し、次のコマンドを実行します。

Test-ComputerSecureChannel -credential Administrator -repair

アカウントの入力画面が表示されますので、ドメインの管理者権限(Domain Admin以上)の権限を持つアカウントのユーザー名とパスワードを入力し、「OK」ボタンをクリックします。

「True」と表示されたらセキュアチャネルの破損が修復されたことになります。

Windowsを再起動し、ドメインユーザーでログイン出来るようになっていることを確認します。

応急処置で一時的にログインする方法

すぐに復旧作業が行えない状況や、ローカルの管理者アカウントを調べたり作成したりするためになんとかログインしたい状況になることがあります。その場合は次の方法でログイン出来ることがあります。

パソコンからLANケーブルを抜く、Wi-Fiを切断するなどをしてネットワークにつながっていない状態(スタンドアロンの状態)にします。

その状態で、ログインを試みます。
すると、一時的にパソコン内に残っている情報を利用してログイン出来ることがあります。

パソコンの状態によってはログイン出来ないこともあるのですが、1つの対処方法として覚えておいて損はないと思います。

セキュアチャネルとは

ドメインコントローラとクライアントパソコンの双方でパスワードを確立するセキュアな通信です。ここでのパスワードはユーザのパスワードとは異なり、コンピュータが持つパスワードです。双方向でパスワードを持ち合っています。認証に成功するとセッションキーが生成され、これによりセキュアチャネルが確立されます。

何らかの要因でドメインコントローラーとクライアントパソコンがもつパスワードが一致しないなどの状態が発生しセキュアチャネルが確立されないとセキュアチャネルが破損した状態になります。

この状態になると、ログインを試みたさいに「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示され、ログイン出来なくなります。

セキュアチャネルが破損する要因

様々な要因がありますが、以下のような場合に破損することがあります。

  • 過去の復元ポイントに戻す
  • バックアップからWindowsのシステムを復元する
  • 何かしらの要因でスタートアップ修復が行われ、過去の復元ポイントに戻された
  • 長期間パソコンを起動していなかった場合

復旧方法

基本的にドメインへの再参加が必要になります。
手順は上述の方法をご参考ください。

セキュアチャネルが破損しているか確認する方法

セキュアチャネルが破損している場合、ドメインコントローラーとクライアントパソコンのイベントビューアーにNetlogonのエラーが記録されます。これを確認することで、クライアントパソコンの利用者から連絡が来る前に対応していくことが可能です。

ドメインコントローラー Netlogon 5722

クライアントパソコン Netlogon 3210

おわりに

「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示された場合の対処方法でした。このエラーが発生した場合は、基本的にドメインへの再参加が必要になるため、管理する台数が多かったり、多拠点のパソコンで発生したりした場合は面倒です。「突然使えなくなったから今すぐ復旧して欲しい!」という状態で連絡が来ることがほとんどですので、こちらの予定が変わってしまうことも多いため、イベントログを確認しておいて、発生しそうなクライアントパソコンに対して事前に対応しておくとスムーズにことが進むと思います。
また、手順中にも記載していますが、ローカルの管理者アカウントが必要になるため、こちらについてもきちんと把握出来るようにしておきましょう。

タイトルとURLをコピーしました