在 ADDS中, 電腦帳戶(Computer Account)與安全通道(Secure Channel)有密切關係, 這兩者是維持網域中電腦與網域控制站之間安全通訊與信任的基礎
電腦帳戶(Computer Account):
。每當電腦被加入 AD網域時, 會在 AD中建立一個對應的電腦帳戶
。電腦帳戶類似於使用者帳戶, 但它代表整台電腦而非個別使用者
。每個電腦帳戶都有一組安全識別碼(SID)以及電腦密碼(Computer Password), 用來與網域控制站進行身份驗證w-studio.idv.tw
安全通道(Secure Channel):
。安全通道是網域成員電腦與網域控制站之間建立的加密通訊通道, 用來進行身份驗證、資源存取等操作
。此通道是使用 Kerberos或 NTLM協定進行加密, 確保通訊安全
 |
| 檢查安全通道 |
1. 建立安全通道
。當電腦第一次加入網域時, 系統會向 AD註冊電腦帳戶, 同時建立一組電腦密碼
。之後每次開機並登入網域時, 該電腦會使用電腦帳戶的密碼與網域控制站建立安全通道以驗證身份
2. 安全通道的維持與電腦密碼變更
。每隔 30天(預設)網域成員電腦會自動與 ADDS變更電腦密碼以維持通訊安全
。電腦密碼的變更過程會透過安全通道加密傳輸
3. 安全通道的用途
。使用者登入時電腦會透過此通道向網域控制站驗證使用者帳戶是否有效
。執行群組原則(Group Policy)更新時也會透過此通道與 DC互動
。存取其他網域資源(例如共用資料夾或印表機)時亦需此通道來驗證與授權
安全通道失敗的常見原因及影響:
1. 電腦密碼不同步
若成員電腦上的密碼與 AD中儲存的電腦帳戶密碼不一致(例如備份還原或電腦長期未開機超過密碼變更週期)就會導致安全通道失敗
2. 網域信任損壞
錯誤訊息通常會顯示「The trust relationship between this workstation and the primary domain failed」(此工作站與主要網域間的信任關係失敗)
3. 網路問題或網域控制站無法存取
若網域控制站無法連線或電腦無法解析 DC的 DNS, 將導致無法建立安全通道
修復安全通道的方法:
1. 重新加入網域, 將電腦退出網域後再重新加入
2. 使用 PowerShell修復通道(建議做法)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
3. 使用 Netdom工具修復(Windows Server工具)w-studio.idv.tw
netdom resetpwd /s:<DC名稱> /ud:<網域\管理者帳號> /pd:<密碼>
或
netdom reset <電腦名稱> /domain <網域名稱> /UserO 使用者帳號 /PasswordO {密碼 | *}
4. 使用 dsmod
dsmod computer "ComputerDN" ‑reset
5. 使用 nltest
nltest /server:<伺服器名稱> /sc_reset:<網域\DC名稱>
沒有留言:
張貼留言