このワークステーションとプライマリドメインの間で信頼関係を結ぶことができなかったため、ログオン要求は失敗しました。

先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。

表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。

最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。

対処することができたので、メモを残します。

【症状】

症状は前述の通りです。
ドメインユーザーでログインしようとするとメッセージが表示されてログインすることができません。

【原因】

原因は、セキュアチャネルの破損が主な原因となります。
セキュアチャネルとは、ドメインサーバーとクライアントマシンが安全に通信する仕組みで、互いにアカウントとパスワードを保持するものです。

この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。

このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。

【対処法】

対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。
もし、まだドメインユーザーでログインできる状態なら良いのですが、全ユーザーがロックされてしまった場合は、ローカルユーザーでログインする必要があります。

ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。

私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。
せめてPC使用するメンバー（最低限管理者）でローカルユーザーのIDとパスワードを共有しておく必要があるなと思いました。

修復の方法ですが、

1. 管理者権限のユーザーでログイン
2. 「コントロールパネル」⇒「システム」⇒「システムの詳細設定」⇒「コンピューター名」を開きます
3. 「変更」ボタンを押下
4. 「所属するグループ」で”ドメイン”にチェックが入っていると思うので、”ワークグループ”にチェックを入れ、適当なグループ名を設定します（WORK_GROUPで良いと思います）
   ※この時、ドメイン名をメモしておきましょう
5. 「OK」ボタンを押下して、ウィンドウを閉じていきます
6. 再起動を要求されるので、PCを再起動します（いいえを押した場合は、後ほど再起動してください）
7. 再起動したら、ローカルユーザーでログイン
8. 2、3の手順を行い、4の手順で今度は”ドメイン”にチェックを入れて、メモしていたドメイン名を入力します
9. 「OK」ボタンを押下します
10. ドメインのパスワードを求められるので入力します（分からない場合はドメインの管理者に確認を）
11. 「○○へようこそ！」のようなメッセージが表示されれば作業完了です

これで再びドメインユーザーでログインできるようになります。

他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。
コマンドで復旧する場合はログインできるユーザーがいないとダメですしね。。。

ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。＼(^o^)／
その場合は、Windowsを出荷状態に戻す作業で復活させられますよ。（データファイルは残りますが、アプリは要再インストール）

今回のマシンですが、Windows Updateを行った翌日に発生しました。
関連性のほどははっきりしませんが、一応記載しておきますね。

ちなみに、別件で明らかにWindows Updateが原因の障害（ログイン後に画面がブラックアウト）も発生したので、同Updateに起因する障害である確率は高いと思っています。
こちらの対処法も後日記事にします。

Mask_Siva

北の試される大地に生息しているSEです。
楽しみながらプログラムを作ったり、ゲームで遊んだりしています。

2022.09.01

この記事は約3分で読めます。

AD環境で時々発生します。

対処法をまとめてみました。

発生したトラブル

Windowsにログオンしようとすると画像のようなメッセージが表示され、ログオンできなくなる。

このワークステーションとプライマリドメインの信頼関係に失敗しました

環境

Windows 10 Pro で Active Directoryにドメイン参加済み

対処法

私の少ない経験から対処法を2つ書いていきます。

対処法１：セキュアチャネルの修復

今回のトラブルはたいていの場合セキュアチャネルが破損しています。

そのため、セキュアチャネルを修復してあげれば再びログオンできるようになる可能性が高いです。

1. ログオンできないユーザーにDomain Adminsを付与する

   セキュアチャネルの修復のために、Domain Adminsに対象ユーザーを追加しておきます。

2. 管理者のローカルアカウントでログオンする

   ADの参加ユーザーではなく、管理者権限をもつWindowsのローカルユーザーでログオンします。

   ローカルユーザーでのログオンは、ユーザー名に”パソコン名\ローカルユーザー名“と入力します。

3. 管理者権限でPowerShellを起動する

   ローカルユーザーでログオン後、PowerShellを管理者として起動します。

4. セキュアチャネルを修復する以下のコマンドを入力し、セキュアチャネルの状況を確認します。

   Test-ComputerSecureChannel

   

   Falseの場合、セキュアチャネルが破損しています。

   引き続き、以下のコマンドを実行し、セキュアチャネルを修復します。

   Test-ComputerSecureChannel -Repair -Credential ドメイン\ユーザー名

   

   資格情報が要求されるので、対象ユーザーの現在のログオンパスワードを入力し『OK』します。

   

   成功するとPowerShellでTrueが返ってきます。

   対象ユーザーでログオンできれば解決です。

   Domain Adminsから対象ユーザーを抜いて終わりです。

Domain Adminsにユーザー追加しないと

Domain Adminsにユーザー追加しないとPowerShellで修復ができず、以下のようにエラーメッセージが出ます。

対処法２：ドメイン再参加

セキュアチャネルの修復ができない場合などは、面倒ではありますがドメインへの再参加をします。

このページを閲覧している人であれば詳細な手順はお分かりだと思うので簡単に書きます。

1. 対象ユーザーをDomain Adminsに追加する
2. 対象PCのローカルユーザー（管理者）でログオンする
3. ドメインからWORKGROUPへ変更する⇒再起動
4. WORKGROUPからドメインへ再参加する
5. ドメインユーザーでログオンできることを確認する