【PowerShell】Active Directory ドメイン環境でセキュアチャネルの破損と修復方法

Activedirectoryドメイン環境でファイルサーバのファイルを参照した際にレスポンスがとても遅いという現象が発生したので、原因調査と対応策について調べたのでメモ。

正確には、根拠のある原因の特定と恒久的な対処はできないないので、調べたセキュアチャネルの状態確認と修復方法になります。暫定だが事象は解消されているのですが、似たような症状で解決された方がいたら教えて下さい。。。

事象

事象としては、ファイルサーバのファイルを参照しようとしてエクスプローラーでアクセスすると、カーソルがくるくると回り続けてファイルを開くまでに時間がかかる。通常時なら1秒で開けるテキストファイルが５秒くらいかかる、といった感じ。

これは、ファイルサーバがiSCSIなので単純にトラフィック量や構成などのネットワーク側の問題かと思っていたが、ファイルサーバのイベントをみてみるとどうもそうでもないらしい。イベントは控えてなかったので今度追記する予定。。。

イベントの内容としては、ドメインコントローラとの通信が確立できていないような内容が出ていた。調べていくとセキュアチャネルというものがあるらしい。PowerShellで確認した結果が以下。

セキュアチャネルのテスト

単純に状態を確認

> Test-ComputerSecureChannel
False

1 2	> Test-ComputerSecureChannel False

正常であれば True が返りますが False が返ってきます。

サーバ（ドメコン）を指定してテスト

> Test-ComputerSecureChannel -Server "dc01.domain.local"
False

1 2	> Test-ComputerSecureChannel -Server "dc01.domain.local" False

詳細を確認

> Test-ComputerSecureChannel -verbose
詳細: 対象 "CLIENTHOSTNAME" に対して操作 "Test-ComputerSecureChannel" を実行しています。
False
詳細: ローカル コンピューターとドメイン domain.local の間のセキュリティで保護されたチャネルは破損しています。

> Test-ComputerSecureChannel -verbose

詳細: 対象 "CLIENTHOSTNAME" に対して操作 "Test-ComputerSecureChannel" を実行しています。

False

詳細: ローカルコンピューターとドメイン domain.local の間のセキュリティで保護されたチャネルは破損しています。

やはりセキュアチャンネルが破損しているようです。同じコマンドで修復できるようなので修復してみます。

修復（の試み）

> Test-ComputerSecureChannel -Repair
Test-ComputerSecureChannel : ドメイン内のコンピューター アカウントのセキュリティで保護されたチャネル パスワードをリセットできません。次の例外が原因で操作に失敗しました: サーバーは使用可能ではありません。
。
発生場所 行:1 文字:1
+ Test-ComputerSecureChannel -Repair
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (CLIENTHOSTNAME:String) [Test-ComputerSecureChannel], InvalidOperationException
    + FullyQualifiedErrorId : FailToResetPasswordOnDomain,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand

> Test-ComputerSecureChannel -Repair

Test-ComputerSecureChannel : ドメイン内のコンピューターアカウントのセキュリティで保護されたチャネルパスワードをリセットできません。次の例外が原因で操作に失敗しました: サーバーは使用可能ではありません。

。

発生場所行:1 文字:1

+ Test-ComputerSecureChannel -Repair

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OperationStopped: (CLIENTHOSTNAME:String) [Test-ComputerSecureChannel], InvalidOperationException

+ FullyQualifiedErrorId : FailToResetPasswordOnDomain,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand

修復できません。

もう一度、出力されたイベントでぐぐってみるとなんだか原因の可能性として考えられるものはいろいろとあって真の原因を特定するためにはだいぶ手間がかかりそう。。さて。。。

対処

いったん再起動すると治るんですよね。Google先生に聞いてもマシンを再起動することで解消できるのでそれで逃げるのも手とありました。じゃ、それで。

ちなみに再起動後にセキュアチャネルをテストした結果は以下。

> Test-ComputerSecureChannel
True

> Test-ComputerSecureChannel -Server "dc01.domain.local"
True

> Test-ComputerSecureChannel -Server "dc02.domain.local"
True

> Test-ComputerSecureChannel -verbose
詳細: 対象 "CLIENTHOSTNAME" に対して操作 "Test-ComputerSecureChannel" を実行しています。
True
詳細: ローカル コンピューターとドメイン domain.local の間のセキュリティで保護されたチャネルは正常です。