タイトルの通りです。
先日、テストの一環でADドメイン環境のメンバーサーバのシステムリストア(惨事復旧)をしたのですが、リストア後に対象サーバにログインしようとしたところ、ドメインユーザでログインできなくなる事象が発生しました。
RDP接続しようとすると、「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示されてログイン不可。
原因
以下MSのページにもある通り、ドメコンとメンバーサーバ間でパスワードが不一致になったことによりドメインの信頼関係が壊れてしまったようです。
確かにリストアに使用したシステムバックアップは少し古く、システムバックアップ取得以降にドメインユーザのパスワード変更を実施していたので状況的にも条件に合致。 メンバーサーバ側でNetlogon 3210のイベントログも出ていました。
対策
以下MSのページにもある通り、セキュアチャネルの修復を実施しました。
learn.microsoft.com
メンバーサーバにローカルユーザでログインし、以下コマンドを実行。
Test-ComputerSecureChannel -Repair -Credential *
ドメインの管理者ユーザ名とパスワードを入力したら、ドメインユーザでもログインできるようになりました。
今回はテストなのでよかったですが、本番運用中にやむを得ずシステムリストアするようなケースでも発生しそうな事象ですね。
運用手順書にセキュアチャネルの修復手順を追加します。
