ども。
最近物忘れが多くて自分に腹を立てている担当ちゅんです。
例によって、今日はマニアックな記事になります。備忘録的に書きとめる意味合いもあるため、あらかじめご了承を。
頻度が少ないのでこれまでは深く考えないようにしていたのですが、数ヶ月に一度くらいの頻度で、管理下のPCにActive Directory にログオンできなくなる現象が発生します。
その現象が発生すると「このワークステーションとプライマリドメインとの信頼関係に失敗しました」という悲しいお知らせとともに、ドメインには二度とログインできなくなってしまいます。
この現象、Google で検索してみるとかなりの数がヒットします。「セキュアチャンネルが壊れる」という、やっかいなトラブルのようです。MSも公式に不具合を認め、対処方法を公開していますが、その手順を見ると「一度ドメインから抜けて(ワークグループに入れて)、もう一度入りなおしてね♪」というガッカリ感。それをやりたくないから方法を探しているというのに。
さらにガッカリなのは、ドメインから抜けるには管理者権限を持つローカルのユーザでログオンする必要があるのですが、Windows 7 のAdministrator は初期値で「無効」となっているため、これを有効にするのを忘れていた場合、PCにログインする手法が無いという最悪の事態となるのです。
ちなみに、普通はAdministrator 以外にも管理者権限を持つユーザーが少なくとも1人は存在するはずです。これは、Windows 7 のセットアップ時に必ず作成するように求められるからです。ですが、我が社ではセキュリティ上、あえてこの初期ユーザーを削除しています。なので、Administrator が無効のままだとアウトとなるのです。
ただし、ドメインコントローラとの接続が「物理的に」出来なくなった場合、Windows は10回まで「キャッシュログオン」ができます。よって、わざとLANケーブルを抜く(無線をオフにする)ことでドメインコントローラ側の認証をスキップできるので、ドメインユーザとしてログオンが可能となります。
今回は、SafeMode でPC を起動し、LANケーブルをPC本体から抜いて、ドメインadminの権限 でログイン→ローカルのAdministrator を有効に変更→ワークグループに変更(再起動)→ドメイン参加(再起動)という、MSが示している通りの長い道のりで、ようやく復旧という手順でした。
どういうタイミングでこの現象が起こるのか分からないのが悔しいですが、面倒でも一度ドメインから抜くという作業しか、解決方法は無いようです。
こうしたトラブルに詳しい「本物のSEの方」からのコメント、お待ちしております。
(投稿者:ちゅん)
ユーザのプロパティーでパスワードの変更を可能にし、パスワードの無期限のチェックを外すし、クライアントでログインすると、パスワード変更画面にならないでしょうか?