Refazendo Secure Channel.
Como primeira opção (e bastante simples), podemos simplesmente resetar a conta de máquina no objeto através da interface do Active Directory Users and Computers. Simplesmente pesquisando o objeto da maquina que deseja-se recuperar o secure channel, botão direito e “reset account”. Feito isso, force uma replicação do AD através da linha repadmin /syncall /Ade e reinicie a máquina que teve sua conta restaurada.
Como foi informado, existe a possiblidade que nenhuma das opções funcione, sendo necessário realmente remover a máquina do domínio e adicioná-la novamente.
Conforme conversa durante contato telefônico, temos duas formas de restaurar o secure channel através de um Domain Controller, são elas: NETDOM e DSMOD.
Para a restauração do secure channel através do NETDOM, usamos a seguinte linha: netdom reset /domain /UserO /PasswordO *. No caso deste comando, os parâmetros entre < > devem ser substituído por informações do ambiente, por exemplo, em laboratório, executo da seguinte maneira: netdom reset maiden-killers /domain maiden.com /UserO administrator@maiden.com /PasswordO *, após executar esta linha, será necessário informar a senha do usuário administrador escolhido no parâmetro "UserO", quando estiver digitando a senha, não será exibido nada, porém a senha terá sido informada, sendo necessário apenas a confirmação através do botão "Enter". Caso o comando seja concluído com sucesso, faça logoff na máquina afetada e tente logar novamente.
Quando se tratando do DSMOD, partiriamos para a seguinte linha: dsmod computer "ComputerDN" -reset. Neste caso, o parâmetro "ComputerDN" refere-se ao distinguish name do objeto da máquina que deseja-se restabelecer o secure channel, por exemplo, no mesmo caso do exemplo do NETDOM, substituiria-se o parâmetro “ComputerDN” pelo distinguish name do objeto “maiden-killers”. O parâmetro nada mais é que a localização do objeto dentro do Active Directory de baixo para cima. Após executado o comando, remova a workstation do domínio, reinicie a workstation e adicione-a novamente ao domínio. Para verificação do distringuish name da máquina, pode-se utilizar a ferramenta do Active Directory Services and Interface Edit (adsiedit.msc), conforme imagens abaixo:
2-Clique com o botão direito em cima de “ADSI Edit” e clique em “Connect to...”:
3- A seguinte tela será exibida. Como precisamos acessar a partição de domínio, simplesmente selecione o “Default Naming Context”e clique em “OK”:
Após conectar-se a partição de domínio, navegue até encontrar o objeto da máquina que deseja restaurar o secure channel. No caso do laboratório, a máquina está dentro da hive de Computers, então foi bastante simples de encontrá-la:
Na tela da direita, ao lado do objeto, temos o distinguish name do mesmo, esta informação é deve ser substituida no parâmetro “ComputerDN” do comando. No caso do laboratório, o comando ficaria assim: dsmod computer”cn=maiden-killers,cn=computers,dc=maiden,dc=com” –reset.
Como última opção antes de removermos a máquina do domínio e adicioná-la novamente, teriamos o NLTEST. O NLTEST pode ser executado tanto direto na máquina com problema, quanto a partir de um Domain Controller, apontando a máquina com problema para a primeira situação, usariamos a seguinte linha: nltest /server: /sc_reset:\. Novamente, substituindo os parâmetros entre < > com informações do ambiente. Na segunda situação, usariamos a seguinte linha: nltest /sc_reset:. No caso da segunda opção, deve-se logar na máquina com credenciais em cache, sem cabo de rede, após carregado o perfil, inserir o cabo de rede, abrir uma janela do prompt elevado e executá-la, porém, há uma grande chance de ser retornado um erro de acesso negado.
Abaixo temos dois artigos com hotfix que atualizam DLLs e componentes de sistema. É recomendado que todas as máquinas do ambiente, workstations ou servidores, tenham estes componentes atualizados:
Dicas e Créditos Guilherme Pohlmann