La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado. Este error indica que el equipo no puede acceder a la red porque está desconectado o porque ha perdido su pertenencia al dominio de Active Directory (AD). Esta guía le ayudará a comprender lo que sucede entre bastidores cuando se produce este error y se explicará diferentes métodos para solucionar problemas.
Como verá, existen varias soluciones posibles para corregir el error “La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado”. Cabe destacar que existe una solución más rápida que el método tradicional de “salir del dominio, reiniciar, volver a unirse al dominio, reiniciar…”. ¡Comencemos!
Comprender el error “La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado”
El mensaje de error “La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado” es definitivamente uno de los más molestos que los profesionales de TI encuentran al trabajar con dispositivos unidos a Active Directory. Parece aparecer de la nada solo para poner un obstáculo en sus tareas diarias.
¿Cómo se puede encontrar con este error?
Cuando unes una estación de trabajo a un dominio de Active Directory, se crea una cuenta de computadora en AD. Y al igual que con una cuenta de usuario, esta cuenta de computadora tiene una contraseña, que es válida por 30 días antes de ser actualizada.
Nota – Tienes la opción de modificar el registro para cambiar el atributo ‘edad máxima de la contraseña de la cuenta de máquina’. Si así lo deseas, abre Regedit.exe y modifica la siguiente clave:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Cada vez que una computadora ‘inicia sesión’ en Active Directory (durante un reinicio, y antes de que un usuario inicie sesión), verifica su contraseña de cuenta de computadora con el controlador de dominio más cercano (DC):
- Si son sincronizados, la computadora se autentica correctamente en AD y la vida continúa.
- Si el dispositivo no tiene conexión de red a AD, se permite un período de gracia de hasta 30 días.
El escenario en el que encuentras el error “la relación de confianza entre esta estación de trabajo y el dominio primario ha fallado” es cuando un usuario de dominio intenta iniciar sesión en la estación de trabajo (y en el dominio). Si el usuario ha iniciado sesión previamente y su contraseña de AD está almacenada en caché en el dispositivo, podrá iniciar sesión durante ese período de gracia. Sin embargo, si un usuario que no ha iniciado sesión en el dispositivo antes intenta iniciar sesión y la confianza entre el dispositivo y AD no está disponible, obtendrás exactamente este error.
¿Por qué ocurre este error?
Este error de “la relación de confianza entre esta estación de trabajo y el dominio primario ha fallado” ocurre cuando el ordenador ya no es confiable en el dominio. El canal seguro entre la estación de trabajo y Active Directory falta. La contraseña del ordenador local no está coordinada con la contraseña del ordenador en tu Active Directory.
Hay algunos escenarios comunes donde este error puede ocurrir, aquí hay algunos ejemplos:
- Si reinstalas Windows.
- Si haces un restablecimiento de Windows.
- Si restauras el estado de una máquina virtual.
- Si reemplazas componentes de hardware más prominentes en un dispositivo, etc.
- Si clonas un dispositivo sin usar primero Sysprep.
Hay varias otras razones subyacentes que podrían llevar a este error. Problemas de conexión de red, un problema con tu AD o infraestructura de DNS, ¡incluso problemas con el cable de red de tu dispositivo! La idea es avanzar lentamente, no hacer NINGUNA suposición, y utilizar esta guía para seguir cada paso de este diagrama de flujo de resolución de problemas para resolver tu problema.
Cómo solucionar el error “la relación de confianza entre esta estación de trabajo y el dominio principal ha fallado”
Hay algunos métodos que puedes utilizar para solucionar el error “la relación de confianza entre esta estación de trabajo y el dominio principal ha fallado”. Lo que necesitas hacer aquí es resolver la relación de confianza entre tu dispositivo y Active Directory. Primero veamos algunos conceptos fundamentales que a veces se pasan por alto debido a limitaciones de tiempo.
Comprobando la relación de confianza con el comando Test-ComputerSecureChannel
¡Mira esto! Una joya útil de PowerShell para ayudar a reparar el estado de la relación de confianza de tu dispositivo con Active Directory. Tengo una máquina virtual Windows 11 en mi entorno de laboratorio de Hyper-V de Windows Server 2022 Active Directory. Usemos el cmdlet Test-ComputerSecureChannel para verificar nuestra conexión con AD.
Test-ComputerSecureChannel -verbose
Aquí, ‘Verdadero’ en la salida significa que está todo bien. ?
Comprobando la configuración de DHCP
Querrás ejecutar ipconfig en un símbolo del sistema para asegurarte de que la dirección IP de tu estación de trabajo esté en el mismo subred que el controlador de dominio (DC) o tenga una ruta a esas subredes. También puedes intentar hacer ping a uno de tus DC por nombre o nombre de dominio completamente calificado (FQDN).
Si eso no funciona, o no se resuelve, tienes un problema de conectividad de red más básico. Deberás realizar solución de problemas esenciales en este ámbito primero antes de continuar.
También puedes ejecutar los comandos ipconfig /release e ipconfig /renew para liberar tu dirección IP asignada por DHCP, y renovarla o obtener una nueva. A veces, estos pasos resuelven algunos problemas bastante peculiares de conexión de red. Adelante e inténtalo.
Restablecimiento de la contraseña de la cuenta de máquina
Sumergámonos directamente en los métodos más eficientes y que consumen menos tiempo para resolver nuestro problema. El objetivo aquí es restablecer la contraseña de una cuenta de computadora. Te mostraré los pasos para usar la GUI en Windows para separar, volver a unir, reiniciar, etc., más adelante.
Pero ¿no sería agradable evitar todos esos reinicios? Bueno, sí, estoy seguro de que lo sería. Especialmente si estás usando una computadora más lenta.
Usando la herramienta de línea de comandos resetpwd de netdom
La primera herramienta de línea de comandos que usaremos se llama netdom. Puedes instalarla en una estación de trabajo mediante la instalación de las Herramientas de Administración del Servidor Remoto (RSAT), específicamente la opción ‘Servicios de Dominio de Active Directory y Herramientas de Servicios de Directorio Ligero‘. Puedes aprender lo básico sobre la instalación de las herramientas RSAT leyendo mi publicación anterior sobre el tema.
Abre un símbolo del sistema administrativo y usa el siguiente comando netdom resetpwd:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
¡Éxito! La contraseña de la cuenta de máquina para la máquina local se ha restablecido correctamente, y ni siquiera necesitas reiniciar. Simplemente cierra la sesión y vuelve a iniciarla con una cuenta de usuario de dominio y todo debería estar bien.
Usando el cmdlet Reset-ComputerMachinePassword
Otra herramienta en tu cinturón de herramientas de PowerShell es el cmdlet Reset-ComputerMachinePassword. Al igual que netdom, este comando cambiará/actualizará la contraseña de la cuenta de computadora en Active Directory.
Ve adelante y abre una consola de PowerShell. La estructura básica del comando es la siguiente:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Entonces, en nuestro caso, ejecutaré este comando:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
No hay noticias es buena noticia. ?
Usando la herramienta Usuarios y Equipos de Active Directory
Hay un paso muy sencillo que puedes realizar utilizando Usuarios y Equipos de Active Directory (ADUC) para llevar a cabo la misma función que los dos métodos anteriores en línea de comandos. Simplemente localiza la estación de trabajo en tu directorio, haz clic derecho en el objeto de computadora, y haz clic en ‘Restablecer cuenta’.
Y listo, la cuenta de computadora ha sido restablecida.
Reintegra tu máquina al dominio de Active Directory
De acuerdo, estoy reservando el método tradicional, algo “no muy robusto”, para arreglar el error “la relación de confianza entre esta estación de trabajo y el dominio principal ha fallado” para el final: mi recomendación es usar las herramientas de línea de comandos ya que son más eficientes, rápidas y simplemente hacen el trabajo de manera más confiable. No es necesario preocuparse por problemas potenciales con perfiles locales, problemas de conexión en la red del lado de la estación de trabajo y otros problemas en Windows en general.
De todas formas, por completitud, permíteme mostrarte este otro método para unir nuevamente tu máquina al dominio de Active Directory.
Usando los Cmdlets Remove-Computer y Add-Computer
Parece que estoy resistiendo usar el método GUI más antiguo por una razón. ? Saliendo de una distorsión en el último segundo posible para darnos la ventaja táctica. Podemos usar PowerShell, de nuevo, para lograr nuestro objetivo. Podemos usar los cmdlets Remove-Computer y Add-Computer.
Nota: Asegúrate de conocer las credenciales de una cuenta de administrador local del dispositivo que estás utilizando. Necesitarás esos datos para iniciar sesión después de quitar la estación de trabajo y reiniciarla.
Aquí está el cmdlet Remove-Computer que necesitas usar para quitar la computadora del dominio y reiniciarla.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Vale. Después de solo unos segundos, ocurrió el reinicio. Ahora, después de iniciar sesión con un administrador local, puedo usar el cmdlet ‘Add-Computer‘ para unirme nuevamente al dominio.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
¡Otra operación muy rápida y un reinicio! ¡Y estamos de vuelta en funcionamiento!
Usando la interfaz gráfica de usuario y una cuenta de administrador de dominio
Bueno, supongo que puedo mostrarte el método tradicional pero efectivo para resolver este error. Vamos a seguir el procedimiento de usar la interfaz gráfica de Windows en la estación de trabajo para desvincular nuestro dispositivo del dominio de Active Directory y unirlo al modo de grupo de trabajo, reiniciar, luego volver a unir nuestro dispositivo a AD, reiniciar de nuevo, y entonces debería ser misión cumplida.
Primero, haz clic en Inicio -> Configuración -> Cuentas -> Acceder a trabajo o escuela. Haz clic en la flecha desplegable a la derecha donde muestra el nombre del dominio DNS de AD y haz clic en Desconectar. Haz clic en Sí.
Haz clic en el botón Desconectar en la ventana emergente siguiente.
Aquí, confirma las credenciales de una cuenta local con la que podrás iniciar sesión después de que tu estación de trabajo sea eliminada del dominio.
Este paso es importante, si no tienes acceso a una cuenta y contraseña locales, necesitarás reinstalar Windows o reimprimir tu dispositivo.
Una vez que hayas terminado, haz clic en Reiniciar ahora para reiniciar tu máquina.
En este punto, inicié sesión con mi cuenta local ‘Michael’. Luego procedí al mismo lugar: Inicio -> Configuración -> Cuentas -> Acceder a trabajo o escuela.
Aquí, haz clic en el botón Conectar junto a ‘ Agregar una cuenta de trabajo o escuela‘.
Elige el último enlace en la parte inferior: Unir este dispositivo a un dominio local de Active Directory.
Ingrese el Nombre de dominio completo (FQDN) de su dominio de Active Directory y haga clic en Siguiente.
Suponiendo que pueda contactar correctamente su dominio (si no, puede leer mi publicación para ayudarlo en la solución de problemas), se le pedirá una cuenta de dominio con permisos de Administradores de dominio o equivalentes.
Aquí estoy tomando el paso no tan común de agregar mi cuenta de AD ‘mreinders’ al grupo de Administradores local. Esto es para mis propósitos de laboratorio, y no es la mejor práctica en términos de seguridad.
Haga clic en Reiniciar ahora, inicie sesión con su cuenta de usuario en el dominio ¡y listo!
Conclusión
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/