איך לתקן את השגיאה "האמון בין התחנה העבודה לדומיין העיקרי נכשל"

מדריכים

שגיאת "היחס המהימן בין תחנת העבודה הזו והדומיין הראשי נכשל" אומרת שהמחשב לא יכול לגשת לרשת מכיוון שהוא לא מחובר לאינטרנט, או שהוא אבד את חברותו לאיבר ה-Active Directory (AD). מדריך זה יעזור לך להבין מה קורה מאחורי הקלעים כאשר תקרה טעות זו, ונעבור דרך שיטות שונות לפתרון בעיה זו.

כפי שתראה, ישנן מספר פתרונות אפשריים לתיקון שגיאת "היחס המהימן בין תחנת העבודה הזו והדומיין הראשי נכשל". חשוב לציין, יש פתרון אחד שמהיר יותר מהמסורתי – 'הפרדה מהדומיין, איתחול, שיבוץ שוב לדומיין, איתחול…' בואו נתחיל!

פרסומת

הבנת שגיאת "היחס המהימן בין תחנת העבודה הזו והדומיין הראשי נכשל"

הודעת השגיאה "היחס המהימן בין תחנת העבודה הזו והדומיין הראשי נכשל" היא בהחלט אחת השגיאות המעצבנות ביותר שמקצועני IT נתקלים בהן בעת עבודה עם מכשירים מחוברים ל-Active Directory. נראה כאילו היא קופצת משום מקום רק כדי לשים לך לכף יד ולחסום אותך מביצוע המשימות היומיומיות שלך.

כיצד ניתן לנתק את השגיאה זו?

כאשר אתה מצטרף לתחום של Active Directory מספר מחשב נוצר ב-AD. ובדיוק כמו עם חשבון משתמש, למחשב יש גם חשבון, עם סיסמה שתקפה ל-30 ימים לפני שנעדכנת.

הערה – יש לך אופציה לשנות את ה-SAttribute 'מקסימום תקופת סיסמת חשבון מחשב', אם תרצה זאת, פתח את Regedit.exe ושנה את המפתח הבא:

hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

כל פעם שהמחשב 'נכנס' ל-Active Directory (במהלך האתחול, ולפני שמשתמש נכנס), המחשב מאמת את סיסמת חשבון המחשב שלו ב-Kקרולר תחום הקרוב ביותר:

פרסומת

  • אם הם סינכרוניים, המחשב מאמת בהצלחה ל-AD והחיים הולכים הלאה.
  • אם המכשיר לא מחובר לרשת של AD, יש תקופת חסד של עד 30 ימים.

התרחשות הסצנריו שבו אתה נתקל בשגיאת "הקשר האמון בין תחנת העבודה הזו למרכז הדומיין הראשי נכשל" היא כאשר משתמש בדומיין מנסה להתחבר לתחנת העבודה (ולדומיין). אם המשתמש התחבר בעבר והסיסמה שלו ב-AD מאוחסנת במכשיר, הוא יוכל להתחבר מתוך תקופת החסד הההיא. אך, אם משתמש שלא התחבר למכשיר מקודם מנסה להתחבר, והאמון בין המכשיר וה-AD אינו זמין, תקבל את השגיאה הזו בדיוק.

למה מתרחשת זו השגיאה?

השגיאת "הקשר האמון בין תחנת העבודה הזו למרכז הדומיין הראשי נכשל" מתרחשת כאשר המחשב אינו נאמן יותר בדומיין. הערוץ המאובטח בין תחנת העבודה וה-Active Directory חסר. סיסמת המחשב המקומית אינה מתואמת עם סיסמת המחשב ב-Active Directory שלך.

קיימים כמה תרחישים נפוצים שבהם ניתן לראות את השגיאה הזו, הנה כמה דוגמאות:

  • אם אתה מתקין מחדש את Windows.
  • אם אתה עושה איפוס של Windows.
  • אם תשחזרו את מצבו של מכונה וירטואלית.
  • אם תחליפו רכיבי חומרה עיקריים יותר במכשיר וכו'.
  • אם תשכפלו מכשיר בלי להשתמש קודם ב-Sysprep.

יש כמה סיבות רקות אחרות שעשויות להוביל לשגיאה זו. בעיות חיבור רשת, בעיה עם AD או תשתית DNS, וגם בעיות עם כבל רשת של המכשיר שלך! הנקודה היא לקחת את הדברים במהלך, לא לעשות שום הנחות, ולהשתמש במדריך זה כדי לעקוף את כל שלבי סידור הנטייה הזה כדי לפתור את בעייתך.

פרסומת

איך לתקן את שגילתי האמון בין תחנת העבודה הזו והתחום הראשי נכשלה" באירור

יש כמה שיטות שניתן להשתמש בהן כדי לתקן את שגיאת "היחסי אמון בין תחנת העבודה הזו והדומיין הראשי נכשלו". מה שצריך לעשות כאן הוא לפתור את היחסי האמון בין המכשיר שלך ולפעול ב-Active Directory. בואו נסתכל תחילה על כמה יסודות שייתכן שתתעלמו מהם לעיתים בשל מגבלות הזמן.

בדיקת היחסי האמון עם פקודת Test-ComputerSecureChannel

טוב, הבריה! תכשיר יעיל ב־PowerShell שיסייע לתקן את מצב יחסי האמון של המכשיר שלך עם Active Directory. יש לי VM של Windows 11 בסביבת הבית של Windows Server 2022 ב־Hyper-V של Active Directory שלי. בוא נשתמש ב־cmdlet של Test-ComputerSecureChannel כדי לאמת את חיבורנו ל-AD.

Test-ComputerSecureChannel -verbose
Using Test-ComputerSecureChannel to verify the trust is valid

כאן, כאשר 'True' מופיע בפלט, זה אומר שהכל בסדר. ?

בדיקת הגדרות DHCP

תרצה להריץ ipconfig בשורת פקודה כדי לוודא שכתובת ה-IP של התחנת עבודה שלך נמצאת באותו תת־רשת כמו של שלט הדומיין שלך (DC) או שיש לה מסלול לתתי־הרשת האלה. ניתן גם לנסות לבצע ping לאחד מה-DC שלך לפי השם או שם המתחם המוחלט (FQDN).

אם זה לא עובד, או שהוא לא מפתיר, ייתכן שיש לך חיבור רשת בסיסי יותר. כדאי לבצע את האבחון המהותי בתחום זה תחילה לפני שממשיכים.

ניתן גם להריץ את הפקודות ipconfig /release ו־ipconfig /renew כדי לשחרר את כתובת ה-IP שהוקצתה לך על ידי DHCP, ולחדש אותה או לקבל אחת חדשה. לפעמים, אלה השלבים מפתירים בעיות חיבור רשת מעצבנות מאוד. נסה ותראה.

איפוס סיסמת חשבון מכונה

קדימה נתפס ידי אופן הפעולה היעיל ופחות המצר כדי לפתור את הבעיה שלנו. המטרה כאן היא לאפס את סיסמת חשבון המחשב. אעביר לך את השלבים כיצד להשתמש ב- GUI ב- Windows לנתק, להשתייך מחדש, לאתחל, ועוד לאחר מכן.

אבל האם לא היה טוב להימנע מכל הטעינות הללו? כן, אני בטוח שהיה. במיוחד אם אתה משתמש במחשב איטי.

בשימוש בכלי קו הפקות resetpwd של netdom

הכלי הראשון בקו הפקות שנשתמש בו יקרא netdom. תוכל להתקין אותו על תחנת העבודה על ידי התקנת כלי הניהול המרוחק של שרת (RSAT), באופציה 'כלי שירותי מדינת מערכות הפעילות ושירותי ספרייה קלה'. תוכל ללמוד את היסודות של התקנת כלי RSAT על ידי קריאת הפוסט הקודם שלי בנושא.

פתח פקודת פקודה מנהלית והשתמש בפקודת netdom resetpwd:

netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Using netdom to reset the computer account password in AD

הצלחה! סיסמת חשבון המכונה עבור המחשב המקומי אופסה בהצלחה, ואין צורך אפילו באיתחול. אתה פשוט יכול להתנתק ולהתחבר שוב עם חשבון משתמש בדומיין וכך אתה צריך להיות בסדר.

בשימוש בפקודת cmdlet Reset-ComputerMachinePassword

כלי נוסף בתיק הכלים שלך ב-PowerShell הוא פקודת ה־Reset-ComputerMachinePassword. בדומה ל־netdom, פקודה זו תשנה/תעדכן את סיסמת חשבון המחשב ב־Active Directory.

צעד קדימה ופתח קונסולת PowerShell. מבנה הפקודה הבסיסי הוא כדלקמן:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

לכן, במקרה שלנו, אני אריץ פקודה זו:

Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Here we use Reset-ComputerMachinePassword to accomplish our goal
And yes, no news here is good news!

אין חדשות טובות כאן. ?

משתמשים בכלי Active Directory User and Computers 

ישנה צעד מאוד ישיר שניתן לבצע בעזרת Active Directory Users and Computers (ADUC) כדי לבצע את אותה פונקציה כמו שני השיטות הקודמות בשורת הפקודה. פשוט אתר את תחנת המחשב בספרייה שלך, לחץ על אובייקט המחשב עם העכבר הימני, ולחץ על 'איפוס חשבון'.והנה, חשבון המחשב כעת נאפס.

Using Active Directory Users and Computers to accomplish the same goal

התאם מחדש את המחשב שלך לתחום של Active Directory

בסדר, אני שומר את השיטה המסורתית, בערך 'לא מוצמדת', לאחרונה כדי לתקן את שגיאת "היחס בין מחשב זה לדומיין הראשי נכשל" – ההמלצה שלי היא להשתמש בכלי שורת פקודה מאחר שהם יעילים יותר, מהירים, ופשוט עושים את העבודה בצורה אמינה יותר. אין צורך לדאוג לבעיות אפשריות עם פרופילים מקומיים, בעיות תקשורת ברשת מצידו של המחשב ובעיות אחרות בחלונות בכללי.

בכל מקרה, למען השלמות, בוא נראה לך את השיטה השנייה לשחזור המחשב שלך לדומיין של Active Directory.

שימוש ב-Cmdlets של Remove-Computer ו-Add-Computer

נראה שאני מחזיק בשיטה הישנה יותר בשל סיבה. ? יוצא מן הפלדה בשנייה האחרונה לתת לנו את היתרון הטקטי. אנו יכולים להשתמש שוב ב-PowerShell כדי להשיג את המטרה. אנו יכולים להשתמש ב-Remove-Computer וב-Add-Computer cmdlets.

שים לב – ודא שאתה יודע את הפרטים האישיים לחשבון מנהל מקומי של המכשיר שבו אתה משתמש. תצטרך אותם כדי להתחבר לאחר ההפרדה של המחשב והאתחול.

הנה ה-cmdlet של Remove-Computer שעליך להשתמש בו כדי להסיר את המחשב מהדומיין ולאתחל אותו מחדש. 

Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart

בסדר. לאחר שלוש שניות בלבד, האתחול קרה. כעת, לאחר שנכנסתי עם מנהל מקומי, אני יכול להשתמש ב-cmdlet ' Add-Computer ' כדי להצטרף שוב לדומיין.

Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
We can Add-Computer to get our machine joined again to our AD Domain

פעולה נוספת במהירות רבה ואחרי האתחול! וחוזרים לעסק.

After the reboot, we see that our machine is correctly in the domain

באמצעות ממשק המשתמש הגרפי וחשבון מנהל תחום

אני מניח שאני יכול להראות לך את השיטה המסורתית, אך אפקטיבית לפתירת השגיאה הזו. נעבור דרך הליך של שימוש ב- GUI של Windows בעמדת העבודה כדי להפריד את המכשיר שלנו מתחום ה- Active Directory ולהצטרף למצב קבוצת עבודה, לאחר מכן לאפס, לאחר מכן להצטרף מחדש את המכשיר שלנו ל- AD, לאפס שוב, אז זה צריך להיות משימה מושלמת.

לְכָאורֶה, לחץ התחל -> הגדרות -> חשבונות -> גישה לעבודה או ללמוד. לחץ על החץ הנפתח בימין שבו מוצג שם תחום DNS של AD ולחץ נתק. לחץ כן.

Using Windows Settings in Windows 11 to remove our computer from the domain

לחץ על כפתור נתק בחלון הופעה הבאה.

What you see when you choose to remove a computer from an AD domain

כאן, אשרד תעריכו את פרטי הכניסה של חשבון מקומי שתוכלו להיכנס איתו לאחר שמחשב העבודה שלכם יוסר מתחום.

Putting in credentials to confirm we can login after the disconnection from the domain

שלב זה חשוב – אם אין לכם גישה לחשבון מקומי ולסיסמה, תצטרכו להתקין מחדש את Windows או לשחזר מחדש את המכשיר שלכם.

Click Restart now or Restart later to complete the process

כאשר תסיימו, לחצו איפוס עכשיו כדי לאפס את המכונה שלכם.

בנקודה זו, נכנסתי עם החשבון המקומי שלי, 'מיכאל'. אז המשכתי לאותו מיקום: התחל -> הגדרות -> חשבונות -> גישה לעבודה או ללמוד.

כאן, לחץ על הכפתור התחבר ליד ' הוסף חשבון עבודה או לימוד.'

We go to the same location to get back on the domain in Accounts > Access work or school

בחרו בקישור האחרון בתחתית: הצטרף לתחום Active Directory מקומי זה.

Click Join this device to a local Active Directory domain

הזן את השם המלא של הדומיין שלך ב־Active Directory ולחץ על הבא.

Entering in our FQDN DNS AD domain name

בהנחה שהוא מצליח ליצור קשר עם הדומיין שלך (אם לא, תוכל לקרוא את הפוסט שלי כדי לעזור בתהליך האיתור שלך), תתבקש להזין חשבון דומיין עם הרשאות של מנהלי הדומיין או זכויות שקיפות דומות.

Entering in our DA credentials to join the computer

כאן, אני עובר על השלב שלא מתבצע הרבה, ומוסיף את החשבון ה־AD שלי, 'mreinders', לקבוצת המנהלים המקומית. זהו לצרכי המעבדה שלי, ולא לפי תרגילים הטובים ביותר בנוגע לאבטחה.

לחץ על אתחל עכשיו, התחבר עם חשבון המשתמש שלך לדומיין, והננו!

מסקנה

I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!

Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/