Come Risolvere l’Errore “La Relazione di Fiducia Tra Questa Postazione e il Dominio Principale è Fallita”

Tutorial

L’errore “la relazione di fiducia tra questa postazione di lavoro e il dominio principale è fallita” significa che il computer non può accedere a una rete perché è offline, o che ha perso la sua appartenenza al dominio Active Directory (AD). Questa guida ti aiuterà a capire cosa succede dietro le quinte quando si verifica questo errore, e passeremo attraverso diversi metodi per risolvere questo problema.

Come vedrai, ci sono diverse possibili soluzioni per risolvere l’errore “la relazione di fiducia tra questa postazione di lavoro e il dominio principale è fallita”. In particolare, ce n’è una più veloce della tradizionale – ‘disconnettersi dal dominio, riavviare, ricollegarsi al dominio, riavviare…’ divertimento. Cominciamo!

Pubblicità

Comprensione dell’errore “la relazione di fiducia tra questa postazione di lavoro e il dominio principale è fallita”

Il messaggio di errore “la relazione di fiducia tra questa postazione di lavoro e il dominio principale è fallita” è sicuramente uno dei più fastidiosi che gli specialisti IT incontrano quando lavorano con dispositivi connessi ad Active Directory. Sembra comparire dal nulla solo per mettere un ostacolo nei tuoi compiti quotidiani per completare le cose.

Come puoi incontrare questo errore?

Quando si unisce una postazione di lavoro a un dominio Active Directory, viene creato un account computer in AD. E proprio come con un account utente, questo account computer ha una password, che è valida per 30 giorni prima di essere aggiornata.

Nota – Hai la possibilità di modificare il registro per cambiare l’attributo “età massima della password dell’account macchina”. Se lo desideri, apri Regedit.exe e modifica la seguente chiave:

hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

Ogni volta che un computer “effettua l’accesso” ad Active Directory (durante un riavvio e prima che un utente effettui l’accesso), verifica la password del suo account computer con il controller di dominio (DC) più vicino:

Annuncio

  • Se sono sincronizzati, il computer si autentica correttamente su AD e la vita continua.
  • Se il dispositivo non ha una connessione di rete ad AD, viene consentito un periodo di grazia fino a 30 giorni.

Il scenario in cui si verifica l’errore “la relazione di fiducia tra questo workstation e il dominio primario non è riuscita” si verifica quando un utente di dominio tenta di accedere al workstation (e al dominio). Se l’utente ha precedentemente effettuato l’accesso e la password AD è memorizzata nella cache sul dispositivo, sarà in grado di accedere durante quel periodo di grazia. Tuttavia, se un utente che non ha mai effettuato l’accesso al dispositivo prima tenta di accedere e la fiducia tra il dispositivo e l’AD non è disponibile, si verificherà esattamente questo errore.

Perché si verifica questo errore?

Questo errore “la relazione di fiducia tra questo workstation e il dominio primario non è riuscita” si verifica quando il computer non è più considerato affidabile nel dominio. Il canale sicuro tra il workstation e l’Active Directory manca. La password del computer locale non è coordinata con la password del computer nel tuo Active Directory.

Ci sono alcuni scenari comuni in cui può verificarsi questo errore, ecco alcuni esempi:

  • Se reinstalli Windows.
  • Se fai un reset di Windows.
  • Se si ripristina lo stato di una macchina virtuale.
  • Se si sostituiscono componenti hardware più importanti in un dispositivo, ecc.
  • Se si clona un dispositivo senza utilizzare prima Sysprep.

Ci sono diverse altre ragioni sottostanti che potrebbero causare questo errore. Problemi di connessione di rete, un problema con il vostro AD o infrastruttura DNS, e persino problemi con il cavo di rete del vostro dispositivo! L’importante è procedere lentamente, non fare ALCUNE supposizioni, e utilizzare questa guida per seguire ogni passaggio di questa sequenza di risoluzione dei problemi per risolvere il problema.

Pubblicità

Come risolvere l’errore “il rapporto di fiducia tra questa postazione di lavoro e il dominio principale è fallito”

Ci sono alcuni metodi che puoi utilizzare per risolvere l’errore “la relazione di fiducia tra questa workstation e il dominio principale è fallita”. Quello che devi fare qui è risolvere la relazione di fiducia tra il tuo dispositivo e Active Directory. Guardiamo innanzitutto alcuni concetti fondamentali che potresti trascurare sporadicamente a causa di vincoli di tempo.

Verifica della relazione di fiducia con il comando Test-ComputerSecureChannel

Ecco! Una preziosa gemma di PowerShell utile per riparare lo stato della relazione di fiducia del tuo dispositivo con Active Directory. Ho una VM di Windows 11 nel mio ambiente di laboratorio Hyper-V di Active Directory di Windows Server 2022. Utilizziamo cmdlet Test-ComputerSecureChannel per verificare la nostra connessione con AD.

Test-ComputerSecureChannel -verbose
Using Test-ComputerSecureChannel to verify the trust is valid

Qui, ‘True’ nell’output significa che siamo a posto. ?

Verifica delle impostazioni DHCP

Vorrai eseguire ipconfig da un prompt dei comandi per verificare che l’indirizzo IP del tuo posto di lavoro sia nella stessa subnet del tuo controller di dominio (DC) o abbia un percorso verso tali subnet. Puoi anche provare a effettuare il ping su uno dei tuoi DC in base al nome o al fully qualified domain name (FQDN).

Se ciò non funziona o non viene risolto, hai un problema di connettività di rete più basilare. Prima di procedere, sarà necessario eseguire una risoluzione dei problemi essenziale in questo ambito.

Potresti anche eseguire i comandi ipconfig /release e ipconfig /renew per rilasciare il tuo indirizzo IP assegnato tramite DHCP, e quindi rinnovarlo o ottenere uno nuovo. A volte, questi passaggi risolvono alcuni problemi piuttosto strani di connessione di rete. Prova pure.

Reimpostazione di una password dell’account di macchina

Passiamo subito ai metodi più efficienti e meno dispendiosi di tempo per risolvere il nostro problema. L’obiettivo qui è reimpostare la password di un account del computer. Successivamente, ti mostrerò i passaggi per utilizzare l’interfaccia grafica utente in Windows per disconnettere, riconnettere, riavviare, ecc.

Ma non sarebbe bello evitare tutti quei riavvii? Beh, sì, sono sicuro che sarebbe bello. Specialmente se stai utilizzando un computer più lento.

Utilizzando lo strumento a riga di comando netdom resetpwd

Il primo strumento a riga di comando che useremo si chiama netdom. Puoi installarlo su una postazione di lavoro installando le Strumenti di amministrazione remota del server (RSAT), nello specifico l’opzione ‘Strumenti dei servizi di dominio Active Directory e dei servizi di directory leggeri‘. Puoi imparare i concetti base dell’installazione degli strumenti RSAT leggendo il mio post precedente sull’argomento.

Apri un prompt dei comandi amministrativo ed usa il seguente netdom resetpwd comando:

netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Using netdom to reset the computer account password in AD

Successo! La password dell’account macchina per la macchina locale è stata reimpostata con successo e non è nemmeno necessario riavviare. Puoi semplicemente disconnetterti e poi riconnetterti con un account utente di dominio e dovresti essere a posto.

Utilizzando il cmdlet Reset-ComputerMachinePassword

Un altro strumento nel tuo set di strumenti di PowerShell è il cmdlet Reset-ComputerMachinePassword. Come netdom, questo comando cambierà/aggiornare la password dell’account computer con Active Directory.

Vai avanti e apri una console di PowerShell. La struttura di base del comando è la seguente:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

Quindi, nel nostro caso, eseguirò questo comando:

Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Here we use Reset-ComputerMachinePassword to accomplish our goal
And yes, no news here is good news!

Nessuna novità è buona novità. ?

Usando lo strumento Active Directory User and Computers

C’è un passaggio molto semplice che puoi fare usando Active Directory Users e Computers (ADUC) per eseguire la stessa funzione dei due metodi precedenti da riga di comando. Semplicemente individua la postazione di lavoro del computer nel tuo elenco, fai clic con il tasto destro sull’oggetto computer e fai clic su ‘Reimposta account‘.

Using Active Directory Users and Computers to accomplish the same goal

Ecco fatto, l’account del computer è stato reimpostato.

Ricollega la tua macchina al dominio Active Directory

Va bene, sto riservando per ultimo il metodo tradizionale, un po’ ‘non robusto’, per correggere l’errore “il rapporto di fiducia tra questa postazione di lavoro e il dominio principale è fallito” – la mia raccomandazione è di utilizzare gli strumenti a riga di comando in quanto sono più efficienti, veloci e semplicemente completano il lavoro in modo più affidabile. Non è necessario preoccuparsi di potenziali problemi con i profili locali, problemi di connessione di rete sul lato della postazione di lavoro e altri problemi in generale in Windows.

In ogni caso, per completezza, ti mostriamo questo altro metodo per riunire il tuo computer al dominio Active Directory.

Utilizzando i cmdlet Remove-Computer e Add-Computer

Sembra che mi stia trattenendo nell’utilizzare il vecchio metodo GUI per un motivo. ? Immersi in una warp all’ultimo secondo possibile per darci il vantaggio tattico. Possiamo utilizzare di nuovo PowerShell per raggiungere il nostro obiettivo. Possiamo utilizzare i cmdlet Remove-Computer e Add-Computer.

Nota – Assicurati di conoscere le credenziali di un account amministratore locale del dispositivo che stai utilizzando. Avrai bisogno di queste per accedere dopo il distacco della postazione di lavoro e il riavvio.

Ecco il cmdlet Remove-Computer che devi utilizzare per rimuovere il computer dal dominio e riavviarlo. 

Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart

Ok. Dopo soli pochi secondi, è avvenuto il riavvio. Ora, dopo aver effettuato l’accesso con un amministratore locale, posso utilizzare il cmdlet ‘Add-Computer‘ per rientrare nel dominio.

Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
We can Add-Computer to get our machine joined again to our AD Domain

Un’altra operazione MOLTO veloce e un riavvio! E siamo di nuovo a posto.

After the reboot, we see that our machine is correctly in the domain

Utilizzando l’interfaccia grafica e un account amministratore di dominio

Beh, credo di poter mostrare il metodo tradizionale ma efficace per risolvere questo errore. Seguiremo la procedura per utilizzare l’interfaccia grafica di Windows sulla postazione di lavoro per disgiungere il dispositivo dal dominio Active Directory e passare alla modalità gruppo di lavoro, riavviare, quindi riunire nuovamente il dispositivo nell’AD, riavviare nuovamente e a quel punto dovrebbe essere missione compiuta.

Prima di tutto, fare clic su Start -> Impostazioni -> Account -> Accesso al lavoro o scuola. Fare clic sulla freccia in basso a destra dove viene visualizzato il nome del dominio AD DNS e fare clic su Disconnetti. Fare clic su .

Using Windows Settings in Windows 11 to remove our computer from the domain

Fare clic sul pulsante Disconnetti nella finestra di pop-up seguente.

What you see when you choose to remove a computer from an AD domain

Qui, conferma le credenziali di un account locale con cui potrai effettuare l’accesso dopo che la postazione di lavoro sarà stata rimossa dal dominio.

Putting in credentials to confirm we can login after the disconnection from the domain

Questo passaggio è importante: se non hai accesso a un account locale e password, dovrai reinstallare Windows o reimpostare il dispositivo.

Click Restart now or Restart later to complete the process

Una volta completato, fare clic su Riavvia ora per riavviare la macchina.

A questo punto, ho effettuato l’accesso con il mio account locale ‘Michael’. Ho quindi proceduto alla stessa posizione: Start -> Impostazioni -> Account -> Accesso al lavoro o scuola.

Qui, fare clic sul pulsante Connetti accanto a ‘Aggiungi un account di lavoro o scuola.’

We go to the same location to get back on the domain in Accounts > Access work or school

Scegliere l’ultimo collegamento in basso: Unisci questo dispositivo a un dominio Active Directory locale.

Click Join this device to a local Active Directory domain

Inserisci il Nome di Dominio Completamente Qualificato (FQDN) del tuo dominio Active Directory e clicca su Avanti.

Entering in our FQDN DNS AD domain name

Supponendo che riesca a contattare correttamente il tuo dominio (se no, puoi leggere il mio post per aiutarti nella risoluzione dei problemi), ti verrà richiesto un account di dominio con autorizzazioni di Amministratori di Dominio o equivalenti.

Entering in our DA credentials to join the computer

Qui sto prendendo l’inusuale passo di aggiungere il mio account AD ‘mreinders’ al gruppo Amministratori locali. Questo è per scopi di laboratorio, e non sono le migliori pratiche in termini di sicurezza.

Clicca su Riavvia Ora, accedi con il tuo account utente al dominio, e siamo a posto!

Conclusione

I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!

Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/