“このワークステーションとプライマリドメイン間の信頼関係が失敗しました”のエラーは、コンピュータがオフライン状態でネットワークにアクセスできないことを意味するか、またはActive Directory(AD)ドメインへのメンバーシップを失ったことを示します。このガイドでは、このエラーが発生する際に裏で何が起こっているかを理解し、この問題のトラブルシューティング方法を紹介します。
見ての通り、” このワークステーションとプライマリドメイン間の信頼関係が失敗しました “を修正するためのいくつかの可能な解決策があります。特に、従来の方法よりも速い方法が1つあります – ‘ドメインから切り離し、再起動、ドメインに再参加、再起動…’。では、始めましょう!
「このワークステーションとプライマリドメイン間の信頼関係が失敗しました」エラーの理解
「このワークステーションとプライマリドメイン間の信頼関係が失敗しました」のエラーメッセージは、Active Directoryに参加しているデバイスでITプロが遭遇する最も迷惑なエラーメッセージの1つです。まるでどこからともなく現れ、日常業務を行う際の障害となります。
このエラーに遭遇する方法は?
ワークステーションをActive Directoryドメインに参加させると、ADにコンピューターアカウントが作成されます。ユーザーアカウントと同様に、このコンピューターアカウントには30日間有効なパスワードが設定されています。
注意 – ‘最大マシンアカウントパスワード有効期間’属性を変更するオプションがあります。希望する場合は、Regedit.exeを開いて、次のキーを変更してください:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
コンピューターがActive Directoryに「ログイン」するたび(再起動時やユーザーがログインする前)、最も近いドメインコントローラー(DC)でコンピューターアカウントのパスワードを確認します:
- 同期している場合、コンピューターはADに正常に認証され、作業が続行されます。
- デバイスがADにネットワーク接続していない場合、最大30日間の猶予期間が許可されます。
このワークステーションとプライマリ ドメイン間の信頼関係に失敗しました
なぜこのエラーが発生するのですか?
この“このワークステーションとプライマリ ドメイン間の信頼関係に失敗しました”エラーは、コンピューターがもはやドメイン内で信頼されていない場合に発生します。ワークステーションとActive Directoryの間の安全チャネルがない状態です。ローカルコンピューターのパスワードがActive Directory内のコンピューターのパスワードと一致していません。
このエラーが発生する一般的なシナリオがいくつかあります。以下に、いくつかの例を示します:
- Windowsを再インストールする場合。
- Windowsをリセットする場合。
- 仮想マシンの状態を復元する場合。
- デバイス内のより顕著なハードウェアコンポーネントを交換する場合など。
- Sysprepを使用せずにデバイスをクローンする場合。
このエラーの原因となる他の潜在的な理由がいくつかあります。ネットワーク接続の問題、ADやDNSインフラストラクチャに問題がある場合、さらにはデバイスのネットワークケーブルに問題がある場合もあります!重要なのは、ゆっくり進め、どんな仮定もしないこと、そしてこのガイドを使用して、トラブルシューティングフローチャートの各ステップを追って問題を解決すること。
「このワークステーションとプライマリドメイン間の信頼関係が失敗しました」というエラーを修正する方法
このワークステーションとプライマリドメインの信頼関係が失敗しました”エラーを修正するために使用できるいくつかの方法があります。ここで行う必要があるのは、デバイスとActive Directoryとの信頼関係を解決することです。まず、時間の制約によって断続的に見落とされる基本的な点をいくつか見てみましょう。
Test-ComputerSecureChannelコマンドで信頼関係を確認する
なるほど!デバイスのActive Directoryとの信頼関係の状態を修復するのに役立つPowerShellの宝石です。私はWindows Server 2022のActive Directory Hyper-Vラボ環境にWindows 11のVMを持っています。Test-ComputerSecureChannelコマンドレットを使用してADへの接続を確認しましょう。
Test-ComputerSecureChannel -verbose
ここで、出力の「True」は問題ありません。?
DHCP設定の確認
コマンドプロンプトで ipconfig を実行して、自分のワークステーションが持つIPアドレスがドメインコントローラ(DC)と同じサブネット内にあるか、またはそれらのサブネットへのルートがあるかを確認してください。また、DCの名前または完全修飾ドメイン名(FQDN)のいずれかにpingを試みることもできます。
それがうまくいかない場合、または解決されない場合、より基本的なネットワーク接続の問題がある可能性があります。先ずはこの分野で重要なトラブルシューティングを行う必要があります。
また、ipconfig /release および ipconfig /renew コマンドを実行して、割り当てられた DHCP IPアドレスを解放し、それを更新または新しいものに取得できます。これらのステップが、かなり奇妙なネットワーク接続の問題を解決する場合もあります。ぜひお試しください。
マシンアカウントのパスワードをリセット
効率的で時間のかからない方法で問題を解決するための方法についてすぐに説明します。ここではコンピューターアカウントのパスワードをリセットする方法を示します。後でWindowsのGUIを使用して離脱、再連結、再起動などの手順を説明します。
しかし、それらの再起動をすべて回避できるといいですね。はい、確かにいいことでしょう。特に、遅いコンピューターを使用している場合には。
netdom resetpwdコマンドラインツールを使用する
最初に使用するコマンドラインツールはnetdomと呼ばれます。ワークステーションにインストールするには、Remote Server Administration Tools(RSAT)をインストールします。具体的には、「Active Directory Domain Services and Lightweight Directory Services Tools」オプションです。RSATツールのインストールの基本を学ぶには、以前の投稿を読んでください。
管理者権限のあるコマンドプロンプトを開き、次のnetdom resetpwdコマンドを使用します:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
成功しました!ローカルマシンのマシンアカウントパスワードが正常にリセットされました。再起動する必要すらありません。単にログオフし、ドメインユーザーアカウントでログインし直せば問題ありません。
Reset-ComputerMachinePassword cmdletを使用する
PowerShellのツールベルトにもう1つのツールは、Reset-ComputerMachinePasswordコマンドレットです。このコマンドは、netdomのように、Active Directoryとコンピューターアカウントのパスワードを変更/更新します。
さあ、PowerShellコンソールを開いてください。基本的なコマンド構造は次のとおりです:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
したがって、次のコマンドを実行します:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
ここでは何もニュースがないのが一番です。?
Active Directoryユーザーとコンピューター ツールの使用
前の2つのコマンドライン方法と同じ機能を実行するための非常に簡単な手順があります。単にディレクトリ内のコンピューターワークステーションを見つけ、コンピューターオブジェクトを右クリックして、「アカウントをリセット」をクリックします。
これで、コンピューターアカウントがリセットされました。
マシンをActive Directoryドメインに再参加させる
いいえ、基本方法は最後に保存します。「ワークステーションとプライマリドメイン間の信頼関係が失敗しました」エラーを修正するためには、コマンドラインツールを使用することをお勧めします。これらは効率的で、迅速で、単に信頼性が高いです。ワークステーション側のローカルプロファイルの問題、ネットワーク接続の問題など、一般的なWindowsの問題について心配する必要はありません。
とにかく、完全を期すために、Active Directoryドメインにマシンを再参加させる別の方法を紹介します。
Remove-ComputerおよびAdd-Computerコマンドレットの使用
理由があって古いGUI方法を使わないことにしています。最後の瞬間にワープして戦術的優位性を与えてくれます。私たちは目標を達成するために再びPowerShellを使用できます。Remove-ComputerおよびAdd-Computerコマンドレットを使用できます。
注意:使用しているデバイスのローカル管理者アカウントの資格情報を知っていることを確認してください。ワークステーションの切断後と再起動後にログインするためにそれらが必要です。
以下に、ドメインからコンピュータを削除し、再起動するために使用するRemove-Computerコマンドレットを示します。
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
わかりました。数秒後、再起動が発生しました。今、ローカル管理者でログインした後、「Add-Computer」コマンドレットを使用してドメインに再接続できます。
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
またも非常に迅速な操作と再起動!そして、業務に戻りました。
GUIとドメイン管理者アカウントを使用する
さて、このエラーを解決するための伝統的で効果的な方法をお見せできると思います。Windows GUIを使用してワークステーションからデバイスをActive Directoryドメインから切り離し、ワークグループモードに参加し、再起動してからデバイスを再びADに参加させ、再度再起動すれば、ミッション完了です。
まず、スタート -> 設定 -> アカウント -> アクセスするワークスペースをクリックします。ドロップダウンメニューの右側にあるAD DNSドメイン名が表示されている場所でクリックし、切断をクリックします。はいをクリックします。
次に表示されるポップアップウィンドウで切断ボタンをクリックします。
ここで、ワークステーションがドメインから削除された後にログインできるローカルアカウントの資格情報を確認します。
このステップは重要です – ローカルアカウントとパスワードにアクセスできない場合は、Windowsを再インストールするかデバイスを再イメージする必要があります。
準備ができたら、マシンを再起動するために再起動をクリックします。
この時点で、ローカルの「Michael」アカウントでログインしました。同じ場所に移動しました:スタート -> 設定 -> アカウント -> アクセスするワークスペース。
ここで、「ワークまたは学校のアカウントを追加」の隣にある接続ボタンをクリックします。
下部の最後のリンクを選択:このデバイスをローカルActive Directoryドメインに参加させる。
Active Directory ドメインの
ドメインに正しくアクセスできる場合(そうでない場合は、トラブルシューティングを支援するために私の投稿をお読みください)、
ここでは、あまり一般的でないステップを踏んで、ローカル管理者グループに自分の ‘mreinders’ AD アカウントを追加しています。これは私のラボ用途であり、セキュリティの観点からはベストプラクティスではありません。
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/