“이 워크스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류 수정 방법

튜토리얼

“이 작업 스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류는 컴퓨터가 오프라인이거나 액티브 디렉터리 (AD) 도메인에 대한 멤버십을 잃은 경우 네트워크에 액세스할 수 없음을 의미합니다. 이 가이드를 통해이 오류가 발생할 때의 상황을 이해하고,이 문제를 해결하는 다양한 방법을 살펴보겠습니다.

보시다시피, 이 문제를 해결할 수 있는 몇 가지 가능한 해결책이 있습니다. 특히 전통적인 ‘도메인에서 분리, 다시 부팅, 도메인에 다시 연결, 다시 부팅…’ 방법보다 더 빠른 한 가지가 있습니다. 시작합시다!

광고

이 작업 스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류 이해

“이 작업 스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류 메시지는 액티브 디렉터리에 가입된 장치를 작업하는 IT 전문가들이 마주치는 가장 귀찮은 오류 중 하나입니다. 이 오류는 아무런 예고 없이 나타나 일상적인 작업을 방해하기 위해 갑자기 나타나는 것처럼 보입니다.

이 오류를 어떻게 만날 수 있나요?

Active Directory 도메인에 워크스테이션을 가입하면 AD에 컴퓨터 계정이 생성됩니다. 사용자 계정과 마찬가지로 이 컴퓨터 계정에도 30일 동안 유지되는 비밀번호가 있습니다.

참고 – ‘최대 기계 계정 비밀번호 유효 기간’ 속성을 변경할 수 있습니다. 원하는 경우 Regedit.exe를 열고 다음 키를 수정하십시오: 

hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

컴퓨터가 Active Directory에 ‘로그인’할 때마다(재부팅 중 및 사용자가 로그인하기 전에), 가장 가까운 도메인 컨트롤러(DC)와 컴퓨터 계정 비밀번호를 확인합니다:

광고

  • 동기화되면 컴퓨터가 AD에 성공적으로 인증되고 작업이 계속됩니다.
  • 장치가 AD에 네트워크 연결이 없는 경우 최대 30일 동안 우아한 기간이 허용됩니다.

작업 스테이션과 주 테마 사이의 신뢰 관계가 실패했습니다

이 오류가 발생하는 이유는 무엇입니까?

“작업 스테이션과 주 테마 사이의 신뢰 관계가 실패했습니다” 오류는 컴퓨터가 더 이상 도메인에서 신뢰되지 않을 때 발생합니다. 작업 스테이션과 Active Directory 간의 안전한 채널이 누락됩니다. 로컬 컴퓨터의 암호가 Active Directory에서의 컴퓨터 암호와 조정되지 않습니다.

이 오류가 발생할 수 있는 몇 가지 일반적인 시나리오가 있으며, 여기에는 다음과 같은 예가 있습니다:

  • Windows를 다시 설치하는 경우.
  • Windows를 재설정하는 경우.
  • 만약 가상 머신의 상태를 복원한다면.
  • 장치에서 더 중요한 하드웨어 구성 요소를 교체한다면 등등
  • 먼저 Sysprep를 사용하지 않고 장치를 복제한다면.

이 에러를 유발할 수 있는 다른 근본적인 이유가 몇 가지 있습니다. 네트워크 연결 문제, AD나 DNS 인프라의 문제, 심지어 장치의 네트워크 케이블 문제까지도! 중요한 점은 천천히 진행하고 어떤 가정도 하지 않으며, 이 문제 해결 플로우차트의 각 단계를 따라가며 문제를 해결하는 데 이 가이드를 사용하세요.

광고

“이 작업 스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류를 수정하는 방법

이 워크스테이션과 주 도메인 간의 신뢰 관계가 실패했습니다 오류를 수정하는 몇 가지 방법이 있습니다. 여기서 해야 할 일은 장치와 Active Directory 간의 신뢰 관계를 해결하는 것입니다. 먼저 시간 제약 때문에 때로는 무시할 수 있는 몇 가지 기본 사항을 살펴 보겠습니다.

Test-ComputerSecureChannel 명령으로 신뢰 관계 확인

자, 여기 봐요! PowerShell의 유용한 도구가 있어서 Active Directory와의 장치 신뢰 관계 상태를 복구하는 데 도움이 됩니다. 제 Windows Server 2022 Active Directory Hyper-V 랩 환경에 Windows 11 VM이 있습니다. 우리는 AD와의 연결을 확인하기 위해 Test-ComputerSecureChannel cmdlet을 사용해 봅시다.

Test-ComputerSecureChannel -verbose
Using Test-ComputerSecureChannel to verify the trust is valid

여기서 출력에서 ‘True’는 우리가 좋다는 것을 의미합니다. ?

DHCP 설정 확인

작업 스테이션이 해당 도메인 컨트롤러(DC)와 동일한 서브넷에 있는지 또는 해당 서브넷으로의 경로를 가지고 있는지 확인하려면 명령 프롬프트에서 ipconfig를 실행해야 합니다. 또는 DC 중 하나의 이름 또는 완전한 도메인 이름 (FQDN)을 핑해볼 수도 있습니다.

그것이 작동하지 않거나 해결되지 않는 경우, 보다 기본적인 네트워크 연결 문제가 있습니다. 계속 진행하기 전에 이 영역에서 필수적인 문제 해결을 수행해야 합니다.

ipconfig /releaseipconfig /renew 명령을 실행하여 할당된 DHCP IP 주소를 해제하고 새로 갱신하거나 새로 받을 수 있습니다. 때로는 이러한 단계가 몇 가지 이상한 네트워크 연결 문제를 해결합니다. 위 단계를 따라 진행해 보세요.

기계 계정 암호 재설정

문제를 해결하기 위한 더 효율적이고 시간을 절약하는 방법으로 바로 넘어가겠습니다. 여기서 목표는 컴퓨터 계정 암호를 재설정하는 것입니다. 나중에 Windows에서 GUI를 사용하여 분리, 다시 연결, 재부팅하는 단계를 보여드리겠습니다.

하지만 그 모든 재부팅을 피하는 것이 좋지 않을까요? 음, 그렇죠, 확실히 좋을 것입니다. 특히 느린 컴퓨터를 사용하고 있다면.

netdom resetpwd 명령줄 도구 사용하기

사용할 첫 번째 명령줄 도구는 netdom이라고 불리는데요. 워크스테이션에 원격 서버 관리 도구(RSAT)를 설치하여 ‘Active Directory 도메인 서비스 및 경량 디렉터리 서비스 도구‘ 옵션을 특히 선택합니다. RSAT 도구를 설치하는 기본 사항에 대해 알아보려면 제 이전 게시물을 참조하세요.

관리자 권한 명령 프롬프트를 열고 다음 netdom resetpwd 명령을 사용하십시오:

netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Using netdom to reset the computer account password in AD

성공적입니다! 로컬 기계의 기계 계정 암호가 성공적으로 재설정되었으며, 심지어 다시 부팅할 필요도 없습니다. 도메인 사용자 계정으로 로그오프한 다음 로그인하면 잘 작동해야 합니다.

Reset-ComputerMachinePassword cmdlet 사용하기

파워셸 툴벨트의 또 다른 도구는 Reset-ComputerMachinePassword cmdlet입니다. Netdom과 마찬가지로, 이 명령어는 Active Directory의 컴퓨터 계정 암호를 변경/업데이트합니다.

계속해서 파워셸 콘솔을 엽니다. 기본 명령어 구조는 다음과 같습니다:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

그래서 이 경우에는 다음 명령어를 실행할 것입니다:

Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Here we use Reset-ComputerMachinePassword to accomplish our goal
And yes, no news here is good news!

이곳에는 뉴스가 없으면 좋은 소식입니다. ? 

Active Directory 사용자 및 컴퓨터 도구 사용하기

이전의 두 명령줄 방법과 동일한 기능을 수행하려면, Active Directory 사용자 및 컴퓨터(ADUC)를 사용할 수 있는 매우 간단한 단계가 있습니다. 단순히 디렉터리에서 컴퓨터 워크스테이션을 찾아서, 컴퓨터 객체를 마우스 오른쪽 버튼으로 클릭하고 ‘계정 재설정’을 클릭합니다.

Using Active Directory Users and Computers to accomplish the same goal

그러면 컴퓨터 계정이 재설정됩니다.

머신을 Active Directory 도메인에 다시 등록합니다

좋아요, 마지막에 “이 작업 스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다” 오류를 해결하기 위해 전통적이고 다소 ‘무결하지 않은’ 방법을 저정하고 있습니다 – 제 추천은 명령줄 도구를 사용하는 것입니다. 이들은 더 효율적이고 빠르며 작업을 더 신뢰성 있게 완료합니다. 로컬 프로필의 잠재적인 문제, 작업 스테이션 측의 네트워크 연결 문제 및 일반적인 Windows의 다른 문제로 인해 걱정할 필요가 없습니다.

어쨌든, 완전성을 위해, Active Directory 도메인에 다시 가입하는 또 다른 방법을 보여드립시다.

Remove-Computer 및 Add-Computer Cmdlet 사용

이전의 GUI 방법 사용을 이유로 유보 중인 것 같습니다. ? 전술적 이점을 가져다주기 위해 마지막 순간에 나타나는 것 같습니다. 목표를 달성하기 위해 다시 PowerShell을 사용할 수 있습니다. Remove-ComputerAdd-Computer cmdlet을 사용할 수 있습니다.

참고 – 사용 중인 기기의 로컬 관리자 계정 자격 증명을 알고 있어야 합니다. 작업 스테이션의 탈퇴 후와 재부팅 후에 로그인하기 위해 필요합니다.

도메인에서 컴퓨터를 제거하고 다시 시작해야 하는 Remove-Computer cmdlet은 다음과 같습니다. 

Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart

좋습니다. 재부팅이 시작된 후 몇 초 만에 발생했습니다. 이제 로컬 관리자로 로그인한 후 ‘Add-Computer’ cmdlet을 사용하여 다시 도메인에 가입할 수 있을 것입니다.

Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
We can Add-Computer to get our machine joined again to our AD Domain

또 다른 매우 빠른 작업 및 재부팅! 그리고 비즈니스에 복귀했습니다.

After the reboot, we see that our machine is correctly in the domain

GUI 및 도메인 관리자 계정 사용

음, 전통적이지만 효율적인 방법으로 이 오류를 해결하는 과정을 보여 드릴 수 있겠네요. Windows 작업 스테이션의 GUI를 사용하여 디바이스를 Active Directory 도메인에서 분리하고 워크그룹 모드로 전환한 다음 재부팅하여 디바이스를 다시 AD에 다시 등록한 다음 다시 부팅하면 임무 완료됩니다.

먼저, 시작 -> 설정 -> 계정 -> 작업 또는 학교에 액세스를 클릭하십시오. AD DNS 도메인 이름이 표시되는 오른쪽 화살표를 클릭하고 연결 해제를 클릭하십시오. 를 클릭하십시오.

Using Windows Settings in Windows 11 to remove our computer from the domain

다음 팝업 창에서 연결 해제 버튼을 클릭하십시오.

What you see when you choose to remove a computer from an AD domain

여기서 워크스테이션이 도메인에서 제거된 후 로그인할 수 있는 로컬 계정의 자격 증명을 확인하십시오.

Putting in credentials to confirm we can login after the disconnection from the domain

다음 단계를 중요시합니다. 로컬 계정과 암호에 액세스할 수 없는 경우 Windows를 다시 설치하거나 디바이스를 다시 이미지화해야 합니다.

Click Restart now or Restart later to complete the process

완료되면 지금 다시 시작을 클릭하여 기기를 다시 부팅하십시오.

이 시점에서 로컬 ‘Michael’ 계정으로 로그인했습니다. 그런 다음 동일한 위치로 이동했습니다. 시작 -> 설정 -> 계정 -> 작업 또는 학교에 액세스.

여기에서 ‘작업 또는 학교 계정 추가’ 옆의 연결 버튼을 클릭하십시오.

We go to the same location to get back on the domain in Accounts > Access work or school

맨 아래에 있는 마지막 링크를 선택하십시오. 로컬 Active Directory 도메인에 이 장치를 등록합니다.

Click Join this device to a local Active Directory domain

Active Directory 도메인의 Fully Qualified Domain Name (FQDN)을 입력하고 다음을 클릭하십시오.

Entering in our FQDN DNS AD domain name

도메인이 올바르게 연락이 가능한 경우 (그렇지 않다면 문제 해결을 도와줄 수 있는 내 게시물을 읽을 수 있습니다), 도메인 관리자 또는 동등한 권한이 있는 도메인 계정을 요청받게 될 것입니다.

Entering in our DA credentials to join the computer

여기서 ‘mreinders’ AD 계정을 로컬 Administrator 그룹에 추가하는 일반적이지 않은 단계를 따르고 있습니다. 이는 랩 환경을 위한 것으로, 보안 측면에서는 최선의 방법은 아닙니다.

지금 다시 시작을 클릭하고 도메인에 대한 사용자 계정으로 로그인하면 됩니다!

결론

I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!

Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/