De foutmelding “de vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” betekent dat de computer geen toegang kan krijgen tot een netwerk omdat het offline is, of dat het zijn lidmaatschap van het Active Directory (AD) domein heeft verloren. Deze handleiding zal u helpen begrijpen wat er gebeurt achter de schermen wanneer deze fout optreedt, en we zullen verschillende methoden doornemen om dit probleem op te lossen.
Zoals u zult zien, zijn er heel wat mogelijke oplossingen om de fout “de vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” te herstellen. Opmerkelijk is dat er een oplossing is die sneller is dan de traditionele aanpak – ‘loskoppelen van het domein, opnieuw opstarten, opnieuw aanmelden bij het domein, opnieuw opstarten…’. Laten we beginnen!
Begrip van de fout “de vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt”
De foutmelding “de vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” is zeker een van de meest irritante fouten waarmee IT-professionals worden geconfronteerd bij het werken met apparaten die zijn aangesloten bij Active Directory. Het lijkt uit het niets te verschijnen om een obstakel op te werpen in uw dagelijkse taken om dingen gedaan te krijgen.
Hoe kunt u deze fout tegenkomen?
Bij het toevoegen van een werkstation aan een Active Directory domein wordt er een computeraccount aangemaakt in AD. Net als bij een gebruikersaccount heeft dit computeraccount een wachtwoord, dat 30 dagen geldig is voordat het wordt bijgewerkt.
Let op – U heeft de mogelijkheid om het register te wijzigen om de ‘maximum levensduur van machineaccountwachtwoord’ attribuut aan te passen. Als u dat wilt, opent u Regedit.exe en wijzigt u de volgende sleutel:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Elke keer dat een computer ‘inlogt’ op Active Directory (tijdens een herstart, en voor een gebruiker inlogt), controleert deze zijn computeraccountwachtwoord bij de dichtstbijzijnde domain controller (DC):
- Als ze synchroon zijn, authenticeren de computer succesvol naar AD en gaat het leven verder.
- Als het apparaat geen netwerkverbinding heeft met AD, wordt er een uitstel van maximaal 30 dagen toegestaan.
Het scenario waarin u de foutmelding “vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” tegenkomt, is wanneer een domeingebruiker probeert in te loggen op het werkstation (en het domein). Als de gebruiker eerder heeft ingelogd en hun AD-wachtwoord is gecachet op het apparaat, kunnen ze inloggen binnen die genadeperiode. Als echter een gebruiker die niet eerder op het apparaat heeft ingelogd, probeert in te loggen en het vertrouwen tussen het apparaat en AD niet beschikbaar is, krijgt u deze exacte foutmelding.
Waarom treedt deze fout op?
Deze fout “vertrouwensrelatie tussen dit werkstation en het primaire domein is mislukt” treedt op wanneer de computer niet langer wordt vertrouwd in het domein. Het beveiligde kanaal tussen het werkstation en Active Directory ontbreekt. Het wachtwoord van de lokale computer is niet afgestemd op het wachtwoord van de computer in uw Active Directory.
Er zijn een paar veelvoorkomende scenario’s waarin deze fout kan optreden, hier zijn een paar voorbeelden:
- Als u Windows opnieuw installeert.
- Als u Windows opnieuw instelt.
- Als je de staat van een virtuele machine herstelt.
- Als je meer prominente hardwareonderdelen in een apparaat vervangt, enzovoort.
- Als je een apparaat kloont zonder eerst Sysprep te gebruiken.
Er zijn nogal wat andere onderliggende redenen die tot deze fout kunnen leiden. Netwerkverbindingsproblemen, een probleem met je AD of DNS-infrastructuur, en zelfs problemen met de netwerkkabel van je apparaat! Het doel is om het rustig aan te doen, GEEN aannames te doen, en deze handleiding te gebruiken om stap voor stap door elk onderdeel van deze probleemoplossingsstroom te gaan om je probleem op te lossen.
Hoe de fout “de vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” op te lossen
Er zijn een paar methoden die je kunt gebruiken om de fout “vertrouwensrelatie tussen deze werkstation en het primaire domein is mislukt” op te lossen. Wat je hier moet doen is de vertrouwensrelatie tussen je apparaat en Active Directory oplossen. Laten we eerst naar enkele basisprincipes kijken die je af en toe over het hoofd kunt zien vanwege tijdgebrek.
Controleren van de vertrouwensrelatie met het Test-ComputerSecureChannel commando
Nou, kijk eens aan! Een handige PowerShell tool om de staat van de vertrouwensrelatie van je apparaat met Active Directory te herstellen. Ik heb een Windows 11 VM in mijn Windows Server 2022 Active Directory Hyper-V lab omgeving. Laten we de Test-ComputerSecureChannel cmdlet gebruiken om onze verbinding met AD te verifiëren.
Test-ComputerSecureChannel -verbose
Hier betekent ‘True’ in de output dat het goed is. ?
Controleren van DHCP-instellingen
Je zult ipconfig moeten uitvoeren op een opdrachtprompt om ervoor te zorgen dat het IP-adres dat jouw werkstation heeft, ofwel in hetzelfde subnet staat als die van je domeincontroller (DC), of een route heeft naar die subnets. Je kunt ook proberen om een van je DC’s te pingen op naam of volledige domeinnaam (FQDN).
Als dat niet werkt, of het lost niet op, dan heb je een meer fundamenteel netwerkconnectiviteitsprobleem. Je zult eerst essentiële probleemoplossing op dit gebied moeten uitvoeren voordat je verder gaat.
Je kunt ook de opdrachten ipconfig /release en ipconfig /renew uitvoeren om jouw toegewezen DHCP IP-adres vrij te geven, en het vervolgens te vernieuwen of een nieuw adres te verkrijgen. Soms verhelpen deze stappen behoorlijk eigenaardige netwerkverbinding problemen. Probeer het maar eens.
Het resetten van een machine-accountwachtwoord
Laten we meteen in de efficiëntere en minder tijdrovende methoden duiken om ons probleem op te lossen. Het doel hier is om een computeraccountwachtwoord opnieuw in te stellen. Ik zal je later de stappen tonen om de GUI in Windows te gebruiken om los te koppelen, opnieuw aan te sluiten, opnieuw op te starten, enz.
Maar zou het niet fijn zijn om al die herstarts te vermijden? Nou, ja, ik weet zeker van wel. Vooral als je toevallig een langzamere computer gebruikt.
Het netdom resetpwd-opdrachtregelgereedschap gebruiken
Het eerste opdrachtregelgereedschap dat we zullen gebruiken heet netdom. U kunt het installeren op een werkstation door de Remote Server Administration Tools (RSAT) te installeren, specifiek de optie ‘Active Directory Domain Services en Lightweight Directory Services Tools’. U kunt de basisprincipes van het installeren van RSAT-tools leren door mijn vorige bericht over dit onderwerp te lezen.
Open een administratieve opdrachtprompt en gebruik de volgende netdom resetpwd opdracht:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Succes! Het machineaccountwachtwoord voor de lokale machine is succesvol gereset en je hoeft zelfs niet opnieuw op te starten. U kunt gewoon uitloggen en vervolgens weer inloggen met een domeingebruikersaccount en dan zou het goed moeten gaan.
Het Reset-ComputerMachinePassword-cmdlet gebruiken
Een andere tool in jouw PowerShell gereedschapskist is de Reset-ComputerMachinePassword cmdlet. Net als netdom zal deze opdracht de computeraccountwachtwoord wijzigen/bijwerken in Active Directory.
Ga verder en open een PowerShell-console. De basisopdrachtstructuur is als volgt:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Dus, in ons geval, zal ik deze opdracht uitvoeren:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Geen nieuws is goed nieuws. ?
Het gebruiken van de Active Directory Gebruikers- en Computers-tool
Er is een zeer eenvoudige stap die je kunt nemen met behulp van Active Directory Gebruikers en Computers (ADUC) om dezelfde functie uit te voeren als de twee vorige commandoregmethoden. Zoek eenvoudig de computerwerkstation in jouw directory, klik met de rechtermuisknop op het computerobject en klik op ‘Accountreset.’
En daar ga je, het computeraccount is nu gereset.
Voeg jouw machine opnieuw toe aan het Active Directory domein
Goed, ik bewaar de traditionele, enigszins ‘ongerobuste’ methode als laatste om de fout “de vertrouwensrelatie tussen deze werkstation en de primaire domein is mislukt” op te lossen – mijn aanbeveling is om de opdrachtregelhulpprogramma’s te gebruiken omdat ze efficiënter, sneller zijn en gewoon de klus betrouwbaarder klaren. Je hoeft je geen zorgen te maken over mogelijke problemen met lokale profielen, netwerkverbinding problemen aan de kant van het werkstation en andere problemen in Windows in het algemeen.
Hoe dan ook, omwille van de volledigheid, laten we je deze andere methode zien om je machine opnieuw aan te sluiten bij het Active Directory-domein.
Gebruikmakend van de Remove-Computer en Add-Computer Cmdlets
Zo te zien hou ik het oudere GUI-methode om een reden achterwege. ? Net op het laatste moment uit de warp komen om ons het tactische voordeel te geven. We kunnen opnieuw PowerShell gebruiken om ons doel te bereiken. We kunnen de Remove-Computer en Add-Computer cmdlets gebruiken.
Let op – Zorg ervoor dat je de referenties voor een lokaal beheerdersaccount van het apparaat dat je gebruikt kent. Je zult die nodig hebben om in te loggen na het verwijderen van het werkstation en de herstart.
Hier is de Remove-Computer cmdlet die je moet gebruiken om de computer uit de domein te verwijderen en opnieuw op te starten.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Ok. Na slechts een paar seconden, vond de herstart plaats. Nu kan ik, nadat ik ben ingelogd met een lokaal beheerdersaccount, de ‘ Add-Computer ‘ cmdlet gebruiken om weer toe te treden tot het domein.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
Nog een ZEER snelle operatie en een herstart! En we zijn weer operationeel.
Met behulp van de GUI en een Domeinbeheerder-account
Nou, ik denk dat ik je de traditionele, maar effectieve methode kan laten zien om deze fout op te lossen. We zullen het proces doorlopen om met behulp van de Windows GUI op het werkstation ons apparaat los te koppelen van het Active Directory domein en over te schakelen naar de werkgroepmodus, opnieuw op te starten, vervolgens ons apparaat weer aan te sluiten op AD, nogmaals op te starten en dan zou het moeten zijn gelukt.
Klik eerst op Start -> Instellingen -> Accounts -> Toegang tot werk of school. Klik op de uitklappijl aan de rechterkant waar de AD DNS domeinnaam wordt weergegeven en klik op Ontkoppelen. Klik op Ja.
Klik op de knop Ontkoppelen op het volgende pop-up venster.
Bevestig hier de referenties van een lokaal account waarmee je kunt inloggen nadat je werkstation is losgekoppeld van het domein.
Deze stap is belangrijk – als je geen toegang hebt tot een lokaal account en wachtwoord, moet je Windows opnieuw installeren of je apparaat opnieuw inrichten.
Zodra je klaar bent, klik op Opnieuw opstarten om je machine opnieuw op te starten.
Op dit punt heb ik ingelogd met mijn lokale ‘Michael’-account. Vervolgens ging ik naar dezelfde locatie: Start -> Instellingen -> Accounts -> Toegang tot werk of school.
Klik hier op de Verbinden knop naast ‘Een werk- of schoolaccount toevoegen.’
Kies de laatste link onderaan: Dit apparaat aanmelden bij een lokaal Active Directory-domein.
Voer de Volledig Gekwalificeerde Domeinnaam (FQDN) van uw Active Directory-domein in en klik op Volgende.
Als het in staat is om correct contact te maken met uw domein (zo niet, dan kunt u mijn bericht lezen om te helpen bij het oplossen van problemen), wordt u gevraagd om een domeinaccount met Domain Admins of equivalente rechten.
Hier neem ik de niet-zo-alledaagse stap om mijn ‘mreinders’ AD-account toe te voegen aan de lokale Administrator-groep. Dit is voor mijn laboratoriumdoeleinden en niet de beste praktijk op het gebied van beveiliging.
Klik op Nu opnieuw opstarten, log in met uw gebruikersaccount op het domein, en dan zijn we er!
Conclusie
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/