O erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou” significa que o computador não consegue acessar uma rede porque está offline, ou que perdeu sua filiação ao domínio do Active Directory (AD). Este guia irá ajudá-lo a entender o que está acontecendo nos bastidores quando esse erro ocorre, e passaremos por diferentes métodos para solucionar esse problema.
Como você verá, existem várias soluções possíveis para corrigir o erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”. Notavelmente, há uma que é mais rápida do que o tradicional – ‘desvincular do domínio, reiniciar, ingressar no domínio, reiniciar…’ divertido. Vamos começar!
Compreendendo o erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”
O erro
Como você pode encontrar esse erro?
Quando você junta uma estação de trabalho a um domínio do Active Directory, uma conta de computador é criada no AD. E assim como com uma conta de usuário, esta conta de computador tem uma senha, que é válida por 30 dias antes de ser atualizada.
Nota – Você tem a opção de modificar o registro para alterar o atributo ‘idade máxima da senha da conta de máquina’. Se desejar, abra o Regedit.exe e modifique a seguinte chave:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Cada vez que um computador ‘faz login’ no Active Directory (durante uma reinicialização e antes que um usuário faça login), ele verifica sua senha de conta de computador com o controlador de domínio (DC) mais próximo:
- Se forem síncronos, o computador se autentica com sucesso no AD e a vida continua.
- Se o dispositivo não tiver conexão de rede com o AD, é permitido um período de carência de até 30 dias.
O cenário em que você encontra o erro ““A relação de confiança entre este computador e o domínio primário falhou” é quando um usuário de domínio tenta fazer login no computador (e no domínio). Se o usuário já fez login e sua senha do AD está em cache no dispositivo, eles poderão fazer login durante esse período de carência. No entanto, se um usuário que não acessou o dispositivo antes tentar fazer login e a confiança entre o dispositivo e o AD não estiver disponível, você receberá esse erro exato.
Por que esse erro ocorre?
Esse erro ““A relação de confiança entre este computador e o domínio primário falhou” ocorre quando o computador não é mais confiável no domínio. O canal seguro entre o computador e o Active Directory está ausente. A senha do computador local não está sincronizada com a senha do computador em seu Active Directory.
Existem alguns cenários comuns em que esse erro pode ocorrer, aqui estão alguns exemplos:
- Se você reinstalar Windows.
- Se você fizer um reset do Windows.
- Se você restaurar o estado de uma máquina virtual .
- Se você substituir componentes de hardware mais proeminentes em um dispositivo, etc.
- Se você clonar um dispositivo sem antes usar o Sysprep .
Há várias outras razões subjacentes que poderiam levar a esse erro. Problemas de conexão de rede, um problema com o seu AD ou infraestrutura de DNS , e até mesmo problemas com o cabo de rede do seu dispositivo! O ponto é fazer as coisas devagar, não fazer NENHUMA suposição, e usar este guia para seguir cada passo deste fluxograma de solução de problemas para resolver o seu problema.
Como corrigir o erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”
Existem alguns métodos que você pode usar para corrigir o erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”. O que você precisa fazer aqui é resolver a relação de confiança entre seu dispositivo e o Active Directory. Vamos primeiro analisar alguns fundamentos que você pode ocasionalmente negligenciar devido a restrições de tempo.
Verificando a relação de confiança com o comando Test-ComputerSecureChannel
Veja só! Uma preciosidade do PowerShell para ajudar a reparar o estado da relação de confiança do seu dispositivo com o Active Directory. Eu tenho uma VM do Windows 11 em meu ambiente de laboratório do Hyper-V do Windows Server 2022 Active Directory. Vamos usar o cmdlet Test-ComputerSecureChannel para verificar nossa conexão com o AD.
Test-ComputerSecureChannel -verbose
Aqui, ‘True’ na saída significa que estamos bem. ?
Verificando as configurações de DHCP
Você vai precisar executar o ipconfig em um prompt de comando para garantir que o endereço IP que sua estação de trabalho possui está na mesma sub-rede do controlador de domínio (DC) ou tem uma rota para essas sub-redes. Você também pode tentar fazer ping em um de seus DCs pelo nome ou nome de domínio totalmente qualificado (FQDN).
Se isso não funcionar, ou não for resolvido, você tem um problema de conectividade de rede mais básico. Você vai querer realizar uma solução de problemas essencial nessa área primeiro antes de prosseguir.
Você também pode executar os comandos ipconfig /release e ipconfig /renew para liberar seu endereço IP atribuído pelo DHCP e renová-lo ou obter um novo. Às vezes, essas etapas resolvem alguns problemas de conexão de rede bem curiosos. Experimente.
Redefinindo a senha da conta de máquina
Vamos direto para os métodos mais eficientes e menos demorados para resolver nosso problema. O objetivo aqui é redefinir a senha da conta de computador. Mostrarei a você os passos para usar a interface gráfica do Windows para desassociar, associar novamente, reiniciar, etc., mais tarde.
Mas não seria bom evitar todos aqueles reinícios? Bem, sim, tenho certeza de que seria. Especialmente se você estiver usando um computador mais lento.
Usando a ferramenta de linha de comando resetpwd do netdom
A primeira ferramenta de linha de comando que vamos usar é chamada netdom. Você pode instalá-lo em um workstation instalando as Ferramentas de Administração do Servidor Remoto (RSAT), especificamente a opção ‘Ferramentas de Serviços de Domínio do Active Directory e Serviços de Diretório Leve’. Você pode aprender o básico sobre a instalação das ferramentas RSAT lendo meu post anterior sobre o assunto.
Abra um prompt de comando administrativo e use o seguinte comando netdom resetpwd:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Sucesso! A senha da conta da máquina para a máquina local foi redefinida com sucesso e você nem precisa reiniciar. Você pode simplesmente fazer logoff e depois fazer logon com uma conta de usuário de domínio e pronto.
Usando o cmdlet Reset-ComputerMachinePassword
Outra ferramenta no seu arsenal do PowerShell é o cmdlet Reset-ComputerMachinePassword. Assim como o netdom, esse comando irá alterar/atualizar a senha da conta de computador no Active Directory.
Vá em frente e abra um console do PowerShell. A estrutura básica do comando é a seguinte:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Então, em nosso caso, eu irei rodar este comando:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Nenhuma notícia aqui é uma boa notícia. ?
Usando a ferramenta Active Directory User and Computers
Há um passo bastante direto que você pode seguir usando o Active Directory Users and Computers (ADUC) para realizar a mesma função dos dois métodos anteriores via linha de comando. Simplesmente localize a estação de trabalho do computador em seu diretório, clique com o botão direito no objeto do computador, e clique em ‘S Reset account.’
E pronto, a conta de computador foi redefinida agora.
Renove a adesão da sua máquina ao domínio Active Directory
Tudo bem, estou reservando o método tradicional, um pouco “pouco robusto” para o final para corrigir o erro “a relação de confiança entre esta estação de trabalho e o domínio primário falhou” – minha recomendação é usar as ferramentas de linha de comando, pois são mais eficientes, mais rápidas e simplesmente realizam o trabalho de forma mais confiável. Você não precisa se preocupar com possíveis problemas com perfis locais, problemas de conexão de rede no lado da estação de trabalho e outros problemas no Windows em geral.
De qualquer forma, por uma questão de completude, vamos mostrar a você este outro método para reintegrar sua máquina ao domínio do Active Directory.
Usando os Cmdlets Remove-Computer e Add-Computer
Parece que estou segurando o uso do método mais antigo da GUI por um motivo. ? Saindo de um desvio no último segundo possível para nos dar a vantagem tática. Podemos usar o PowerShell, novamente, para alcançar nosso objetivo. Podemos usar os cmdlets Remove-Computer e Add-Computer.
Observação – Certifique-se de conhecer as credenciais de uma conta de administrador local do dispositivo que está usando. Você precisará delas para fazer login após a desassociação da estação de trabalho e a reinicialização.
Aqui está o cmdlet Remove-Computer que você precisa usar para remover o computador do domínio e reiniciá-lo.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Ok. Depois de apenas alguns segundos, a reinicialização ocorreu. Agora, depois de fazer login com um administrador local, posso usar o cmdlet ‘Add-Computer‘ para ingressar de volta no domínio.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
Outra operação MUITO rápida e uma reinicialização! E estamos de volta aos negócios.
Usando a GUI e uma conta de Administrador de Domínio
Bem, acho que posso te mostrar o método tradicional, porém eficaz para resolver esse erro. Vamos passar pelo procedimento de usar a GUI do Windows na estação de trabalho para desvincular nosso dispositivo do domínio do Active Directory e ingressar no modo de grupo de trabalho, reiniciar, depois reintegrar nosso dispositivo de volta no AD, reiniciar novamente e então missão cumprida.
Primeiramente, clique em Iniciar -> Configurações -> Contas -> Acessar trabalho ou escola. Clique na seta de dropdown no lado direito onde mostra o nome do domínio DNS do AD e clique em Desconectar. Clique em Sim.
Clique no botão Desconectar na janela pop-up seguinte.
Aqui, confirme as credenciais de uma conta local com a qual você poderá fazer login após sua estação de trabalho ser removida do domínio.
Este passo é importante – se você não tiver acesso a uma conta e senha local, será necessário reinstalar o Windows ou recriar a imagem do dispositivo.
Assim que estiver pronto, clique em Reiniciar agora para reiniciar sua máquina.
Neste ponto, fiz login com a minha conta local ‘Michael’. Então prossegui para o mesmo local: Iniciar -> Configurações -> Contas -> Acessar trabalho ou escola.
Aqui, clique no botão Conectar ao lado de ‘ Adicionar uma conta de trabalho ou escola.’
Escolha o último link na parte inferior: Ingressar este dispositivo em um domínio local do Active Directory.
Digite o Nome de Domínio Completo (FQDN) do seu domínio de Active Directory e clique em Próximo.
Supondo que consiga entrar em contato com seu domínio corretamente (caso contrário, você pode ler meu post para ajudar na solução de problemas), você será solicitado a fornecer uma conta de domínio com permissões de Administradores de Domínio ou equivalentes.
Aqui, estou dando um passo não tão comum ao adicionar minha conta de AD ‘mreinders’ ao grupo Administrador local. Isso é para fins de laboratório e não segue as melhores práticas em termos de segurança.
Clique em Reiniciar Agora, faça login com sua conta de usuário no domínio, e estaremos prontos!
Conclusão
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/