O erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou” significa que o computador não consegue acessar uma rede porque está offline, ou que perdeu sua associação ao domínio do Active Directory (AD). Este guia irá ajudá-lo a entender o que está acontecendo nos bastidores quando este erro ocorre, e passaremos por diferentes métodos para solucionar este problema.
Como verá, existem várias soluções possíveis para corrigir o erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”. Notavelmente, há uma que é mais rápida do que a tradicional – ‘desassociar do domínio, reiniciar, associar novamente ao domínio, reiniciar…’ Vamos começar!
Compreensão do erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou”
O mensagem de erro “a relação de confiança entre esta estação de trabalho e o domínio principal falhou” é definitivamente uma das mais irritantes que os profissionais de TI encontram ao trabalhar com dispositivos associados ao Active Directory. Parece surgir do nada apenas para atrapalhar suas tarefas diárias.
Como você pode encontrar este erro?
Quando você junta uma estação de trabalho a um domínio do Active Directory, uma conta de computador é criada no AD. E assim como com uma conta de usuário, esta conta de computador tem uma senha, que é válida por 30 dias antes de ser atualizada.
Nota – Você tem a opção de modificar o registro para alterar o atributo ‘idade máxima da senha da conta de máquina’. Se desejar, abra o Regedit.exe e modifique a seguinte chave:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Cada vez que um computador ‘faz login’ no Active Directory (durante uma reinicialização e antes que um usuário faça login), ele verifica sua senha de conta de computador com o controlador de domínio (DC) mais próximo:
- Se forem síncronos, o computador se autentica com sucesso no AD e a vida continua.
- Se o dispositivo não tiver conexão de rede com o AD, é permitido um período de carência de até 30 dias.
O cenário em que você encontra o erro “falha na relação de confiança entre esta estação de trabalho e o domínio primário” é quando um usuário de domínio tenta fazer login na estação de trabalho (e no domínio). Se o usuário já fez login anteriormente e a senha do AD está armazenada em cache no dispositivo, ele será capaz de fazer login nesse período de graça. No entanto, se um usuário que nunca fez login no dispositivo tentar fazer login e a confiança entre o dispositivo e o AD não estiver disponível, você receberá exatamente esse erro.
Por que esse erro acontece?
Esse erro “falha na relação de confiança entre esta estação de trabalho e o domínio primário” ocorre quando o computador não é mais confiável no domínio. O canal seguro entre a estação de trabalho e o Active Directory está faltando. A senha do computador local não está sincronizada com a senha do computador no seu Active Directory.
Há alguns cenários comuns em que esse erro pode ocorrer, veja alguns exemplos:
- Se você reinstalar o Windows.
- Se você fizer um reset no Windows.
- Se você restaurar o estado de uma máquina virtual.
- Se você substituir componentes de hardware mais proeminentes em um dispositivo, etc.
- Se você clonar um dispositivo sem primeiro usar Sysprep.
Há várias outras razões subjacentes que podem levar a esse erro. Problemas de conexão de rede, um problema com seu AD ou infraestrutura de DNS, e até mesmo problemas com o cabo de rede do seu dispositivo! O ponto é ir devagar, não fazer NENHUMA suposição, e usar este guia para seguir cada etapa deste fluxograma de solução de problemas para resolver o seu problema.
Como corrigir o erro “falha na relação de confiança entre esta estação de trabalho e o domínio principal”
Existem alguns métodos que você pode usar para corrigir o erro “falha na relação de confiança entre esta estação de trabalho e o domínio primário”. O que você precisa fazer aqui é resolver a relação de confiança entre seu dispositivo e o Active Directory. Vamos primeiro olhar para alguns fundamentos que você pode esporadicamente negligenciar devido a restrições de tempo.
Verificando a relação de confiança com o comando Test-ComputerSecureChannel
Bem, olhe só! Uma joia útil do PowerShell para ajudar a reparar o estado de relação de confiança do seu dispositivo com o Active Directory. Eu tenho uma VM do Windows 11 no meu ambiente de laboratório do Hyper-V do Active Directory do Windows Server 2022. Vamos usar o cmdlet Test-ComputerSecureChannel para verificar nossa conexão com o AD.
Test-ComputerSecureChannel -verbose
Aqui, se a saída mostrar ‘True’, significa que está tudo certo. ?
Verificando as configurações de DHCP
Você vai querer executar ipconfig em um prompt de comando para garantir que o endereço IP que sua estação de trabalho possui está na mesma sub-rede do controlador de domínio (DC) ou tem uma rota para essas sub-redes. Você também pode tentar fazer ping em um dos DCs pelo nome ou fully qualified domain name (FQDN).
Se isso não funcionar, ou não resolver, você tem um problema de conectividade de rede mais básico. Você vai querer realizar a solução de problemas essenciais neste domínio primeiro antes de prosseguir.
Você também pode executar os comandos ipconfig /release e ipconfig /renew para liberar seu endereço IP atribuído pelo DHCP e, em seguida, renová-lo ou obter um novo. Às vezes, essas etapas resolvem alguns problemas bem estranhos de conexão de rede. Vá em frente e tente.
Resetando a senha da conta de máquina
Vamos direto para os métodos mais eficientes e menos demorados para resolver nosso problema. O objetivo aqui é redefinir a senha da conta do computador. Vou mostrar os passos para usar a GUI no Windows para desassociar, reassociar, reiniciar, etc., mais tarde.
Mas não seria bom evitar todos esses reinícios? Bem, sim, tenho certeza de que seria. Especialmente se você estiver usando um computador mais lento.
Usando a ferramenta de linha de comando netdom resetpwd
A primeira ferramenta de linha de comando que usaremos é chamada netdom. Você pode instalá-la em um workstation instalando as Ferramentas de Administração do Servidor Remoto (RSAT), especificamente a opção ‘Ferramentas de Serviços de Domínio do Active Directory e Serviços de Diretório Leve‘. Você pode aprender o básico sobre a instalação das ferramentas RSAT lendo meu post anterior sobre o assunto.
Abra um prompt de comando administrativo e use o seguinte comando netdom resetpwd:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Sucesso! A senha da conta da máquina para a máquina local foi redefinida com sucesso, e você nem precisa reiniciar. Você pode simplesmente fazer logoff e depois fazer login novamente com uma conta de usuário de domínio e deve funcionar.
Usando o cmdlet Reset-ComputerMachinePassword
Outra ferramenta em seu cinto de ferramentas do PowerShell é o cmdlet Reset-ComputerMachinePassword. Assim como o netdom, este comando irá alterar/atualizar a senha da conta do computador no Active Directory.
Vá em frente e abra um console do PowerShell. A estrutura básica do comando é a seguinte:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Portanto, em nosso caso, eu vou executar este comando:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Não ter notícias aqui é uma boa notícia. ?
Usando a ferramenta Usuários e Computadores do Active Directory
Existe um passo muito simples que você pode tomar usando Usuários e Computadores do Active Directory (ADUC) para realizar a mesma função dos dois métodos anteriores da linha de comando. Basta localizar a estação de trabalho do computador em seu diretório, clicar com o botão direito no objeto do computador e clicar em ‘ Redefinir conta.’
E pronto, a conta do computador foi redefinida agora.
Realinhe sua máquina ao domínio do Active Directory
Está bem, estou guardando o método tradicional, um tanto “não robusto”, para resolver por último o erro de “a relação de confiança entre esta estação de trabalho e o domínio principal falhou” – minha recomendação é usar as ferramentas de linha de comando, pois são mais eficientes, mais rápidas e simplesmente realizam o trabalho de forma mais confiável. Você não precisa se preocupar com problemas potenciais em perfis locais, problemas de conexão de rede no lado da estação de trabalho e outros problemas no Windows em geral.
De qualquer forma, por uma questão de completude, vamos mostrar-lhe este outro método para reintegrar sua máquina ao domínio do Active Directory.
Usando os Cmdlets Remove-Computer e Add-Computer
Parece que estou segurando o uso do antigo método GUI por um motivo. ? Saindo de um salto no último segundo possível para nos dar a vantagem tática. Podemos usar o PowerShell, novamente, para alcançar nosso objetivo. Podemos usar os cmdlets Remove-Computer e Add-Computer.
Nota – Certifique-se de que conhece as credenciais de uma conta de administrador local do dispositivo que está usando. Você precisará delas para fazer login após a desassociação da estação de trabalho e a reinicialização.
Aqui está o cmdlet Remove-Computer que você precisa usar para remover o computador do domínio e reiniciá-lo.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Ok. Após apenas alguns segundos, a reinicialização ocorreu. Agora, depois de fazer login com um administrador local, posso usar o cmdlet ‘Add-Computer‘ para reintegrar ao domínio.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
Outra operação MUITO rápida e uma reinicialização! E estamos de volta aos negócios.
Usando a GUI e uma conta de Administrador de Domínio
Bem, acho que posso lhe mostrar o método tradicional, mas eficaz, para resolver esse erro. Vamos passar pelo procedimento de usar a GUI do Windows na estação de trabalho para desvincular nosso dispositivo do domínio do Active Directory e entrar no modo de grupo de trabalho, reiniciar, em seguida, reconectar nosso dispositivo de volta ao AD, reiniciar novamente e então a missão estará cumprida.
Primeiramente, clique em Iniciar -> Configurações -> Contas -> Acesso ao trabalho ou à escola. Clique na seta suspensa à direita onde mostra o nome de domínio DNS do AD e clique em Desconectar. Clique em Sim.
Clique no botão Desconectar na janela pop-up seguinte.
Aqui, confirme as credenciais de uma conta local com a qual você poderá fazer login após a remoção da estação de trabalho do domínio.
Este passo é importante – se você não tiver acesso a uma conta e senha local, precisará reinstalar o Windows ou reimagemar seu dispositivo.
Depois de concluído, clique em Reiniciar agora para reiniciar sua máquina.
Neste ponto, fiz login com minha conta local ‘Michael’. Então, segui para o mesmo local: Iniciar -> Configurações -> Contas -> Acesso ao trabalho ou à escola.
Aqui, clique no botão Conectar ao lado de ‘Adicionar uma conta de trabalho ou escola.’
Escolha o último link no final: Juntar este dispositivo a um domínio local do Active Directory.
Insira o Nome de Domínio Completamente Qualificado (FQDN) do seu domínio Active Directory e clique em Próximo.
Assumindo que seja possível contatar seu domínio corretamente (caso contrário, você pode ler minha postagem para ajudar na resolução de problemas), você será solicitado a fornecer uma conta de domínio com permissões de Administradores de Domínio ou equivalentes.
Aqui, estou seguindo o passo não tão comum de adicionar minha conta de AD ‘mreinders’ ao grupo de Administradores local. Isso é para fins de laboratório, e não é a melhor prática em termos de segurança.
Clique em Reiniciar Agora, faça login com sua conta de usuário no domínio e pronto!
Conclusão
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/