Ошибка “сбой доверительных отношений между этим рабочим местом и основным доменом” означает, что компьютер не может получить доступ к сети из-за отсутствия подключения к интернету или потери членства в домене Active Directory (AD). Это руководство поможет вам понять, что происходит за кулисами при возникновении этой ошибки, и мы рассмотрим различные методы устранения проблемы.
Как вы увидите, существует несколько возможных решений для исправления ошибки “сбой доверительных отношений между этим рабочим местом и основным доменом”. Особенно заметно одно, которое работает быстрее, чем традиционный подход – «отключиться от домена, перезагрузить, присоединиться к домену, перезагрузиться…» Давайте начнем!
Понимание ошибки “сбой доверительных отношений между этим рабочим местом и основным доменом”
Сообщение об ошибке “сбой доверительных отношений между этим рабочим местом и основным доменом” определенно одно из самых раздражающих, с которым сталкиваются ИТ-специалисты, работающие с устройствами, присоединенными к Active Directory. Кажется, что оно возникает как из воздуха, чтобы помешать вам выполнять повседневные задачи.
Как можно столкнуться с этой ошибкой?
При присоединении рабочей станции к домену Active Directory создается учетная запись компьютера в AD. И, как и у учетной записи пользователя, у этой учетной записи компьютера есть пароль, который действителен 30 дней, после чего он обновляется.
Примечание – У вас есть возможность изменить атрибут “максимальный срок действия пароля учетной записи устройства” путем изменения реестра. Если вы хотите это сделать, откройте Regedit.exe и измените следующий ключ:
hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Каждый раз, когда компьютер ‘входит в систему’ в Active Directory (при перезагрузке и перед входом пользователя), он проверяет свой пароль учетной записи компьютера у ближайшего контроллера домена (DC):
- Если они синхронизированы, компьютер успешно проходит аутентификацию в AD, и жизнь продолжается.
- Если устройство не имеет сетевого соединения с AD, предоставляется окно в 30 дней.
Сценарий, в котором вы сталкиваетесь с ошибкой ““доверенность между этим рабочим местом и основным доменом не удалась”, возникает, когда пользователь домена пытается войти в рабочую станцию (и в домен). Если пользователь уже заходил в систему и их пароль AD кэширован на устройстве, они смогут войти в систему во время этого периода отсрочки. Однако, если пользователь, который не заходил на устройство раньше, попытается войти в систему, и доверие между устройством и AD недоступно, вы получите именно эту ошибку.
Почему возникает эта ошибка?
Эта ошибка ““доверенность между этим рабочим местом и основным доменом не удалась” возникает, когда компьютер больше не доверен в домене. Безопасный канал между рабочей станцией и Active Directory отсутствует. Локальный пароль компьютера не согласован с паролем компьютера в вашем Active Directory.
Есть несколько распространенных сценариев, в которых может возникнуть эта ошибка, вот несколько примеров:
- Если вы переустановите Windows.
- Если вы сбросите Windows.
- Если вы восстановите состояние виртуальной машины.
- Если вы замените более значимые аппаратные компоненты в устройстве и т. д.
- Если вы клонируете устройство без использования сначала Sysprep.
Существует еще несколько других основных причин, которые могут привести к этой ошибке. Проблемы с сетевым подключением, проблема с вашей AD или инфраструктурой DNS, и даже проблемы с сетевым кабелем вашего устройства! Суть в том, чтобы действовать осторожно, не делать НИКАКИХ предположений, и использовать этот руководство для последовательного выполнения каждого шага этой инструкции по устранению неисправностей для решения вашей проблемы.
Как исправить ошибку “недоверительное отношение между этой рабочей станцией и основным доменом”
Есть несколько методов, которые вы можете использовать для устранения ошибки «доверительные отношения между этим рабочим местом и основным доменом не удалось». Необходимо восстановить доверительные отношения между вашим устройством и Active Directory. Давайте сначала рассмотрим некоторые основы, которые вы можете случайно пропустить из-за ограниченного времени.
Проверка доверительных отношений с помощью команды Test-ComputerSecureChannel
Ну что за чудеса! Удобный сценарий PowerShell, который поможет восстановить состояние доверительного отношения вашего устройства с Active Directory. У меня есть ВМ с Windows 11 в моей лабораторной среде Hyper-V с Windows Server 2022 Active Directory. Давайте воспользуемся командлетом Test-ComputerSecureChannel, чтобы проверить наше соединение с AD.
Test-ComputerSecureChannel -verbose
Здесь, «True» в выводе означает, что мы в порядке. ?
Проверка настроек DHCP
Вы захотите выполнить ipconfig в командной строке, чтобы убедиться, что IP-адрес вашей рабочей станции либо находится в той же подсети, что и контроллер домена (DC), либо имеет маршрут к этим подсетям. Вы также можете попробовать выполнить пинг одного из ваших DC по имени или полностью определенному доменному имени (FQDN).
Если это не работает или не разрешается, у вас есть более основные проблемы сетевого подключения. Вам следует выполнить основную диагностику в этой области первым делом.
Также можно выполнить команды ipconfig /release и ipconfig /renew, чтобы освободить ваш назначенный IP-адрес DHCP и либо обновить его, либо получить новый. Иногда эти шаги помогают разрешить некоторые довольно странные проблемы с сетевым подключением. Попробуйте сделать это.
Сброс пароля учетной записи компьютера
Давайте приступим к более эффективным и менее затратным способам решения нашей проблемы. Цель здесь – сбросить пароль учетной записи компьютера. Я покажу вам шаги по использованию графического интерфейса в Windows для отсоединения, повторного присоединения, перезагрузки и т. д. позже.
Но не было бы замечательно избежать всех этих перезагрузок? Ну да, я уверен, это было бы хорошо. Особенно если вы используете медленный компьютер.
Используя инструмент командной строки netdom resetpwd
Первый инструмент командной строки, который мы будем использовать, называется netdom. Его можно установить на рабочую станцию, установив средства администрирования удаленного сервера (RSAT), конкретно опцию ‘Службы каталогов Active Directory и службы каталогов Lightweight‘. Основы установки инструментов RSAT можно изучить, прочитав мою предыдущую публикацию по этой теме.
Откройте административное окно командной строки и используйте следующую команду netdom resetpwd:
netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Успех! Пароль учетной записи компьютера для локальной машины был успешно сброшен, и вам даже не нужно перезагружаться. Просто выйдите из системы, затем снова войдите под учетной записью домена, и все должно быть в порядке.
Используя cmdlet Reset-ComputerMachinePassword
Еще один инструмент в вашем арсенале PowerShell – это коммандлет Reset-ComputerMachinePassword. Подобно netdom, эта команда изменит/обновит пароль учетной записи компьютера в Active Directory.
Продолжайте и откройте консоль PowerShell. Основная структура команды выглядит следующим образом:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Итак, в нашем случае я запущу эту команду:
Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Нет новостей – это хорошие новости. ?
Использование средства Active Directory User and Computers
Есть очень простой шаг, который вы можете выполнить, используя Active Directory Users and Computers (ADUC), чтобы выполнить ту же функцию, что и два предыдущих метода командной строки. Просто найдите рабочую станцию компьютера в вашем каталоге, щелкните правой кнопкой мыши на объекте компьютера и нажмите «Сбросить учетную запись.»
И вот, учетная запись компьютера сброшена.
Присоедините свою машину к домену Active Directory
Хорошо, я оставлю традиционный, отчасти “неочевидный” метод в последнюю очередь для исправления ошибки «сбой отношения доверия между этим рабочим местом и основным доменом» – мой рекомендация использовать инструменты командной строки, так как они более эффективны, быстры и просто доходят до цели более надежно. Вам не нужно беспокоиться о возможных проблемах с локальными профилями, проблемах с сетевым подключением на стороне рабочего места и других проблемах в Windows в целом.
В любом случае, для полноты картины, давайте покажем вам этот другой метод для повторного присоединения вашей машины к домену Active Directory.
Используя Remove-Computer и Add-Computer Cmdlets
Похоже, я удерживаю использование старого метода с графическим интерфейсом по причине. ? Выходя из искривления в последнюю секунду, чтобы дать нам тактическое преимущество. Мы можем снова использовать PowerShell, чтобы достичь нашей цели. Мы можем использовать Remove-Computer и Add-Computer cmdlets.
Примечание – Убедитесь, что вы знаете учетные данные для локальной учетной записи администратора устройства, которое вы используете. Вам понадобится их для входа после отсоединения рабочей станции и перезагрузки.
Вот cmdlet Remove-Computer, который вам нужно использовать для удаления компьютера из домена и перезапуска его.
Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart
Хорошо. Спустя всего несколько секунд произошла перезагрузка. Теперь, после того как я войду под локальным администратором, я могу использовать cmdlet ‘Add-Computer‘ для повторного присоединения к домену.
Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
Другая ОЧЕНЬ быстрая операция и перезагрузка! И мы снова в бизнесе.
Используя графический интерфейс и учетную запись администратора домена
Ну, думаю, я могу показать вам традиционный, но эффективный метод устранения этой ошибки. Мы пройдем процедуру использования графического интерфейса Windows на рабочей станции для исключения нашего устройства из домена Active Directory и присоединения к рабочей группе, перезагрузим, затем вернем наше устройство обратно в AD, снова перезагрузим, и задача выполнена.
Сначала щелкните Пуск -> Настройки -> Учетные записи -> Доступ к работе или учебе. Щелкните стрелку раскрывающегося списка справа, где указано имя домена AD DNS, и нажмите Отключить. Нажмите Да.
Нажмите кнопку Отключить во всплывающем окне.
Здесь подтвердите учетные данные локальной учетной записи, с которой вы сможете войти после удаления рабочей станции из домена.
Этот шаг важен – если у вас нет доступа к локальной учетной записи и паролю, вам придется переустановить Windows или образ вашего устройства заново.
После завершения нажмите Перезагрузить сейчас, чтобы перезагрузить вашу машину.
На этом этапе я вошел под моей локальной учетной записью ‘Михаил’. Затем я перешел в тот же раздел: Пуск -> Настройки -> Учетные записи -> Доступ к работе или учебе.
Здесь нажмите кнопку Подключить рядом с ’Добавить рабочую или учебную учетную запись.’
Выберите последнюю ссылку внизу: Присоединить это устройство к локальному домену Active Directory.
Введите Полное имя домена (FQDN) домена Active Directory и нажмите Далее.
Пусть предположим, что у вас удалось правильно соединиться с доменом (если нет, вы можете прочитать мой пост, чтобы помочь вам в устранении проблем), то вам потребуется ввести учетную запись домена с правами администратора домена или эквивалентными разрешениями.
В этом месте я произвожу несколько необычного шага и добавляю свой учетную запись AD ‘mreinders’ в локальную группу администраторов. Это делается только для целей лаборатории и не является хорошей практикой с точки зрения безопасности.
Нажмите Перезапустите сейчас, войдите в учетную запись пользователя домена и мы готовы!
Заключение
I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!
Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/