如何修复“此工作站与主域之间的信任关系失败”错误

教程

“此工作站与主域之间的信任关系失败”错误意味着计算机无法访问网络,因为它处于离线状态,或者它已经丢失了加入Active Directory(AD)域的成员资格。本指南将帮助您了解发生此错误时发生了什么,并我们将介绍不同的方法来解决此问题。

正如您将看到的,有很多可能的解决方案来修复“此工作站与主域之间的信任关系失败”的问题。特别是有一种方法比传统方法更快速 – ‘退出域,重新启动,重新加入域,再次启动…’。让我们开始吧!

广告

了解“此工作站与主域之间的信任关系失败”错误

“此工作站与主域之间的信任关系失败”错误消息绝对是IT专业人士在处理连接到Active Directory的设备时遇到的最令人恼火的错误之一。它似乎突然出现,只是为了在您日常任务中设置障碍,阻碍您完成工作。

您如何遇到这个错误?

当您将工作站加入到Active Directory域时,在AD中会创建一个计算机账户。就像用户账户一样,这个计算机账户也有一个密码,有效期为30天,到期后会被更新。

注意 – 您可以修改注册表来更改“最大机器账户密码年龄”属性。如果您想这样做,在Regedit.exe中打开并修改以下键:

hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

每次计算机在重启时(用户登入前)“登录”到Active Directory时,它会与最近的域控制器验证计算机账户密码:

广告

  • 如果同步成功,计算机将成功认证到AD,程序继续运行。
  • 如果设备没有连接到AD的网络,将允许最多30天的宽限期。

遇到“计算机与域的信任关系失败”错误的场景是当域用户尝试登录工作站(和域)时。如果用户先前已登录并且他们的AD密码被缓存在设备上,他们将能够在宽限期内登录。但是,如果一个以前未登录到设备的用户尝试登录,并且设备和AD之间的信任不可用,您将收到此确切错误。

为什么会出现此错误?

此“计算机与域之间的信任关系失败”错误发生在计算机不再受信任于域时。工作站与Active Directory之间的安全通道丢失。本地计算机的密码与Active Directory中计算机的密码不匹配。

有几种常见情况会导致出现此错误,以下是一些示例:

  • 如果重新安装Windows
  • 如果执行Windows的重置。
  • 如果您恢复了虚拟机的状态。
  • 如果您更换了设备中更为突出的硬件组件等。
  • 如果您在克隆设备时未首先使用Sysprep

还有许多其他潜在原因可能导致这个错误。 网络连接问题,AD或DNS基础设施出现问题,甚至设备的网络电缆也可能存在问题!关键是要慢慢来,不要做任何假设,并使用本指南按照故障排除流程的每个步骤来解决您的问题。

广告

如何解决“工作站与主域之间的信任关系失败”错误

有几种方法可以用来解决”此工作站与主域之间的信任关系失败”错误。您需要做的是解决设备与Active Directory之间的信任关系。先来看看一些基础知识,因时间限制而您可能偶尔会忽略的部分。

使用Test-ComputerSecureChannel命令检查信任关系

看这个!一个很方便的PowerShell宝石,可以帮助修复您设备与Active Directory之间信任关系状态。我在我的Windows Server 2022 Active Directory Hyper-V实验室环境中有一个运行Windows 11的VM。让我们使用Test-ComputerSecureChannel cmdlet 来验证我们与AD的连接。

Test-ComputerSecureChannel -verbose
Using Test-ComputerSecureChannel to verify the trust is valid

这里,输出中的’True’表示一切正常。?

检查DHCP设置

您需要在命令提示符下运行ipconfig,以确保您的工作站具有的IP地址与您的域控制器(DC)处于同一子网,或者可以路由到这些子网。您也可以尝试通过名称或完全限定域名(FQDN)ping您的某个DC。

如果这样做没有效果,或者无法解析,这可能是一个更基础的网络连接问题。在继续之前,您应该首先在这个领域中进行基本的故障排除。

您还可以运行ipconfig /releaseipconfig /renew命令来释放您分配的DHCP IP地址,然后更新它或获取一个新的。有时,这些步骤可以解决一些很奇怪的网络连接问题。尝试一下吧。

重置机器账户密码

让我们立刻深入探讨更高效、节省时间的方法来解决问题。这里的目标是重置计算机账户密码。我将向您展示如何使用Windows中的GUI来后续执行脱离、重新连接、重启等步骤。

但是避免所有这些重新启动会不会更好呢?嗯,是的,我确定会更好。特别是如果您正在使用速度较慢的计算机。

使用netdom resetpwd命令行工具

我们将使用的第一个命令行工具叫做netdom。您可以通过安装远程服务器管理工具 (RSAT) 在工作站上安装它,具体来说是选择“Active Directory 域服务和轻量目录服务工具”。您可以通过阅读我关于安装RSAT工具的之前的帖子来了解安装RSAT工具的基础知识。

打开一个管理命令提示符,然后使用以下netdom resetpwd 命令:

netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Using netdom to reset the computer account password in AD

成功!本地机器的机器帐户密码已成功重置,而且您甚至不需要重新启动。您可以简单地注销,然后使用域用户帐户重新登录,应该就可以了。

使用Reset-ComputerMachinePassword cmdlet

在您的 PowerShell 工具箱中另一个工具是 Reset-ComputerMachinePassword cmdlet。与 netdom 类似,此命令将更改/更新计算机帐户密码与 Active Directory。

继续打开 PowerShell 控制台。基本命令结构如下:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

因此,在我们的情况下,我会运行此命令:

Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Here we use Reset-ComputerMachinePassword to accomplish our goal
And yes, no news here is good news!

没有消息就是好消息。? 

使用 Active Directory 用户和计算机工具

使用 Active Directory 用户和计算机(ADUC)有一个非常直接的步骤,可以执行与前两个命令行方法相同的功能。只需在目录中找到计算机工作站,右键单击计算机对象,然后单击“重置帐户”。

Using Active Directory Users and Computers to accomplish the same goal

这样一来,计算机帐户现在已重置。

重新加入您的计算机到 Active Directory 域

好的,我将保存传统、有些“不够强大”的方法最后来解决“此工作站与主域之间的信任关系失败”的错误 – 我建议使用命令行工具,因为它们更高效、更快速,更可靠地完成工作。您不需要担心本地配置文件、工作站端的网络连接问题以及Windows中的其他问题。

无论如何,为了完整起见,让我们展示另一种方法将您的计算机重新加入活动目录域。

使用Remove-Computer和Add-Computer Cmdlets

看起来我有理由坚持使用更旧的GUI方法。?在最后一刻突然出现,给我们战术优势。我们可以再次使用PowerShell来实现我们的目标。我们可以使用Remove-ComputerAdd-Computer cmdlets。

注意 – 确保您知道要使用的设备的本地管理员帐户的凭据。在工作站脱离域并重新启动后,您将需要这些凭据登录。

这里是您需要使用的Remove-Computer cmdlet,用于将计算机从域中移除并重新启动它。

Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart

好的。仅几秒钟后,重新启动已完成。现在,在我使用本地管理员登录后,我可以使用‘Add-Computer’ cmdlet重新加入到域中。

Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
We can Add-Computer to get our machine joined again to our AD Domain

另一个非常快速的操作和一次重启!我们又归位。

After the reboot, we see that our machine is correctly in the domain

使用GUI和域管理员帐户

好吧,我想我可以向您展示传统但有效的方法来解决这个错误。我们将通过在工作站上使用Windows GUI的步骤来将设备从Active Directory域中解绑,并加入工作组模式,然后重新启动,再将设备重新加入AD,再次重新启动,然后任务完成。

首先,单击开始 -> 设置 -> 帐户 -> 访问工作或学校。单击显示AD DNS域名的右侧的下拉箭头,然后单击断开连接。单击

Using Windows Settings in Windows 11 to remove our computer from the domain

单击下一个弹出窗口上的断开连接按钮。

What you see when you choose to remove a computer from an AD domain

在这里,确认您将在工作站从域中移除后能够登录的本地帐户的凭据。

Putting in credentials to confirm we can login after the disconnection from the domain

这一步很重要-如果您没有访问本地帐户和密码,您将需要重新安装Windows或重新映像设备。

Click Restart now or Restart later to complete the process

完成后,单击立即重新启动以重新启动您的机器。

这时,我使用我的本地’Michael’帐户登录。然后,我前往同样的位置:开始 -> 设置 -> 帐户 -> 访问工作或学校

在这里,单击“连接”按钮旁边的“添加工作或学校帐户”。

We go to the same location to get back on the domain in Accounts > Access work or school

选择底部的最后一个链接:将此设备加入本地Active Directory域

Click Join this device to a local Active Directory domain

输入您的Active Directory域的完全限定域名(FQDN),然后单击下一步

Entering in our FQDN DNS AD domain name

假设它能够正确地访问您的域(如果不能,您可以阅读我的帖子来协助您进行故障排除),您将被提示输入具有域管理员或等效权限的域帐户。

Entering in our DA credentials to join the computer

在这里,我正在采取不太常见的步骤,将我的’mreinders’ AD帐户添加到本地管理员组。这是为了我的实验目的,并不是安全最佳实践。

点击立即重新启动,使用您的用户帐户登录到域中,然后我们完成了!

结论

I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!

Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/