У цій статті ми розглянемо проблему порушення довірчих відносин між робочою станцією і доменом Active Directory, через яку користувач не може авторизуватися на комп’ютері. Розглянемо причину проблеми і простий спосіб відновлення довірчих відносин комп’ютера з контролером домену по безпечному каналу без перезавантаження комп’ютера.

Не вдалося встановити довірчі відносини між цією робочою станцією і основним доменом

Як проявляється проблема: користувач намагається авторизуватися на робочій станції або сервері під своїм обліковим запис і після введення пароля з’являється помилка:

The trust relationship between this workstation and the primary domain failed.
Не удалось восстановить доверительные отношения между рабочей станцией и доменом.

Не вдалося відновити довірчі відносини між робочою станцією і доменом

Також помилка може виглядати так:

The security database on the server does not have a computer account for this workstation trust relationship.
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.

База даних диспетчера облікових записів на сервері не містить записи для реєстрації комп'ютера через довірчі відносини з цією робочою станцією.

Пароль облікового запису комп’ютера в домені Active Directory

Коли комп’ютер вводиться в домен Active Directory, для нього створюється окремий обліковий запис типу computer. У кожного комп’ютера в домені, як і у користувачів є свій пароль, який необхідний для аутентифікації комп’ютера в домені і встановлення довіреної підключення до контролера домену. Однак, на відміну від паролів користувача, паролі комп’ютерів задаються і змінюються автоматично.

Кілька важливих моментів, що стосуються паролів комп’ютерів в AD:

  • Комп’ютери повинні регулярно (по-замовчуванню раз в 30 днів) міняти свої паролі в AD.
    Порада. Максимальний термін життя пароля може бути налаштований за допомогою політики Домен член: Максимум машина рахунок пароль вік, Яка знаходиться в розділі: Конфігурація комп’ютера-> Налаштування Windows-> Налаштування безпеки-> Локальна політика-> Параметри безпеки. Термін дії пароля комп’ютера може бути від 0 до 999 (за замовчуванням 30 днів). Максимальний вік пароля машинного облікового запису
  • Термін дії пароля комп’ютера чи не закінчується на відміну від паролів користувачів. Зміну пароля ініціює комп’ютер, а не контролер домену. На пароль комп’ютера не поширюється доменна політика паролів для користувачів.

    Навіть якщо комп’ютер був вимкнений більше 30 днів, його можна включити, він нормально аутентифицирующей на DC зі старим паролем, і тільки після цього локальна служба Netlogon змінить пароль комп’ютера в своїй локальній базі (пароль зберігається в гілці реєстру HKLM SECURITY Policy Secrets $ machine.ACC) і потім в акаунті комп’ютера в Active Directory.

  • Пароль комп’ютера змінюється на найближчому DC, ці зміни не відправляються на контролера домену з FSMO роллю емулятора PDC (тобто якщо комп’ютер змінив пароль на одному DC, то він не зможе авторизуватися на іншому DC, до моменту виконання реплікації змін в AD).

Якщо хеш пароля, який комп’ютер відправляє контролера домену не збігається з паролем облікового запису комп’ютера, комп’ютер не може встановити захищене підключення до DC і видає помилки про неможливість встановити довірена підключення.

Чому це може статися:

  1. Найчастіша проблема. Комп’ютер був відновлений зі старої точки відновлення або снапшотов (якщо це віртуальна машина), створеної раніше, ніж був змінений пароль комп’ютера в AD. Тобто пароль в снапшотов відрізняється від пароля комп’ютера в AD. Якщо ви відкотити такий комп’ютер на попередній стан, це комп’ютер спробує аутентифицироваться на DC зі старим паролем.
  2. В AD створений новий комп’ютер з тим же ім’ям, або хтось скинув аккаунт комп’ютера в домені через консоль ADUC;скидання пароля врахований записи компьтера в AD
  3. Обліковий запис комп’ютера в домені заблокована адміністраторам (наприклад, під час регулярної процедури відключення неактивних об’єктів AD);
  4. Досить рідкісний випадок, коли збилося системний час на комп’ютері.

Класичний спосіб відновити довірчих відносин комп’ютера з доменом в цьому випадку:

  1. Скинути аккаунт комп’ютера в AD;
  2. Під локальним адміном перевести комп’ютер з домену в робочу групу;
  3. Перезавантажити комп’ютер;
  4. Перезагнать комп’ютер в домен;
  5. Ще раз перезавантажити комп’ютер.

Цей метод здається простим, але дуже сокирний і вимагає, як мінімум двох перезавантажень комп’ютера, і 10-30 хвилин часу. Крім того, можуть виникнути проблеми з використанням старих локальних профілів користувачів.

Є більш елегантний спосіб відновити довірчі відносини з допомогою PowerShell без перевключення в домен і без перезавантажень комп’ютера.

Перевірка і відновлення довірливого ставлення комп’ютера з доменом за допомогою PowerShell

Якщо ви не можете аутентифицироваться на комп’ютері під доменної обліковим записом з помилкою “Не вдалося встановити довірчі відносини між цією робочою станцією і основним доменом“, Вам потрібно увійти на комп’ютер під локальної обліковим записом з правами адміністратора. Також можна відключити мережевий кабель і авторизуватися на комп’ютері під доменної обліковим записом, яка недавно заходила на цей комп’ютер, за допомогою кешованих облікових даних (Cached Credentials).

Відкрийте консоль PowerShell і за допомогою командлета Test-ComputerSecureChannel перевірте чи відповідає локальний пароль комп’ютера паролю, що зберігається в AD.

Test-ComputerSecureChannel –verbose

Test-ComputerSecureChannel перевірка довірчих отошенія комп'ютера з доменом з powershell

Якщо паролі не збігаються і комп’ютер не може встановити довірчі відносини з доменом, команда поверне значення помилковийThe Secure channel between the local computer and the domain winitpro.ru is broken.

Щоб примусово скинути пароль облікового запису даного комп’ютера в AD, потрібно виконати команду:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

Test-ComputerSecureChannel repair відновити довірчі відносини комп'ютера з AD, скидання і синхронізація пароля комп'ютера

Для виконання операції скидання пароля потрібно вказати обліковий запис і пароль користувача, у якого достатньо повноважень на скидання пароля облікового запису комп’ютера. Цьому користувача повинні бути делеговані права на комп’ютери в Active Directory (можна використовувати і члена групи Domain Admins, але це не комільфо).

Після цього потрібно ще раз виконати команду Test-ComputerSecureChannel і переконається, що вона повертає Правда (The Secure channel between the local computer and the domain winitpro.ru is in good condition).

Отже, пароль комп’ютера скинутий без перезавантаження і без ручного перевоода в домен. Тепер ви можете аутентифицировать на комп’ютері під доменної обліковим записом.

Також для примусової зміни пароля можна використовувати командлет Reset-ComputerMachinePassword.

Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corpdomain_admin

dc01.corp.winitpro.ru – ім’я найближчого DC, на якому потрібно змінити пароль комп’ютера.

Має сенс скидати пароль комп’ютера кожен раз, перед тим як ви створюєте снапшот віртуальної машини або точку відновлення комп’ютера. Це спростить вам життя при відкат до попереднього стану комп’ютера.

Якщо у вас є середовище розробки або тестування, де доводиться часто відновлювати попередній стан ВМ з снапшотов, можливо варто за допомогою GPO точково відключити зміну пароля в домені для таких комп’ютерів. Для цього використовується політика Член домену: вимкніть зміну пароля машинного облікового запису з секції Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можна націлити політики на OU з тестовими комп’ютерів або скористатися WMI фільтрами GPO.

За допомогою командлета Get-ADComputer (з модуля Active Directory Windows PowerShell) можна перевірити час останньої зміни пароля комп’ютера в AD:

Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

Також можна перевірити наявність безпечного каналу між комп’ютером і DC командою:

nltest /sc_verify:corp.winitpro.ru

Наступні рядки підтверджують, що довірчі відносини були успішно відновлені:

nltest / sc_verify

Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

Відновлення довіри за допомогою утиліти Netdom

У Windows 7 / 2008R2 і попередніх версіях Windows, на яких відсутній PowerShell 3.0, не вийде використовувати командлети Test-ComputerSecureChannel і Reset-ComputerMachinePassword для скидання пароля комп’ютера і відновлення довірчих відносин з доменом. У цьому випадку для відновлення безпечного каналу з контролером домену потрібно скористатися утилітою netdom.exe.

утиліта Нетдом включена до складу Windows Server починаючи з 2008, а на комп’ютерах користувачів може бути встановлена ​​з RSAT (Remote Server Administration Tools). Щоб відновити довірчі відносини, потрібно увійти в систему під локальним адміністратором (набравши “. Administrator” на екрані входу в систему) і виконати таку команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Netdom resetpwd

  • Сервер – ім’я будь-якого доступного контролера домену;
  • UserD – ім’я користувача з правами адміністратора домену або делегованими правами на комп’ютери в OU з обліковим записом комп’ютера;
  • ПарольD – пароль користувача.

Netdom resetpwd /Server:spb-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Послу успішного виконання команди не потрібно перезавантажувати комп’ютер, досить виконати логофф і увійти в систему під доменної облікової.

Як ви бачите, відновити довірчі відносини междду комп’ютером і доменом досить просто.

Leave a Reply

Your email address will not be published. Required fields are marked *