Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

При попытке входа в учетную запись доменного пользователя компьютер выдаёт «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и никаких вариантов. Ладно если так произошло на одном каком-то компьютерах, а ведь может случиться так что это произошло на всех компьютерах домена одновременно! Вот это атас!!!

Почему так происходит:

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Информация с сайта interface31.ru

Для восстановления доверительных отношений существует несколько способов, с которыми можно ознакомиться на вышеуказанном сайте. Я делал так:

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:



1
Netdom resetpwd /<span class="hljs-built_in">Server</span>:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

netdom

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Утилита Nltest (вроде удобнее, но я не пробовал)

Данная утилита присутствует на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Nltest /query проверить безопасное соединение с доменом;

Nltest /sc_reset:Your_domain.netсбросить учетную запись компьютера в домене;

Nltest /sc_change_pwd:Your_domain.netизменить пароль компьютера.

 

 

P.S. Умозаключения:

  1. Также следует проверить наличие расхождения времени между контроллером домена и клиентским компьютером — Статья
  2. При откате контроллера домена скорее всего никто из пользователей не сможет войти в домен из-за устаревших автоматических паролей. А проделывать команду Netdom на каждом из них довольно проблематично. Но можно попробовать с помощью psexec
(Просмотрено 707 раз, 1 раз за сегодня)
Вы можете оставить комментарий, или Трекбэк с вашего сайта.

Комментариев к записи: 1

  1. veres:

    Восстановление доверия при помощи PShell скрипта:

    Reset-ComputerMachinePassword -server [server name] -Credential [domen\admin]

    Может пригодится.

Оставить комментарий