В этой статье мы коснемся проблемы нарушения доверительных отношений между рабочей станцией и доменом, мешающей пользователю авторизоваться в системе. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений по безопасному каналу.
Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:
The trust relationship between this workstation and the primary domain failedНе удалось восстановить доверительные отношения между рабочей станцией и доменом
The security database on the server does not have a computer account for this workstation trust relationshipБаза данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией
Пароль компьютера в домене AD
Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись компьютера с паролем. На этом уровне доверие обеспечивается тем, что эта операция выполняется администратором домена или пользователем домена (каждый пользователь по умолчанию может включить в домен 10 ПК).
При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.
Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.
Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.
Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер восстанавливают из образа или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.
«Классический» способ восстановить доверительные отношения в этом случае::
- Сбросить пароль локального администратора
- Вывести ПК из домена и включить его в рабочую группу
- Перезагрузится
- С помощью оснастки ADUC – сбросить учёту компьютера в домене (Reset Account)
- Повторно включить ПК в домен
- Еще раз перезагрузиться
Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.
Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.
Утилита Netdom
Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
- Server – имя любого доступного контроллера домена
- UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
- PasswordD – пароль пользователя
Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd
Послу успешного выполнения команды перезагрузка не нужна, достаточно выполнить логофф и войти в систему под доменной учетной.
Командлет Reset-ComputerMachinePassword
Командлет Reset-ComputerMachinePassword появился в PowerShell 3.0, и в отличии от утилиты Netdom, уже имеется в системе, начиная с Windows 8 / Windows Server 2012. На Windows 7, Server 2008 и Server 2008 R2 его можно установить вручную (http://www.microsoft.com/en-us/download/details.aspx?id=34595), также требуется наличие Net Framework 4.0 или выше.
Также нужно войти в систему под локальной учетной записью администратора, открыть консоль PowerShell и выполнить команду:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin
- Server – имя контроллера домена
- Credential – имя пользователя с правами администратора домена (или правами на OU с ПК)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov
В открывшемся окне безопасности нужно указать пароль пользователя.
Совет. Эту же операцию можно выполнить с помощью другого командлета Powershell Test-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Credential corp\aapetrov
Проверить наличие безопасного канала между ПК и DC можно командой:
nltest /sc_verify:corp.adatum.com
Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
Как вы видите, восстановить доверительные отношения в домене довольно прост