Как восстановить доверительные отношения рабочей станции с доменом

Записки IT специалиста

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Разберем опции команды:

• Server — имя любого доменного контроллера
• UserD — имя учетной записи администратора домена
• PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

• Server — имя любого контроллера домена
• Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Дополнительные материалы:

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Нарушение доверительных отношений между рабочей станцией и контроллером домена (решение)

В сети с парком в 150 машин после обновление операционной системы до MS Windows 7 стала постоянно наблюдаться проблема со входом пользователя в систему. В один прекрасный день пользователь включив компьютер обнаруживал, что войти в систему он не может, при этом видит ошеломляющее по своей информативности сообщение:
«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Решение тут одно. Вывести машину из домена и ввести обратно. Когда в день эта ситуация стала повторятся больше одного раза, да и просто надоело, задумался о профилактике. И вот тут интернет промолчал. После некоторого времени уныния, а уныние, как известно — грех, было решено копать. В результате пыток раскопок, была получена причина 99% случаев (и я подозреваю что оставшийся 1% просто не признался в той же самой причине). Причина — это служба восстановления при загрузке, которая включается при некорректном завершении работы. На первом же экране диалога служба спрашивает пользователя восстанавливать систему или нет. В случае положительного ответа система откатывается до более раннего состояния и, возможно, бьется sid машины. Как бы то ни было, домен пускать к себе пользователей с такой машину после такой операции не станет. Надеяться на пользователя в таком вопросе бесполезно. Можно просить его отказываться, в случае возникновения такой ситуации, но пользователь с очень большой вероятностью нажмет кнопку «восстановить» а потом разведет руками, мол бес попутал. В общем надо пакетно отключить службу восстановления при загрузке на n-машинах.

Локально решение выглядит, как консольная команда:

Для сети потребуется утилита PsExec из пакета Microsoft Sysinternals PsTools, описание утилиты и сам пакет лежат тут

Восстановление доверительных отношений между рабочей станцией и доменом AD

В этой статье мы рассмотрим проблему нарушения доверительных отношений между рабочей станцией и доменом Active Directory, из-за которой пользователь не может авторизоваться на компьютере. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений компьютера с контроллером домена по безопасному каналу без перезагрузки компьютера.

• 1 Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
• 2 Пароль учетной записи компьютера в домене Active Directory
• 3 Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell
• 4 Восстановления доверия с помощью утилиты Netdom

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

Также ошибка может выглядеть так:

Пароль учетной записи компьютера в домене Active Directory

Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись типа computer. У каждого компьютера в домене, как и у пользователей есть свой пароль, который необходим для аутентификации компьютера в домене и установления доверенного подключения к контроллеру домена. Однако, в отличии от паролей пользователя, пароли компьютеров задаются и меняются автоматически.

Несколько важных моментов, касающихся паролей компьютеров в AD:

• Компьютеры должны регулярно (по умолчанию раз в 30 дней) менять свои пароли в AD. Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domainmember: Maximummachineaccountpasswordage, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).
• Срок действия пароля компьютера не истекает в отличии от паролей пользователей. Смену пароля инициирует компьютер, а не контроллер домена. На пароль компьютера не распространяется доменная политика паролей для пользователей. Даже если компьютер был выключен более 30 дней, его можно включить, он нормально аутентифицируется на DC со старым паролем, и только после этого локальная служба

Исправлено: доверительные отношения между этой рабочей станцией и основным доменом не удалось.

Есть два способа управления клиентскими и серверными машинами в домашней или бизнес-среде, включая инфраструктуру рабочей группы и домена. Рабочая группа – это децентрализованная сетевая инфраструктура, используемая для домашних сетей и сетей малого бизнеса до 10 машин. Рабочей группе не требуется выделенный сервер для управления машинами, каждая машина имеет свою учетную запись пользователя. С другой стороны, доменная инфраструктура – это централизованная сетевая инфраструктура, которая поддерживает тысячи машин. Для реализации доменной инфраструктуры вам потребуется приобрести как минимум один сервер, который будет действовать как доменные службы Active Directory и службы доменных имен. После внедрения AD DS и DNS вам нужно будет присоединить все машины в сети к вашему домену и создать учетные записи пользователей домена для каждого пользователя. В следующий раз пользователь войдет в систему, используя учетную запись пользователя домена, а не учетную запись локального пользователя. Использование доменной инфраструктуры дает множество преимуществ, включая централизованное и упрощенное управление, отказоустойчивость, одну учетную запись пользователя для множества служб и другие. Некоторые пользователи приветствовали проблему при входе в домен, включая ошибку: Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом.

Эта проблема возникает в клиентских и серверных операционных системах, от Windows XP до Windows 10 и от Windows Server 2003 до Windows Server 2016. Там Существуют разные причины возникновения этой проблемы, в том числе проблема с учетной записью пользователя, проблема во взаимоотношениях между клиентом и сервером домена и другие. Для этой статьи я создал инфраструктуру домена appuals.com на Windows Server 2008 R2 и Windows Server 2016.

Есть семь методов, которые помогут вам решить эту проблему.

Метод 1. Проверьте конфигурацию DHCP

Добавили ли вы новый DHCP-сервер или перенастроить текущий пул DHCP? Если нет, прочтите следующий метод. Если да, продолжайте читать этот метод. Существует два способа назначения IP-адресов хостам в компьютерной сети, включая статическую и динамическую адресацию. Статическая адресация – это ручное присвоение IP-адресов вашим машинам, что отнимает гораздо больше времени и снижает производительность ИТ-администратора. Мы рекомендуем вам использовать динамическую адресацию с использованием протокола DHCP (Dynamic Host Computer Protocol). Лучшая практика будет включать статическую адресацию для серверов, хранилищ и сетевых принтеров, а также динамическую адресацию к другим хостам в сети. Немногие пользователи поощряли проблему после того, как добавили еще один DHCP-сервер в текущую сеть. Проблема заключалась в неправильном пуле DHCP для хостов в сети. Исходя из этого, мы рекомендуем вам проверить, правильно ли работает DHCP и правильно ли вы используете сетевую подсеть. Мы покажем вам, как проверить DHCP на Windows Server 2016 и маршрутизаторе TP-Link TL-ER6120. Представьте, правая сеть работает в классе C, 192.168. 1.0/24. Итак, приступим.

1. Удерживайте логотип Windows и нажмите
2. Введите dhcpmgmt.msc и нажмите Enter , чтобы открыть инструмент Управление DHCP .
3. Разверните свой сервер следующим образом: appuals.com IPv4 Scope. Как видите, этот DHCP настроен неправильно. Наша сеть – 192.168.1.0/24, а настроенная сеть – 192.168.100.1/24. В этом случае вам нужно будет изменить конфигурацию DHCP.
4. Закрыть Управление устройствами

Во втором примере мы покажем вам, как проверить конфигурацию DHCP на маршрутизаторе TP-Link. Если вы не знаете, как получить доступ к маршрутизатору, прочтите техническую документацию на него.

1. Откройте интернет-браузер (Google Chrome, Mozilla Firefox, Edge или другие)
2. Введите IP-адрес маршрутизатора для доступа к маршрутизатору
3. В разделе Сеть На вкладке strong> выберите LAN , а затем DHCP , чтобы проверить конфигурацию DHCP. В нашем примере DHCP включен и настроен следующим образом: 192.168.1.100 – 192.168.1.200, и это нормально.
4. Закрыть край

Метод 2: повторно присоединиться к компьютеру из домена

В этом методе вам нужно будет повторно подключиться к клиентской машине из домена. Для этого действия вам необходимо использовать учетную запись администратора домена, у которой есть разрешение на внесение изменений, таких как присоединение или повторное присоединение к машине из домена. Мы покажем вам, как вернуться к Windows 10 Pro из Windows Server 2016 Standard. Та же процедура совместима с другими клиентскими и серверными операционными системами, включая клиентскую операционную систему от Windows XP до Windows 8 и серверную операционную систему от Windows Server 2003 до Windows Server 2012 R2.

1. Войдите в Windows 10, используя учетную запись локального администратора
2. Удерживайте логотип Windows и нажмите E , чтобы открыть Проводник.
3. Справа от File Explorer щелкните правой кнопкой мыши This PC и выберите
4. Нажмите Advanced Системные настройки
5. Выберите вкладку КомпьютерИмя .
6. Нажмите Измените на добавить компьютер в рабочую группу.
7. Выберите Workgroup и введите Workgroup В нашем примере имя Workgroup – WORKGROUP . Вы можете вводить все, что хотите.
8. Нажмите
9. Введите учетную запись администратора домена и пароль , а затем нажмите OK
10. Нажмите OK , а затем
11. Закрыть свойства системы
12. Перезагрузите компьютер с Windows.
13. Войдите в Windows 10, используя учетную запись локального администратора
14. Удерживая логотип Windows , нажмите E , чтобы открыть Проводник
15. В правой части Проводника щелкните правой кнопкой мыши ЭтотПК и выберите Свойства
16. Нажмите Расширенные настройки системы .
17. Выберите Компьютер N вкладка ame
18. Нажмите Изменить , чтобы добавить компьютер в домен
19. Выберите домен и введите домен . В нашем примере это appuals.com.
20. Нажмите
21. Введите учетную запись администратора домена и пароль , а затем нажмите
22. Нажмите OK , а затем
23. Закрыть Свойства системы
24. Перезагрузить ваш компьютер с Windows
25. Войдите в Windows 10, используя учетную запись пользователя домена
26. Наслаждайтесь работой на своем компьютере.

Метод 3. Восстановите доверие с помощью PowerShell

В этом методе мы восстановим доверие между контроллером домена и клиентом с помощью PowerShell. Вам нужно будет войти в систему, используя учетную запись локального администратора.

1. Войдите в Windows 10, используя учетную запись локального администратора
2. Нажмите меню «Пуск» и введите
3. Щелкните правой кнопкой мыши на PowerShell и выберите Запуск от имени администратора
4. Нажмите Да , чтобы подтвердить запуск от имени администратора.
5. Введите $ credential = Get-Credential и нажмите
6. Введите учетную запись администратора домена и пароль, а затем нажмите OK
7. Введите Reset-ComputerMachinePassword -Credential $ credential и нажмите Enter
8. Закройте PowerShell
9. Перезагрузите компьютер с Windows
10. Войдите в Windows 10, используя учетную запись пользователя домена

Метод 4. Добавьте контроллер домена в диспетчер учетных данных

В этом методе вы будете использовать диспетчер учетных данных, где вы добавите учетную запись контроллеров домена в учетные данные Windows. Мы покажем вам, как это сделать в Windows 10.

1. Войдите в Windows 10, используя учетную запись локального администратора
2. Удерживайте логотип Windows и нажмите
3. Введите control.exe/name Microsoft.CredentialManager и нажмите Enter , чтобы открыть Диспетчер учетных данных .
4. Выберите Учетные данные Windows
5. Введите адрес веб-сайта или сетевого расположения и ваш CR edentials
6. Нажмите
7. Закройте диспетчер учетных данных
8. Перезагрузите компьютер с Windows
9. Журнал в Windows 10 с использованием пользователя домена account

Метод 5. Используйте Netdom.exe для сброса учетной записи компьютера Пароль

Этот метод совместим с Windows Server 2003 и Windows Server 2008 R2. Если вы используете более новую версию серверных операционных систем, прочтите следующий метод. Мы покажем вам, как сбросить пароль учетной записи компьютера в Windows Server 2008 R2.

1. Войдите в Windows Server, используя учетная запись администратора домена
2. Удерживайте логотип Windows и нажмите
3. Введите cmd и нажмите Enter , чтобы открыть командную строку .
4. Введите netdom resetpwd/s: server/ud: domain User/pd: * и нажмите Enter, где s – это имя сервера домена , домен – это имя домена, а Пользователь – это учетная запись пользователя, которая не может подключиться к контроллеру домена
5. Закрыть командную строку
6. Переместить на клиентский компьютер Windows
7. Перезагрузите компьютер с Windows
8. Войдите в систему на компьютере с Windows, используя домен аккаунт пользователя
9. Наслаждайтесь работой на вашем компьютере

Метод 6: сбросить учетную запись компьютера

В этом методе вам нужно будет сбросить учетную запись компьютера с помощью инструмента «Пользователи и компьютеры Active Directory», который интегрирован в серверы с ролью доменных служб Active Directory.. Процедура проста и совместима с серверными операционными системами от Windows Server 2003 до Windows Server 2016.

1. Удерживайте логотип Windows и нажмите R
2. Введите dsa.msc и нажмите Enter , чтобы открыть Пользователи и компьютеры Active Directory
3. Развернуть доменное имя. В нашем примере это
4. Выберите
5. Перейдите к учетной записи компьютера, который не может подключиться к домену. В нашем примере это компьютер
6. Щелкните правой кнопкой мыши на компьютере (Jasmin ) и выберите Сбросить учетную запись
7. Нажмите Да , чтобы подтвердить сброс учетной записи компьютера.
8. Нажмите
9. Закрыть Активно Пользователь каталога и компьютеры
10. Перезагрузите компьютер с Windows 10
11. Войдите в свой domain
12. Наслаждайтесь работой на машине Windows

Метод 7. Выполнение восстановления системы

Мы так много говорили о восстановлении системы, потому что оно много раз помогало нам в устранении неполадок с системой или приложением. Кроме того, восстановление системы может помочь вам решить проблему с возвратом вашей системы в предыдущее состояние, когда все работало правильно. Обратите внимание, что вы не можете восстановить ваш компьютер с Windows до предыдущего состояния, если восстановление системы отключено. Прочтите, как выполнить восстановление системы.