I servizi Active Directory di Microsoft gestiscono tutti gli utenti, i controller e le altre risorse nel dominio del server Windows. Utilizza nome utente, password e chiavi Secure Shell per identificare gli oggetti della directory.
Si verificherà l’errore “Rapporto di fiducia tra questa workstation e il dominio primario non riuscito” se la chiave segreta privata sul PC è diversa da quella del server AD primario. Ciò comporta che l’utente non sia in grado di accedere al dominio Windows Server.
Di solito accade a causa di computer duplicati o oggetti controller di dominio. Tuttavia, può verificarsi anche a causa di molti altri motivi.
Se volete continuare a leggere questo post su "[page_title]" cliccate sul pulsante "Mostra tutti" e potrete leggere il resto del contenuto gratuitamente. ebstomasborba.pt è un sito specializzato in Tecnologia, Notizie, Giochi e molti altri argomenti che potrebbero interessarvi. Se desiderate leggere altre informazioni simili a [page_title], continuate a navigare sul web e iscrivetevi alle notifiche del blog per non perdere le ultime novità .
In questo articolo, spieghiamo tutti i possibili motivi e come risolverli.
Sommario
Cause della relazione di trust tra questa workstation e il dominio principale non riuscita
Ecco le potenziali cause del problema “rapporto di fiducia tra questa workstation e il dominio primario non riuscito”:
- Presenza di un’altra macchina con lo stesso nome nel dominio AD.
- Computer non attivo nel dominio per più tempo del periodo di reimpostazione della chiave segreta del dominio.
- Esecuzione del ripristino del sistema a un punto di ripristino creato prima della reimpostazione della chiave del dominio.
- Clonazione del computer senza eseguire Sysprep (sysprep rimuove un computer aggiunto al dominio dal dominio).
- Differenza di tempo tra il client e il dominio.
- Impostazioni DNS non corrette sul client.
- Corruzione delle credenziali di AD sull’unità locale.
- Problemi con il controller di dominio.
Correzioni per la relazione di trust tra questa workstation e il dominio principale non riuscite
Ci sono molte possibili soluzioni che puoi eseguire dal computer locale. Ma per altri, è necessario utilizzare il controller di dominio (DC) o un PC con strumenti RSAT.
Se non hai accesso al controller di dominio, contatta l’amministratore di sistema per chiedere loro di eseguire i relativi metodi di risoluzione dei problemi.
Inoltre, tieni presente che devi accedere al tuo account amministratore locale (non utente di dominio) prima di eseguire le soluzioni dalle workstation.
Sincronizza ora e data
La prima cosa da fare è impostare la data e l’ora corrette. Se ci sono più di 5 minuti di differenza tra il controller di dominio e le workstation, gli utenti non possono autenticarsi ai servizi DC.
Per risolvere questo problema, è necessario sincronizzare correttamente gli orari. La sincronizzazione automatica dell’ora con Internet sul controller di dominio e sulla macchina locale dovrebbe essere sufficiente nella maggior parte dei casi.
Se sono ancora presenti discrepanze, è necessario modificare un oggetto Criteri di gruppo (GPO) nel controller di dominio. Il processo è il seguente:
- Apri l’Editor gestione criteri di gruppo.
- Vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criteri Kerberos .
- Fare doppio clic su Tolleranza massima per la sincronizzazione dell’orologio del computer .
- Aumentare il tempo e fare clic su OK.
Modifica il nome di dominio
Una possibile soluzione rapida consiste nel modificare il nome di dominio da FQDN a nome NETBIOS. Questo aggiorna la tua workstation sul dominio senza doverla disconnettere e riconnettere. Tuttavia, non funziona per i domini pubblici e funziona solo all’interno di una Active Directory NETBIOS.
Cambiare il nome di dominio da nome NETBIOS a FQDN è anche una buona soluzione se sei connesso a un dominio pubblico e ci sono molti server con lo stesso nome di dominio. L’aggiunta del suffisso ti aiuta a connetterti al dominio esatto che desideri.
Ecco i passaggi necessari per questo metodo:
- Premi Win + R per aprire Esegui.
- Immettere
sysdm.cpl
per caricare le proprietà del sistema. - All’interno di Nome computer, seleziona Modifica .
- Aggiungi o rimuovi il suffisso (come
.local
,.net
, ecc.) sul nome di dominio e fai clic su OK.
Riavvia il PC e verifica se il problema si ripresenta. In tal caso, o riscontri altri errori, ripristina il nome di dominio e passa alle soluzioni successive.
Riconnettersi al dominio
Un altro modo per risolvere questo problema è separare il computer dal dominio e ricongiungerlo nuovamente. In questo modo vengono rimosse tutte le precedenti credenziali memorizzate dal PC e è possibile memorizzare la chiave segreta valida dopo il ricongiungimento.
Ecco come puoi ricongiungere la tua postazione di lavoro al dominio:
- Apri Proprietà del sistema e vai a Nome computer .
- Seleziona Modifica .
- Seleziona Gruppo di lavoro e inserisci il nome che desideri.
- Fare clic su OK e quindi di nuovo su OK.
- Riavvia il PC e segui gli stessi passaggi fino a raggiungere Nome computer/Modifiche dominio.
- Questa volta, seleziona Dominio e digita il nome del dominio.
- Fare clic su OK e inserire le credenziali.
Riavvia il computer e verifica se il problema persiste.
In tal caso, è necessario cancellare i file di registro e riprovare.
- Innanzitutto, disconnetti il ​​PC da Internet.
- Elimina i file di registro all’interno di
C:ProgramDataMicrosoftWindows ServerLogs
. - Se utilizzi un software connettore di terze parti per connetterti al dominio, disinstallalo.
- Riconnettere il PC al dominio utilizzando i passaggi precedenti.
Verificare la configurazione DHCP
Anche una configurazione DHCP errata può causare questo problema. Devi assicurarti che il DHCP allochi gli indirizzi IP che rientrano nell’ambito dell’indirizzo IP del tuo server di dominio. Ad esempio, se la tua rete configurata è 10.0.0.1/24
, gli indirizzi IP iniziale e finale per il DHCP dovrebbero essere 10.0.0.x
.
Per controllare e modificare la configurazione DHCP,
- Apri Esegui e immetti
dhcpmgmt.msc
sul server del controller di dominio. - Vai al tuo server ed espandi IPv4 > Ambito > Pool di indirizzi .
- Controllare gli indirizzi IP iniziale e finale.
- Fare clic con il pulsante destro del mouse su Ambito e selezionare Proprietà .
- Modificare gli indirizzi IP iniziale e finale come richiesto.
Quindi, apri il portale del tuo router su un browser web e vai alle sue impostazioni DHCP. Verifica se tutte le impostazioni sono corrette e apporta le modifiche necessarie.
Salva il controller di dominio nel gestore delle credenziali
Dovresti anche provare a salvare le credenziali del dominio nel gestore delle credenziali. Incontrerai l’errore di attendibilità non riuscita in caso di errori durante l’inserimento manuale delle credenziali.
Se salvi le credenziali nel Credential Manager, sarai in grado di entrare nell’ambiente di dominio senza dover inserire ogni volta la tua password.
Seguire i passaggi seguenti per eseguire questa soluzione:
- Apri Esegui e inserisci
control /name Microsoft.CredentialManager
. - Seleziona Credenziali di Windows > Aggiungi una credenziale di Windows .
- Immettere il nome del dominio, il nome utente e la password del dominio e fare clic su OK .
Confermare i requisiti della porta dei servizi di dominio di Active Directory
La relazione di trust fallirà anche se il firewall non dispone delle porte appropriate aperte per consentire alle workstation di comunicare con il controller di dominio. Quindi devi assicurarti che tutte le porte pertinenti siano aperte. È possibile fare riferimento alla documentazione Microsoft sulla configurazione di un firewall per domini e trust di Active Directory per apprendere il processo necessario.
Ricrea oggetto computer su Active Directory
Se Active Directory ha rimosso la tua macchina, non puoi accedere al dominio anche se il tuo PC mostra che fa parte del dominio.
Quindi, devi verificare se è così e, in caso affermativo, ricreare il tuo computer su AD. Ecco come puoi farlo:
- Apri corsa (Win + R).
- Digita
powershell
e premi Ctrl + Maiusc + Invio. Carica Windows PowerShell elevato. - Immettere il comando
$env:computername
per ottenere il nome host. - Quindi, digita
Get-ADComputer
e premi Invio per verificare se il tuo computer esiste su AD. Assicurati di utilizzare il tuo nome host. - In caso contrario, inserisci il seguente comando mentre sostituisci i valori in base alla tua situazione:
New-ADComputer -Name "Host Name" -SamAccountName "Host Name" -Path "OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=USER02,DC=COM
Testare e riparare il canale sicuro del computer
Devi verificare se la chiave segreta della tua workstation è la stessa dell’account del tuo computer nel controller di dominio. Un modo per farlo dal computer locale consiste nell’usare il cmdlet Test-ComputerSecureChannel
di PowerShell.
Questa è la soluzione migliore se i tuoi problemi sono dovuti alla presenza di un’altra macchina host con lo stesso nome sul controller di dominio.
Ecco i passaggi necessari per il processo:
- Apri corsa (Win + R).
- Digita
powershell
e premi Ctrl + Maiusc + Invio. Carica Windows PowerShell elevato. - Immettere il comando
Test-ComputerSecureChannel - Verbose
- Se rileva problemi, esegui
Test-ComputerSecureChannel -Repair
Riavvia il PC, accedi all’account utente del dominio e controlla se il problema persiste.
Reimposta credenziali
Se le credenziali private sulla tua workstation sono diverse da quelle del controller di dominio AD, la soluzione più conveniente è reimpostare le tue credenziali. In questo metodo, il sistema utilizza le credenziali di dominio memorizzate nella cache per ristabilire la fiducia.
A tale scopo è possibile utilizzare il cmdlet Reset-ComputerMachinePassword
in Windows PowerShell.
- Apri Windows PowerShell con privilegi elevati nel tuo account di amministratore locale.
- Immettere il comando
$credential = Get-Credential
- Digita
Reset-ComputerMachinePassword -Credential $credential
e premi Invio.
Riavvia il PC, accedi all’account utente del dominio e verifica se riscontri ancora questo problema.
Abilita la memorizzazione nella cache delle credenziali di dominio
Alcuni dei metodi precedenti utilizzano le credenziali del dominio memorizzato nella cache per stabilire l’attendibilità . Quindi, funzionano solo se disponi di credenziali memorizzate nella cache. In caso contrario, l’amministratore del controller di dominio deve reimpostare il computer locale o la relativa password.
È necessario abilitare il processo di memorizzazione nella cache per semplificare la risoluzione di questo problema nel caso in cui si ripresenti in futuro. Ecco come puoi farlo:
- Immettere
secpol.msc
su Esegui. - Vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza .
- Fare doppio clic su Accesso interattivo: numero di accessi precedenti da memorizzare nella cache.
- Impostare la cache degli accessi su qualsiasi numero desiderato. I valori possibili vanno da 0 a 50.
È inoltre possibile utilizzare l’editor del registro per apportare questa modifica. Fare così,
- Apri Esegui e inserisci
regedit
. - Passare
ComputerHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
. - Fare doppio clic su CashedLogonsCount e modificare i dati del valore in base alle proprie preferenze.
Disabilita Ripristino all’avvio
Windows ha una funzione di ripristino che ripristina automaticamente il sistema dopo un’interruzione di corrente. In tale scenario, il ripristino automatico può ripristinare la chiave segreta del dominio memorizzata nel PC.
Quindi, puoi abilitare la politica di avvio per ignorare tutti questi errori per disabilitare la funzione. Ecco come puoi farlo:
- Apri il prompt dei comandi come amministratore.
- Immettere i seguenti comandi:
-
bcdedit /set recoveryenabled no
-
bcdedit /set bootstatuspolicy ignoreallfailures
-
Tuttavia, tieni presente che questa funzione è disponibile per la protezione del tuo sistema. Pertanto, non è consigliabile disabilitarlo a meno che non sia necessario.
Modifica l’età della password dell’account macchina
Se è necessario tenere la workstation lontana dal controller di dominio (ad esempio, evitare di accedere al dominio) per lunghi intervalli, sarà necessario risolvere ogni volta il problema di attendibilità .
In tali scenari, è meglio estendere l’età della password per evitare tali problemi.
Ecco come puoi farlo:
- Immettere
secpol.msc
su Esegui. - Vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza .
- Fare doppio clic su Membro del dominio: età massima della password dell’account del computer .
- Imposta l’età massima in base alle tue necessità . È possibile impostare qualsiasi valore compreso tra 0 e 999.
È inoltre possibile utilizzare l’editor del registro per apportare questa modifica. Fare così,
- Apri l’editor del registro inserendo
regedit
su Esegui. - Passare
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
- Fare doppio clic su MaximumPasswordAge e modificare i dati del valore in base alle proprie preferenze.
Se si utilizzano i servizi di provisioning per eseguire lo streaming di software da vDisks, è necessario modificare anche l’età della password dalla relativa console.
- Apri la console del server di provisioning nel controller di dominio.
- Apri il dominio ed espandi Siti > Sito > Server .
- Fai clic con il pulsante destro del mouse sul tuo server e seleziona Proprietà .
- Vai alla scheda Opzioni.
- Modificare il numero di giorni e fare clic su Ok.
È inoltre possibile disabilitare del tutto il processo di modifica della password abilitando il valore del Registro di sistema DisablePasswordChange o l’oggetto Domain member: Disable machine account password changes group policy object. Tuttavia, non consigliamo questa pratica in quanto potrebbe compromettere la tua privacy.
Cambia la password della macchina dal controller di dominio
Sul lato del controller di dominio, la modifica o la reimpostazione della password per le workstation client dovrebbe risolvere il problema della differenza di credenziali. Ci sono molti modi per farlo, come ad esempio:
Utilizzo di Active Directory
- Apri Utenti e computer di Active Directory.
- Espandi il dominio e seleziona Utenti .
- Fai clic con il pulsante destro del mouse sull’account utente che devi reimpostare e seleziona Reimposta password .
- Imposta una nuova password e continua a confermare finché non hai finito.
Utilizzo dell’utilità Netdom
- Accedi al server Windows (Domain Controller) utilizzando il tuo account amministratore.
- Aprire il prompt dei comandi con privilegi elevati e immettere il comando:
netdom resetpwd /s:
/ud: /pd:*
Non dimenticare di sostituire
Chiedi all’utente del dominio di riavviare il PC e di accedere al proprio account di dominio con una nuova password.
Utilizzo dell’utilità Nltest
- Apri il prompt dei comandi con privilegi elevati sul server Windows.
- Immettere il comando
nltest /sc_change_pwd:
sostituendocon il nome della workstation.
Reimposta l’account del computer
Un altro possibile modo per risolvere questo problema reimpostando la workstation dal controller di dominio. Fornisce lo stesso effetto della disunione e del ricongiungimento del computer al controller di dominio.
- Apri Esegui.
- Immettere
dsa.msc
per aprire Utenti e computer di Active Directory. - Vai al tuo dominio ed espandi
Computers
. - Fai clic con il pulsante destro del mouse sul computer dell’utente del dominio e seleziona
Reset Account
. - Fare clic su
Yes
e quindiOK
.
Chiedi all’utente del computer del dominio di riavviare il PC e di accedere utilizzando l’account di dominio.
Controlla l’integrità del controller di dominio
È anche possibile che questo errore si verifichi a causa di problemi con il controller di dominio stesso. È possibile eseguire il comando dcdiag
sulla CLI del server per controllare l’integrità del controller di dominio.
Il risultato di questo comando dovrebbe indicare eventuali problemi con il controller di dominio. Per prima cosa, esegui dcdiag /fix
e vedi se aiuta. In caso contrario, applicare i passaggi nelle soluzioni successive a seconda del problema.
Rimuovere il SID del controller di dominio duplicato
In casi normali, un dominio avrà solo SID univoci per il suo controller di dominio. Tuttavia, in alcuni scenari, è possibile che siano presenti SID duplicati. La relazione di trust può fallire in questi casi se la workstation tenta di connettersi all’account sbagliato.
È necessario controllare e rimuovere il controller di dominio duplicato in tale scenario. Fare così,
- Apri Esegui e inserisci
ntdsutil
. - Nella CLI di Ntdsutil, immetti
security account management
. - Inserisci
connect to server
. - Immettere il comando
check duplicate sid
. - Se sono presenti duplicati, inserisci
cleanup duplicate sid
. - Immettere
quit
due volte per chiudere l’interfaccia a riga di comando.
Dopo aver rimosso i SID duplicati, ricreare gli account eliminati in Active Directory.
Pulisci i metadati del server
Se hai rimosso forzatamente un servizio di dominio Active Directory senza ripulirne i metadati e hai creato un altro dominio con lo stesso nome, anche le workstation che tentano di connettersi a questo dominio riscontreranno questo problema.
Esistono molti modi per ripulire i metadati del server. Ma il più semplice è usare il comando Ntdsutil. Ecco i passaggi necessari:
- Apri Esegui e inserisci
ntdsutil
. - In Ntdsutil, inserisci
metadata cleanup
. - Immettere
remove selected server
durante la sostituzione con il nome del server eliminato. - Immettere
quit
oq
al termine del processo per chiudere l’interfaccia a riga di comando.
Rimuovi gli oggetti persistenti e abilita la coerenza della replica rigorosa
Gli oggetti persistenti sono gli oggetti che gli amministratori del controller di dominio hanno eliminato nel controller. Se il controller di dominio rimane offline per un lungo periodo, è possibile che Active Directory conservi l’oggetto eliminato da altri controller di dominio.
Dopo che il controller di dominio è online, questi oggetti persistenti possono anche essere replicati agli altri controller, causando molti problemi, incluso l’errore di relazione di trust non riuscita.
È necessario rimuovere gli oggetti persistenti per risolvere il problema. È inoltre necessario abilitare Strict Replication Consistency per impedire la replica di oggetti persistenti. Ecco come eseguire entrambi i processi:
- Apri il prompt dei comandi con privilegi elevati sul server.
- Immettere i seguenti comandi:
-
repadmin /showrepl
-
repadmin /removelingeringobjects
/advisory_mode -
repadmin /removelingeringobjects
-
repadmin /regkey
+strict
-
I primi tre comandi esaminano e rimuovono gli oggetti persistenti e l’ultimo comando abilita la coerenza della replica rigorosa. È inoltre possibile abilitare questo modulo di valore all’interno del percorso di registro ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters
.
Abbassare e promuovere nuovamente il controller di dominio
Se i metodi precedenti non risolvono il problema sul controller di dominio, è necessario abbassarlo di livello e promuoverlo nuovamente per reimpostare il controller. Per prima cosa, abbassa di livello il controller di dominio seguendo i passaggi seguenti:
- Immettere
dsa.msc
su Esegui. - Vai al tuo dominio ed espandi Controller di dominio .
- Fai clic con il pulsante destro del mouse sul dominio e seleziona Elimina .
- Seleziona Elimina comunque questo controller di dominio e seleziona Elimina .
Se sei su un server Windows prima del 2008, devi ripulire i metadati del server. Nelle versioni successive, questo processo avviene automaticamente se si utilizza questo metodo.
Nota: se si desidera retrocedere il controller di dominio in modo permanente, è necessario utilizzare un metodo diverso. Fare riferimento alla documentazione Microsoft sull’abbassamento di livello dei controller di dominio e dei domini per apprendere i passaggi necessari.
Successivamente, esegui DCPromo (Domain Controller Promoter) e segui le istruzioni sullo schermo per promuovere nuovamente il controller di dominio.
Risolvere i problemi relativi al rollback dell’USN
Questo problema può verificarsi anche se esegui il rollback di un controller di dominio di Windows Server con un’installazione basata su immagine del sistema operativo nel server. Questo problema è chiamato rollback USN e fa sì che le modifiche apportate su un controller di dominio non vengano replicate su altri.
Non è possibile stabilire se si siano verificati problemi causali menzionati nelle sezioni precedenti dopo un rollback dell’USN. È perché gli altri controller di dominio ritengono di avere il database più aggiornato. Quindi non aggiornano le password che provengono dal controller di dominio di cui è stato eseguito il rollback.
È possibile verificare se si è verificato un rollback USN dalla voce di registro Dsa Not Writable all’interno di ComputerHKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
. Se mostra 4 o 0x4, indica il rollback dell’USN.
Per risolvere questo problema, è necessario eseguire le seguenti operazioni:
- Abbassa il controller di dominio e spegni il suo server.
- Pulisci i metadati se necessario.
- Trasferisci i ruoli FSMO a un altro controller di dominio, se applicabile.
- Riavvia il controller di dominio che ha subito il rollback e ritrasferisci i ruoli FSMO.
È inoltre possibile ripristinare il controller di dominio allo stato precedente al rollback se si dispone di un backup dello stato del sistema.