20 correzioni per l’errore “Rapporto di fiducia tra questa workstation e il dominio principale non riuscito”.

Networking / Giugno 9, 2023 / 15 minutes of reading

I servizi Active Directory di Microsoft gestiscono tutti gli utenti, i controller e le altre risorse nel dominio del server Windows. Utilizza nome utente, password e chiavi Secure Shell per identificare gli oggetti della directory.

Si verificherà l’errore “Rapporto di fiducia tra questa workstation e il dominio primario non riuscito” se la chiave segreta privata sul PC è diversa da quella del server AD primario. Ciò comporta che l’utente non sia in grado di accedere al dominio Windows Server.

Di solito accade a causa di computer duplicati o oggetti controller di dominio. Tuttavia, può verificarsi anche a causa di molti altri motivi.

Mostra tutti

Se volete continuare a leggere questo post su "[page_title]" cliccate sul pulsante "Mostra tutti" e potrete leggere il resto del contenuto gratuitamente. ebstomasborba.pt è un sito specializzato in Tecnologia, Notizie, Giochi e molti altri argomenti che potrebbero interessarvi. Se desiderate leggere altre informazioni simili a [page_title], continuate a navigare sul web e iscrivetevi alle notifiche del blog per non perdere le ultime novità.

Seguir leyendo


In questo articolo, spieghiamo tutti i possibili motivi e come risolverli.

Sommario

Cause della relazione di trust tra questa workstation e il dominio principale non riuscita

Ecco le potenziali cause del problema “rapporto di fiducia tra questa workstation e il dominio primario non riuscito”:

  • Presenza di un’altra macchina con lo stesso nome nel dominio AD.
  • Computer non attivo nel dominio per più tempo del periodo di reimpostazione della chiave segreta del dominio.
  • Esecuzione del ripristino del sistema a un punto di ripristino creato prima della reimpostazione della chiave del dominio.
  • Clonazione del computer senza eseguire Sysprep (sysprep rimuove un computer aggiunto al dominio dal dominio).
  • Differenza di tempo tra il client e il dominio.
  • Impostazioni DNS non corrette sul client.
  • Corruzione delle credenziali di AD sull’unità locale.
  • Problemi con il controller di dominio.

Correzioni per la relazione di trust tra questa workstation e il dominio principale non riuscite

Ci sono molte possibili soluzioni che puoi eseguire dal computer locale. Ma per altri, è necessario utilizzare il controller di dominio (DC) o un PC con strumenti RSAT.

Se non hai accesso al controller di dominio, contatta l’amministratore di sistema per chiedere loro di eseguire i relativi metodi di risoluzione dei problemi.

Inoltre, tieni presente che devi accedere al tuo account amministratore locale (non utente di dominio) prima di eseguire le soluzioni dalle workstation.

Sincronizza ora e data

La prima cosa da fare è impostare la data e l’ora corrette. Se ci sono più di 5 minuti di differenza tra il controller di dominio e le workstation, gli utenti non possono autenticarsi ai servizi DC.

Per risolvere questo problema, è necessario sincronizzare correttamente gli orari. La sincronizzazione automatica dell’ora con Internet sul controller di dominio e sulla macchina locale dovrebbe essere sufficiente nella maggior parte dei casi.

Se sono ancora presenti discrepanze, è necessario modificare un oggetto Criteri di gruppo (GPO) nel controller di dominio. Il processo è il seguente:

  1. Apri l’Editor gestione criteri di gruppo.
  2. Vai a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criteri Kerberos .
  3. Fare doppio clic su Tolleranza massima per la sincronizzazione dell’orologio del computer .
  4. Aumentare il tempo e fare clic su OK.

Modifica il nome di dominio

Una possibile soluzione rapida consiste nel modificare il nome di dominio da FQDN a nome NETBIOS. Questo aggiorna la tua workstation sul dominio senza doverla disconnettere e riconnettere. Tuttavia, non funziona per i domini pubblici e funziona solo all’interno di una Active Directory NETBIOS.

Cambiare il nome di dominio da nome NETBIOS a FQDN è anche una buona soluzione se sei connesso a un dominio pubblico e ci sono molti server con lo stesso nome di dominio. L’aggiunta del suffisso ti aiuta a connetterti al dominio esatto che desideri.

Ecco i passaggi necessari per questo metodo:

  1. Premi Win + R per aprire Esegui.
  2. Immettere sysdm.cpl per caricare le proprietà del sistema.
  3. All’interno di Nome computer, seleziona Modifica .
  4. Aggiungi o rimuovi il suffisso (come .local , .net , ecc.) sul nome di dominio e fai clic su OK.

Riavvia il PC e verifica se il problema si ripresenta. In tal caso, o riscontri altri errori, ripristina il nome di dominio e passa alle soluzioni successive.

Riconnettersi al dominio

Un altro modo per risolvere questo problema è separare il computer dal dominio e ricongiungerlo nuovamente. In questo modo vengono rimosse tutte le precedenti credenziali memorizzate dal PC e è possibile memorizzare la chiave segreta valida dopo il ricongiungimento.

Ecco come puoi ricongiungere la tua postazione di lavoro al dominio:

  1. Apri Proprietà del sistema e vai a Nome computer .
  2. Seleziona Modifica .
  3. Seleziona Gruppo di lavoro e inserisci il nome che desideri.
  4. Fare clic su OK e quindi di nuovo su OK.
  5. Riavvia il PC e segui gli stessi passaggi fino a raggiungere Nome computer/Modifiche dominio.
  6. Questa volta, seleziona Dominio e digita il nome del dominio.
  7. Fare clic su OK e inserire le credenziali.

Riavvia il computer e verifica se il problema persiste.

In tal caso, è necessario cancellare i file di registro e riprovare.

  1. Innanzitutto, disconnetti il ​​PC da Internet.
  2. Elimina i file di registro all’interno di C:ProgramDataMicrosoftWindows ServerLogs .
  3. Se utilizzi un software connettore di terze parti per connetterti al dominio, disinstallalo.
  4. Riconnettere il PC al dominio utilizzando i passaggi precedenti.

Verificare la configurazione DHCP

Anche una configurazione DHCP errata può causare questo problema. Devi assicurarti che il DHCP allochi gli indirizzi IP che rientrano nell’ambito dell’indirizzo IP del tuo server di dominio. Ad esempio, se la tua rete configurata è 10.0.0.1/24 , gli indirizzi IP iniziale e finale per il DHCP dovrebbero essere 10.0.0.x .

Per controllare e modificare la configurazione DHCP,

  1. Apri Esegui e immetti dhcpmgmt.msc sul server del controller di dominio.
  2. Vai al tuo server ed espandi IPv4 > Ambito > Pool di indirizzi .
  3. Controllare gli indirizzi IP iniziale e finale.
  4. Fare clic con il pulsante destro del mouse su Ambito e selezionare Proprietà.
  5. Modificare gli indirizzi IP iniziale e finale come richiesto.

Quindi, apri il portale del tuo router su un browser web e vai alle sue impostazioni DHCP. Verifica se tutte le impostazioni sono corrette e apporta le modifiche necessarie.

Salva il controller di dominio nel gestore delle credenziali

Dovresti anche provare a salvare le credenziali del dominio nel gestore delle credenziali. Incontrerai l’errore di attendibilità non riuscita in caso di errori durante l’inserimento manuale delle credenziali.

Se salvi le credenziali nel Credential Manager, sarai in grado di entrare nell’ambiente di dominio senza dover inserire ogni volta la tua password.

Seguire i passaggi seguenti per eseguire questa soluzione:

  1. Apri Esegui e inserisci control /name Microsoft.CredentialManager .
  2. Seleziona Credenziali di Windows > Aggiungi una credenziale di Windows .
  3. Immettere il nome del dominio, il nome utente e la password del dominio e fare clic su OK .

Confermare i requisiti della porta dei servizi di dominio di Active Directory

La relazione di trust fallirà anche se il firewall non dispone delle porte appropriate aperte per consentire alle workstation di comunicare con il controller di dominio. Quindi devi assicurarti che tutte le porte pertinenti siano aperte. È possibile fare riferimento alla documentazione Microsoft sulla configurazione di un firewall per domini e trust di Active Directory per apprendere il processo necessario.

Ricrea oggetto computer su Active Directory

Se Active Directory ha rimosso la tua macchina, non puoi accedere al dominio anche se il tuo PC mostra che fa parte del dominio.

Quindi, devi verificare se è così e, in caso affermativo, ricreare il tuo computer su AD. Ecco come puoi farlo:

  1. Apri corsa (Win + R).
  2. Digita powershell e premi Ctrl + Maiusc + Invio. Carica Windows PowerShell elevato.
  3. Immettere il comando $env:computername per ottenere il nome host.
  4. Quindi, digita Get-ADComputer e premi Invio per verificare se il tuo computer esiste su AD. Assicurati di utilizzare il tuo nome host.
  5. In caso contrario, inserisci il seguente comando mentre sostituisci i valori in base alla tua situazione:
    New-ADComputer -Name "Host Name" -SamAccountName "Host Name" -Path "OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=USER02,DC=COM

Testare e riparare il canale sicuro del computer

Devi verificare se la chiave segreta della tua workstation è la stessa dell’account del tuo computer nel controller di dominio. Un modo per farlo dal computer locale consiste nell’usare il cmdlet Test-ComputerSecureChannel di PowerShell.

Questa è la soluzione migliore se i tuoi problemi sono dovuti alla presenza di un’altra macchina host con lo stesso nome sul controller di dominio.

Ecco i passaggi necessari per il processo:

  1. Apri corsa (Win + R).
  2. Digita powershell e premi Ctrl + Maiusc + Invio. Carica Windows PowerShell elevato.
  3. Immettere il comando Test-ComputerSecureChannel - Verbose
  4. Se rileva problemi, esegui Test-ComputerSecureChannel -Repair

Riavvia il PC, accedi all’account utente del dominio e controlla se il problema persiste.

Reimposta credenziali

Se le credenziali private sulla tua workstation sono diverse da quelle del controller di dominio AD, la soluzione più conveniente è reimpostare le tue credenziali. In questo metodo, il sistema utilizza le credenziali di dominio memorizzate nella cache per ristabilire la fiducia.

A tale scopo è possibile utilizzare il cmdlet Reset-ComputerMachinePassword in Windows PowerShell.

  1. Apri Windows PowerShell con privilegi elevati nel tuo account di amministratore locale.
  2. Immettere il comando $credential = Get-Credential
  3. Digita Reset-ComputerMachinePassword -Credential $credential e premi Invio.

Riavvia il PC, accedi all’account utente del dominio e verifica se riscontri ancora questo problema.

Abilita la memorizzazione nella cache delle credenziali di dominio

Alcuni dei metodi precedenti utilizzano le credenziali del dominio memorizzato nella cache per stabilire l’attendibilità . Quindi, funzionano solo se disponi di credenziali memorizzate nella cache. In caso contrario, l’amministratore del controller di dominio deve reimpostare il computer locale o la relativa password.

È necessario abilitare il processo di memorizzazione nella cache per semplificare la risoluzione di questo problema nel caso in cui si ripresenti in futuro. Ecco come puoi farlo:

  1. Immettere secpol.msc su Esegui.
  2. Vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza .
  3. Fare doppio clic su Accesso interattivo: numero di accessi precedenti da memorizzare nella cache.
  4. Impostare la cache degli accessi su qualsiasi numero desiderato. I valori possibili vanno da 0 a 50.

È inoltre possibile utilizzare l’editor del registro per apportare questa modifica. Fare così,

  1. Apri Esegui e inserisci regedit .
  2. Passare ComputerHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon .
  3. Fare doppio clic su CashedLogonsCount e modificare i dati del valore in base alle proprie preferenze.

Disabilita Ripristino all’avvio

Windows ha una funzione di ripristino che ripristina automaticamente il sistema dopo un’interruzione di corrente. In tale scenario, il ripristino automatico può ripristinare la chiave segreta del dominio memorizzata nel PC.

Quindi, puoi abilitare la politica di avvio per ignorare tutti questi errori per disabilitare la funzione. Ecco come puoi farlo:

  1. Apri il prompt dei comandi come amministratore.
  2. Immettere i seguenti comandi:
    • bcdedit /set recoveryenabled no
    • bcdedit /set bootstatuspolicy ignoreallfailures

Tuttavia, tieni presente che questa funzione è disponibile per la protezione del tuo sistema. Pertanto, non è consigliabile disabilitarlo a meno che non sia necessario.

Modifica l’età della password dell’account macchina

Se è necessario tenere la workstation lontana dal controller di dominio (ad esempio, evitare di accedere al dominio) per lunghi intervalli, sarà necessario risolvere ogni volta il problema di attendibilità.

In tali scenari, è meglio estendere l’età della password per evitare tali problemi.

Ecco come puoi farlo:

  1. Immettere secpol.msc su Esegui.
  2. Vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza .
  3. Fare doppio clic su Membro del dominio: età massima della password dell’account del computer .
  4. Imposta l’età massima in base alle tue necessità. È possibile impostare qualsiasi valore compreso tra 0 e 999.

È inoltre possibile utilizzare l’editor del registro per apportare questa modifica. Fare così,

  1. Apri l’editor del registro inserendo regedit su Esegui.
  2. Passare ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
  3. Fare doppio clic su MaximumPasswordAge e modificare i dati del valore in base alle proprie preferenze.

Se si utilizzano i servizi di provisioning per eseguire lo streaming di software da vDisks, è necessario modificare anche l’età della password dalla relativa console.

  1. Apri la console del server di provisioning nel controller di dominio.
  2. Apri il dominio ed espandi Siti > Sito > Server .
  3. Fai clic con il pulsante destro del mouse sul tuo server e seleziona Proprietà .
  4. Vai alla scheda Opzioni.
  5. Modificare il numero di giorni e fare clic su Ok.

È inoltre possibile disabilitare del tutto il processo di modifica della password abilitando il valore del Registro di sistema DisablePasswordChange o l’oggetto Domain member: Disable machine account password changes group policy object. Tuttavia, non consigliamo questa pratica in quanto potrebbe compromettere la tua privacy.

Cambia la password della macchina dal controller di dominio

Sul lato del controller di dominio, la modifica o la reimpostazione della password per le workstation client dovrebbe risolvere il problema della differenza di credenziali. Ci sono molti modi per farlo, come ad esempio:

Utilizzo di Active Directory

  1. Apri Utenti e computer di Active Directory.
  2. Espandi il dominio e seleziona Utenti .
  3. Fai clic con il pulsante destro del mouse sull’account utente che devi reimpostare e seleziona Reimposta password .
  4. Imposta una nuova password e continua a confermare finché non hai finito.

Utilizzo dell’utilità Netdom

  1. Accedi al server Windows (Domain Controller) utilizzando il tuo account amministratore.
  2. Aprire il prompt dei comandi con privilegi elevati e immettere il comando: netdom resetpwd /s: /ud: /pd:*

Non dimenticare di sostituire e di conseguenza.

Chiedi all’utente del dominio di riavviare il PC e di accedere al proprio account di dominio con una nuova password.

Utilizzo dell’utilità Nltest

  1. Apri il prompt dei comandi con privilegi elevati sul server Windows.
  2. Immettere il comando nltest /sc_change_pwd: sostituendo con il nome della workstation.

Reimposta l’account del computer

Un altro possibile modo per risolvere questo problema reimpostando la workstation dal controller di dominio. Fornisce lo stesso effetto della disunione e del ricongiungimento del computer al controller di dominio.

  1. Apri Esegui.
  2. Immettere dsa.msc per aprire Utenti e computer di Active Directory.
  3. Vai al tuo dominio ed espandi Computers .
  4. Fai clic con il pulsante destro del mouse sul computer dell’utente del dominio e seleziona Reset Account .
  5. Fare clic su Yes e quindi OK .

Chiedi all’utente del computer del dominio di riavviare il PC e di accedere utilizzando l’account di dominio.

Controlla l’integrità del controller di dominio

È anche possibile che questo errore si verifichi a causa di problemi con il controller di dominio stesso. È possibile eseguire il comando dcdiag sulla CLI del server per controllare l’integrità del controller di dominio.

Il risultato di questo comando dovrebbe indicare eventuali problemi con il controller di dominio. Per prima cosa, esegui dcdiag /fix e vedi se aiuta. In caso contrario, applicare i passaggi nelle soluzioni successive a seconda del problema.

Rimuovere il SID del controller di dominio duplicato

In casi normali, un dominio avrà solo SID univoci per il suo controller di dominio. Tuttavia, in alcuni scenari, è possibile che siano presenti SID duplicati. La relazione di trust può fallire in questi casi se la workstation tenta di connettersi all’account sbagliato.

È necessario controllare e rimuovere il controller di dominio duplicato in tale scenario. Fare così,

  1. Apri Esegui e inserisci ntdsutil .
  2. Nella CLI di Ntdsutil, immetti security account management .
  3. Inserisci connect to server .
  4. Immettere il comando check duplicate sid .
  5. Se sono presenti duplicati, inserisci cleanup duplicate sid .
  6. Immettere quit due volte per chiudere l’interfaccia a riga di comando.

Dopo aver rimosso i SID duplicati, ricreare gli account eliminati in Active Directory.

Pulisci i metadati del server

Se hai rimosso forzatamente un servizio di dominio Active Directory senza ripulirne i metadati e hai creato un altro dominio con lo stesso nome, anche le workstation che tentano di connettersi a questo dominio riscontreranno questo problema.

Esistono molti modi per ripulire i metadati del server. Ma il più semplice è usare il comando Ntdsutil. Ecco i passaggi necessari:

  1. Apri Esegui e inserisci ntdsutil .
  2. In Ntdsutil, inserisci metadata cleanup .
  3. Immettere remove selected server durante la sostituzione con il nome del server eliminato.
  4. Immettere quit o q al termine del processo per chiudere l’interfaccia a riga di comando.

Rimuovi gli oggetti persistenti e abilita la coerenza della replica rigorosa

Gli oggetti persistenti sono gli oggetti che gli amministratori del controller di dominio hanno eliminato nel controller. Se il controller di dominio rimane offline per un lungo periodo, è possibile che Active Directory conservi l’oggetto eliminato da altri controller di dominio.

Dopo che il controller di dominio è online, questi oggetti persistenti possono anche essere replicati agli altri controller, causando molti problemi, incluso l’errore di relazione di trust non riuscita.

È necessario rimuovere gli oggetti persistenti per risolvere il problema. È inoltre necessario abilitare Strict Replication Consistency per impedire la replica di oggetti persistenti. Ecco come eseguire entrambi i processi:

  1. Apri il prompt dei comandi con privilegi elevati sul server.
  2. Immettere i seguenti comandi:
    • repadmin /showrepl
    • repadmin /removelingeringobjects /advisory_mode
    • repadmin /removelingeringobjects
    • repadmin /regkey +strict

I primi tre comandi esaminano e rimuovono gli oggetti persistenti e l’ultimo comando abilita la coerenza della replica rigorosa. È inoltre possibile abilitare questo modulo di valore all’interno del percorso di registro ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters .

Abbassare e promuovere nuovamente il controller di dominio

Se i metodi precedenti non risolvono il problema sul controller di dominio, è necessario abbassarlo di livello e promuoverlo nuovamente per reimpostare il controller. Per prima cosa, abbassa di livello il controller di dominio seguendo i passaggi seguenti:

  1. Immettere dsa.msc su Esegui.
  2. Vai al tuo dominio ed espandi Controller di dominio .
  3. Fai clic con il pulsante destro del mouse sul dominio e seleziona Elimina .
  4. Seleziona Elimina comunque questo controller di dominio e seleziona Elimina .

Se sei su un server Windows prima del 2008, devi ripulire i metadati del server. Nelle versioni successive, questo processo avviene automaticamente se si utilizza questo metodo.

Nota: se si desidera retrocedere il controller di dominio in modo permanente, è necessario utilizzare un metodo diverso. Fare riferimento alla documentazione Microsoft sull’abbassamento di livello dei controller di dominio e dei domini per apprendere i passaggi necessari.

Successivamente, esegui DCPromo (Domain Controller Promoter) e segui le istruzioni sullo schermo per promuovere nuovamente il controller di dominio.

Risolvere i problemi relativi al rollback dell’USN

Questo problema può verificarsi anche se esegui il rollback di un controller di dominio di Windows Server con un’installazione basata su immagine del sistema operativo nel server. Questo problema è chiamato rollback USN e fa sì che le modifiche apportate su un controller di dominio non vengano replicate su altri.

Non è possibile stabilire se si siano verificati problemi causali menzionati nelle sezioni precedenti dopo un rollback dell’USN. È perché gli altri controller di dominio ritengono di avere il database più aggiornato. Quindi non aggiornano le password che provengono dal controller di dominio di cui è stato eseguito il rollback.

È possibile verificare se si è verificato un rollback USN dalla voce di registro Dsa Not Writable all’interno di ComputerHKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters . Se mostra 4 o 0x4, indica il rollback dell’USN.

Per risolvere questo problema, è necessario eseguire le seguenti operazioni:

  1. Abbassa il controller di dominio e spegni il suo server.
  2. Pulisci i metadati se necessario.
  3. Trasferisci i ruoli FSMO a un altro controller di dominio, se applicabile.
  4. Riavvia il controller di dominio che ha subito il rollback e ritrasferisci i ruoli FSMO.

È inoltre possibile ripristinare il controller di dominio allo stato precedente al rollback se si dispone di un backup dello stato del sistema.

Messaggi correlati