Symptoms
На компьютере Windows, который является членом домена Active Directory, при попытке пользователя войти в домен отображается следующая ошибка. Затем пользователь возвращается к запросу на вход, поэтому вход в домен невозможен.
The trust relationship between this workstation and the primary domain failed.
Cause
Эта ошибка возникает, когда поврежден защищенный канал между затронутым компьютером и Active Directory. Защищенный канал — это механизм, с помощью которого компьютеры, присоединенные к домену, безопасно взаимодействуют с контроллерами домена. Он полагается на пароль, связанный с учетной записью компьютера.
У каждого компьютера, присоединенного к домену, есть учетная запись в Active Directory, и у каждой учетной записи компьютера есть относящийся к ней пароль. Пароли учетных записей компьютеров отделены от паролей учетных записей пользователей и управляются, синхронизируются и обновляются автоматически без необходимости вмешательства пользователя. Однако в некоторых ситуациях происходит рассинхронизация собственной копии пароля компьютера с копией, хранящейся в Active Directory. В этом случае защищенный канал установить невозможно, и при попытке пользователя войти в домен отображается указанная выше ошибка.
Resolution
Самый быстрый способ решить эту проблему — удалить затронутый компьютер из домена, добавив его в рабочую группу, а затем повторно добавить его к домену. Для этого выполните следующие действия.
Примечание.: Следующие действия предполагают, что затронутый компьютер можно удалить из домена без негативных последствий. В зависимости от функциональной роли компьютера и установленного на нем программного обеспечения это может быть не так. Кроме того, для выполнения этих действий требуется войти в локальную административную учетную запись на затронутом компьютере. Если вход в локальную административную учетную запись невозможен, единственным вариантом будет восстановление системы из резервной копии.
- Войдите в локальную административную учетную запись на затронутом компьютере.
- Запустите окно «Свойства системы». В зависимости от версии Windows, установленной на компьютере, это можно сделать несколькими способами.
- В Windows Server запустите «Диспетчер сервера», нажмите Локальный сервер на левой панели и выберите имя домена на главной панели.
- На клиенте Windows щелкните значок «Пуск» и начните вводить дополнительные параметры системы. Выберите Просмотр расширенных параметров системы при появлении этого параметра.
- На вкладке Имя компьютера нажмите кнопку Изменить.
- Выберите Рабочая группа и введите имя рабочей группы. Не имеет значения, какое вы укажете имя, так как это временная рабочая группа. Нажмите OK.
- Нажмите OK, чтобы подтвердить выбор в появляющихся диалоговых окнах.
- Нажмите кнопку Закрыть, чтобы закрыть окно «Свойства системы». Перезагрузите компьютер, когда это возможно.
- При появлении запроса на вход войдите в ту же локальную административную учетную запись, что и раньше.
- Запустите окно «Свойства системы».
- На вкладке Имя компьютера нажмите кнопку Изменить.
- Выберите Домен и введите имя домена Active Directory. Нажмите OK.
- Укажите учетные данные для учетной записи пользователя домена, которая обладает разрешением на добавление компьютера в домен. Нажмите OK.
- Нажмите OK, чтобы подтвердить выбор в появляющихся диалоговых окнах.
- Нажмите кнопку Закрыть, чтобы закрыть окно «Свойства системы». Перезагрузите компьютер, когда это возможно.
- При появлении запроса на вход подтвердите, что теперь вы можете войти в учетную запись домена без получения сообщения об ошибке.
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2