Symptoms
当用户尝试登录到域时,作为 Active Directory 域成员的 Windows 计算机会显示以下错误。然后,用户将返回到登录提示处,因此无法进行域登录。
The trust relationship between this workstation and the primary domain failed.
Cause
当受影响的计算机与 Active Directory 之间的安全通道断开时,会发生此错误。安全通道是加入域的计算机与域控制器安全通信的机制,它依赖于与计算机帐户关联的密码。
每个加入域的计算机在 Active Directory 中都有一个帐户,并且每个计算机帐户都有一个关联的密码。这些计算机帐户密码独立于用户帐户密码,可自动管理、同步和更新,无需用户交互。但是,在某些情况下,计算机自己的密码副本与存储在 Active Directory 中的副本不同步。发生这种情况时,无法建立安全通道,并在用户尝试登录域时显示上述错误。
Resolution
解决此问题的最快方法是通过将受影响的计算机添加到工作组来将其从域中移除,然后再将它重新添加到域中。具体的操作步骤如下:
提醒:以下步骤假定受影响的计算机可以从域中移除,而不会产生不良后果。根据计算机的功能角色及其上安装的软件,这可能不是真的。此外,这些步骤还需要登录受影响计算机上的本地管理帐户。如果无法登录到本地管理帐户,则从备份还原系统可能是唯一的选择。
- 登录到受影响计算机上的本地管理帐户。
- 启动“系统属性”窗口。根据计算机上运行的 Windows 版本,有多种方法可以完成此操作。
- 在 Windows Server 中,启动服务器管理器,单击左侧窗格中的本地服务器,然后单击主窗格中的域名称。
- 在 Windows 客户端上,单击开始图标并键入高级系统设置。当查看高级系统设置选项出现时,选择该选项。
- 在计算机名称选项卡中,单击更改按钮。
- 选择工作组并键入工作组的名称。具体名称并不重要,因为这是一个临时工作组。单击确定。
- 单击确定以确认显示的对话框。
- 单击关闭以关闭“系统属性”窗口。重新启动计算机(如果可以的话)。
- 在登录提示符处,登录到与之前相同的本地管理帐户。
- 启动“系统属性”窗口。
- 在计算机名称选项卡中,单击更改按钮。
- 选择域并键入 Active Directory 域的名称。单击确定。
- 提供有权将计算机添加到域的域用户帐户的凭据。单击确定。
- 单击确定以确认显示的对话框。
- 单击关闭以关闭“系统属性”窗口。重新启动计算机(如果可以的话)。
- 在登录提示符处,确认您现在可以登录到域帐户,而不会收到错误。
Affected Products
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2