Symptoms
Active DirectoryドメインのメンバーであるWindowsマシンで、ユーザーがドメインにログインしようとすると、次のエラーが表示されます。その後、ユーザーはログイン プロンプトに戻るため、ドメイン ログインは不可能です。
The trust relationship between this workstation and the primary domain failed.
Cause
このエラーは、対象マシンとActive Directory間のセキュア チャネルが切断された場合に発生します。セキュア チャネルは、ドメインに参加しているマシンがドメイン コントローラーと安全に通信するためのメカニズムであり、コンピューター アカウントに関連付けられているパスワードに依存します。
ドメインに参加しているすべてのコンピューターは、Active Directoryにアカウントがあり、すべてのコンピューター アカウントにパスワードが関連付けられています。これらのコンピューター アカウント パスワードは、ユーザー アカウント パスワードとは別のものであり、ユーザーの操作を必要とせずに自動的に管理、同期、更新されます。ただし、状況によっては、コンピューター自体のパスワードのコピーが、Active Directory に格納されているコピーと同期されなくなることがあります。この場合、セキュア チャネルを確立できず、ユーザーがドメインにログインしようとすると、上記のエラーが表示されます。
Resolution
この問題を最も迅速に解決する方法は、該当するマシンをワークグループに追加してドメインから削除し、そのマシンをドメインに再度追加することです。この方法は、次の手順に従って実行できます。
注:次の手順は、悪影響なしで対象マシンをドメインから削除できることを前提としています。マシンの機能的な役割とインストールされているソフトウェアによっては、これが当てはまらない場合があります。また、これらの手順では、影響を受けるマシンのローカル管理者アカウントにログインする必要があります。ローカル管理者アカウントにログインできない場合は、バックアップからシステムをリストアするしかありません。
- 対象マシンのローカル管理アカウントにログインします。
- [システムのプロパティ]ウィンドウを開きます。マシンで実行されているWindowsのバージョンに応じて、これを行うには複数の方法があります。
- Windows Serverで、Server Managerを起動し、左ペインで[Local Server]をクリックし、メインのペインでドメインの名前をクリックします。
- Windowsクライアントで、[スタート]アイコンをクリックして「システムの詳細設定」と入力します。オプションが表示されたら、[システムの詳細設定の表示]を選択します。
- [コンピューター名]タブで、[変更]をクリックします。
- [ワークグループ]を選択し、ワークグループの名前を入力します。これは一時的なワークグループであるため、特定の名前である必要はありません。「OK」をクリックします。
- [OK]をクリックして、表示されるダイアログ ボックスを確認します。
- [閉じる]をクリックして、[システムのプロパティ]ウィンドウを閉じます。可能な場合は、PCを再起動します。
- ログイン プロンプトで、以前と同じローカル管理アカウントにログインします。
- [システムのプロパティ]ウィンドウを開きます。
- [コンピューター名]タブで、[変更]をクリックします。
- [ドメイン]を選択し、Active Directoryドメインの名前を入力します。「OK」をクリックします。
- コンピューターをドメインに追加する権限を持つドメイン ユーザー アカウントの認証情報を入力します。「OK」をクリックします。
- [OK]をクリックして、表示されるダイアログ ボックスを確認します。
- [閉じる]をクリックして、[システムのプロパティ]ウィンドウを閉じます。可能な場合は、PCを再起動します。
- ログイン プロンプトで、エラーを受信せずにドメイン アカウントにログインできることを確認します。
Affected Products
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2