Symptoms
На комп'ютері з ОС Windows, який є учасником домену Active Directory, відображається наведена нижче помилка, коли користувач намагається ввійти в домен. Після цього користувач повертається до запиту на вхід, тому вхід у домен неможливий.
The trust relationship between this workstation and the primary domain failed.
Cause
Ця помилка виникає, коли захищений канал між ураженим комп'ютером і Active Directory пошкоджено. Захищений канал — це механізм, за допомогою якого комп'ютери, приєднані до домену, безпечно обмінюються даними з контролерами домену, і він покладається на пароль, пов'язаний з обліковим записом комп'ютера.
Кожен комп'ютер, приєднаний до домену, має обліковий запис в Active Directory, і з кожним обліковим записом комп'ютера пов'язаний пароль. Ці паролі облікових записів комп'ютерів відокремлені від паролів облікових записів користувачів і керуються, синхронізуються та оновлюються автоматично без необхідності втручання користувача. Однак у деяких ситуаціях власна копія пароля комп'ютера розсинхронізується з копією, яка зберігається в Active Directory. Коли це відбувається, захищений канал не може бути встановлений, і вищезазначена помилка відображається, коли користувач намагається увійти в домен.
Resolution
Найшвидший спосіб вирішити цю проблему – видалити уражений комп'ютер із домену, додавши його до робочої групи, а потім повторно додати до домену. Це можна зробити за допомогою наступних кроків:
Примітка: Наступні кроки припускають, що уражений комп'ютер можна видалити з домену без будь-яких негативних наслідків. Залежно від функціональної ролі машини та встановленого на ній програмного забезпечення це може бути неправдою. Крім того, ці кроки вимагають входу в локальний адміністративний обліковий запис на ураженому комп'ютері. Якщо вхід до локального адміністративного облікового запису неможливий, відновлення системи з резервної копії, швидше за все, буде єдиним варіантом.
- Увійдіть до локального адміністративного облікового запису на ураженому комп'ютері.
- Відкрийте вікно «Властивості системи». Залежно від версії Windows, запущеної на комп'ютері, це можна зробити кількома способами.
- У Windows Server запустіть диспетчер серверів, виберіть пункт Локальний сервер в області ліворуч і клацніть ім'я домену на головній панелі.
- У клієнті Windows клацніть піктограму «Пуск» і почніть вводити додаткові параметри системи. Виберіть Переглянути додаткові параметри системи , коли з'явиться відповідний параметр.
- На вкладці Ім'я комп'ютера натисніть кнопку Змінити .
- Виберіть пункт Робоча група та введіть ім'я робочої групи. Конкретна назва не має значення, так як це тимчасова робоча група. Натисніть кнопку «OK».
- Натисніть кнопку ОК, щоб підтвердити діалогові вікна, що з'являться.
- Натисніть кнопку Закрити , щоб закрити вікно «Властивості системи». Перезавантажте комп'ютер, коли зможете.
- За допомогою запиту входу увійдіть до того самого локального адміністративного облікового запису, що й раніше.
- Відкрийте вікно «Властивості системи».
- На вкладці Ім'я комп'ютера натисніть кнопку Змінити .
- Виберіть пункт Домен і введіть ім'я домену Active Directory. Натисніть кнопку «OK».
- Укажіть облікові дані облікового запису користувача домену, який має дозвіл на додавання комп'ютера до домену. Натисніть кнопку «OK».
- Натисніть кнопку ОК, щоб підтвердити діалогові вікна, що з'являться.
- Натисніть кнопку Закрити , щоб закрити вікно «Властивості системи». Перезавантажте комп'ютер, коли зможете.
- У запиті на вхід підтвердьте, що тепер ви можете ввійти в обліковий запис домену, не отримуючи повідомлення про помилку.
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2