Symptoms
Komputer z systemem Windows, który jest członkiem domeny usługi Active Directory, wyświetla poniższy błąd, gdy użytkownik próbuje zalogować się do domeny. Użytkownik następnie wraca do monitu logowania, więc logowanie do domeny nie jest możliwe.
The trust relationship between this workstation and the primary domain failed.
Cause
Ten błąd występuje, gdy bezpieczny kanał między komputerem, którego dotyczy problem, a usługą Active Directory jest uszkodzony. Bezpieczny kanał to mechanizm, za pomocą którego komputery przyłączone do domeny komunikują się bezpiecznie z kontrolerami domeny. Opiera się on na haśle powiązanym z kontem komputera.
Każdy komputer przyłączony do domeny ma konto w usłudze Active Directory, a każde konto komputera ma przypisane hasło. Hasła do kont komputerów są oddzielone od haseł konta użytkownika i są zarządzane, zsynchronizowane i aktualizowane automatycznie bez ingerencji użytkownika. Jednakże w niektórych sytuacjach własna kopia hasła komputera staje się niezsynchronizowana z kopią przechowywaną w usłudze Active Directory. W takim przypadku nie można ustanowić bezpiecznego kanału, a powyższy błąd jest wyświetlany, gdy użytkownik próbuje zalogować się do domeny.
Resolution
Najszybszym sposobem rozwiązania tego problemu jest usunięcie z domeny komputera, którego dotyczy problem, poprzez dodanie go do grupy roboczej, a następnie ponowne dodanie go do domeny. Można to zrobić w następujący sposób:
Uwaga: poniższe kroki zakładają, że komputer, którego dotyczy problem, można usunąć z domeny bez niepożądanych konsekwencji. W zależności od roli funkcjonalnej maszyny i zainstalowanego na niej oprogramowania może to nie być prawdą. Czynności te wymagają również zalogowania się do lokalnego konta administracyjnego na komputerze, którego dotyczy problem. Jeśli zalogowanie się do lokalnego konta administracyjnego nie jest możliwe, przywrócenie systemu z kopii zapasowej jest prawdopodobnie jedyną opcją.
- Zaloguj się do lokalnego konta administracyjnego na komputerze, którego dotyczy problem.
- Otwórz okno Właściwości systemu. W zależności od wersji systemu Windows uruchomionej na komputerze istnieje wiele sposobów wykonania tej czynności.
- W systemie Windows Server uruchom Menedżera serwera, kliknij opcję Serwer lokalny w lewym okienku i kliknij nazwę domeny w głównym okienku.
- W kliencie Windows kliknij ikonę Start i rozpocznij wpisywanie zaawansowanych ustawień systemu. Wybierz opcję Wyświetl zaawansowane ustawienia systemu, gdy pojawi się ta opcja.
- Na karcie Nazwa komputera kliknij przycisk Zmień.
- Wybierz opcję Grupa robocza i wpisz nazwę grupy roboczej. Konkretna nazwa nie ma znaczenia, ponieważ jest to tymczasowa grupa robocza. Kliknij przycisk OK.
- Kliknij przycisk OK, aby potwierdzić wyświetlone okna dialogowe.
- Kliknij przycisk Zamknij, aby zamknąć okno właściwości systemu. Uruchom ponownie komputer, gdy będzie to możliwe.
- Po wyświetleniu monitu logowania zaloguj się na to samo lokalne konto administracyjne co poprzednio.
- Otwórz okno Właściwości systemu.
- Na karcie Nazwa komputera kliknij przycisk Zmień.
- Wybierz opcję Domena i wpisz nazwę domeny Active Directory. Kliknij przycisk OK.
- Podaj poświadczenia konta użytkownika domeny, które ma uprawnienia do dodania komputera do domeny. Kliknij przycisk OK.
- Kliknij przycisk OK, aby potwierdzić wyświetlone okna dialogowe.
- Kliknij przycisk Zamknij, aby zamknąć okno właściwości systemu. Uruchom ponownie komputer, gdy będzie to możliwe.
- Po wyświetleniu monitu logowania potwierdź, że możesz teraz zalogować się do konta domeny bez błędu.
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2