Symptômes
На комп'ютері з ОС Windows, який є учасником домену Active Directory, відображається наведена нижче помилка, коли користувач намагається ввійти в домен. Після цього користувач повертається до запиту на вхід, тому вхід у домен неможливий.
The trust relationship between this workstation and the primary domain failed.
Cause
Ця помилка виникає, коли захищений канал між ураженим комп'ютером і Active Directory пошкоджено. Захищений канал — це механізм, за допомогою якого комп'ютери, приєднані до домену, безпечно обмінюються даними з контролерами домену, і він покладається на пароль, пов'язаний з обліковим записом комп'ютера.
Кожен комп'ютер, приєднаний до домену, має обліковий запис в Active Directory, і з кожним обліковим записом комп'ютера пов'язаний пароль. Ці паролі облікових записів комп'ютерів відокремлені від паролів облікових записів користувачів і керуються, синхронізуються та оновлюються автоматично без необхідності втручання користувача. Однак у деяких ситуаціях власна копія пароля комп'ютера розсинхронізується з копією, яка зберігається в Active Directory. Коли це відбувається, захищений канал не може бути встановлений, і вищезазначена помилка відображається, коли користувач намагається увійти в домен.
Résolution
Найшвидший спосіб вирішити цю проблему – видалити уражений комп'ютер із домену, додавши його до робочої групи, а потім повторно додати до домену. Це можна зробити за допомогою наступних кроків:
Примітка: Наступні кроки припускають, що уражений комп'ютер можна видалити з домену без будь-яких негативних наслідків. Залежно від функціональної ролі машини та встановленого на ній програмного забезпечення це може бути неправдою. Крім того, ці кроки вимагають входу в локальний адміністративний обліковий запис на ураженому комп'ютері. Якщо вхід до локального адміністративного облікового запису неможливий, відновлення системи з резервної копії, швидше за все, буде єдиним варіантом.
- Увійдіть до локального адміністративного облікового запису на ураженому комп'ютері.
- Відкрийте вікно «Властивості системи». Залежно від версії Windows, запущеної на комп'ютері, це можна зробити кількома способами.
- У Windows Server запустіть диспетчер серверів, виберіть пункт Локальний сервер в області ліворуч і клацніть ім'я домену на головній панелі.
- У клієнті Windows клацніть піктограму «Пуск» і почніть вводити додаткові параметри системи. Виберіть Переглянути додаткові параметри системи , коли з'явиться відповідний параметр.
- На вкладці Ім'я комп'ютера натисніть кнопку Змінити .
- Виберіть пункт Робоча група та введіть ім'я робочої групи. Конкретна назва не має значення, так як це тимчасова робоча група. Натисніть кнопку «OK».
- Натисніть кнопку ОК, щоб підтвердити діалогові вікна, що з'являться.
- Натисніть кнопку Закрити , щоб закрити вікно «Властивості системи». Перезавантажте комп'ютер, коли зможете.
- За допомогою запиту входу увійдіть до того самого локального адміністративного облікового запису, що й раніше.
- Відкрийте вікно «Властивості системи».
- На вкладці Ім'я комп'ютера натисніть кнопку Змінити .
- Виберіть пункт Домен і введіть ім'я домену Active Directory. Натисніть кнопку «OK».
- Укажіть облікові дані облікового запису користувача домену, який має дозвіл на додавання комп'ютера до домену. Натисніть кнопку «OK».
- Натисніть кнопку ОК, щоб підтвердити діалогові вікна, що з'являться.
- Натисніть кнопку Закрити , щоб закрити вікно «Властивості системи». Перезавантажте комп'ютер, коли зможете.
- У запиті на вхід підтвердьте, що тепер ви можете ввійти в обліковий запис домену, не отримуючи повідомлення про помилку.
Produits concernés
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2