Ошибка Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом при выполнении входа в Windows 7

Не удалось установить доверительные отношения

Привет! Бывает такое, что требуется восстановить компьютер или сам контроллер домена из точки восстановления/снэпшота (если это виртуальная машина). И частенько это приводит к потере доверительных отношений между компьютером и доменом. Мы получаем ошибку:

Не удалось восстановить доверительные отношения между рабочей станцией и доменом.

Или в английском варианте: The trust relationship between this workstation and the primary domain failed.

База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.

В английском варианте: The security database on the server does not have a computer account for this workstation trust relationship.

Для того, чтобы восстановить доверительные отношения можно пойти тремя способами. Давайте их рассмотрим ниже.

Да, для того чтобы восстановить доверительные отношения с доменом необходимо на компьютер зайти под локальной учётной записью. Если доступа к локальной учётной записи нет, то необходимо сбросить пароль Windows.

Решение

Для устранения данной проблемы необходимо удалить компьютер из домена, а затем повторно подключить его.

Используя учетную запись локального администратора, войдите в систему.

Откройте менюПуск, Нажмите и удерживайте (или щелкните правой кнопкой мыши) Компьютер > Свойства.

Нажмите кнопкуИзменить настройки рядом с названием компьютера.

На вкладке Имя компьютера щелкнитеИзменить.

Под заголовком Член группы выберите Рабочая группа, введите имя рабочей группы и нажмите OK.

В ответ на предложение перезагрузить компьютер нажмите кнопку OK.

На вкладке Имя компьютера снова выберитеИзменить.

Под заголовком Член группы выберите Домен, и введите имя домена.

НажмитеOK, и введите учетные данные пользователя, который авторизован в данном домене.

Есть несколько способов восстановить доверительные отношения

В первую очередь для любого из способов нужно войти в учетную запись. Можно войти в учетную запись локального администратора, если она включена. Если нет такой возможности, то можно отключить сеть, выдернув сетевой провод из компьютера и войти в учетную запись, под которой уже осуществлялся вход когда — то.

1. Вывести компьютер из домена и ввести обратно, для этого нужно:

• Перевести компьютер из домена в рабочую группу
• Удалить аккаунт компьютера из AD через оснастку Пользователи и компьютеры
• Перезагрузить компьютер
• Ввести компьютер в домен
• Перезагрузить компьютер

2. С помощью PowerShell

Для выполнения этого способа PowerShell должен быть не ниже 3 версии, для того чтобы проверить версию, нужно запустить PowerShell и выполнить команду

По умолчанию в Windows 7 стоит 2 версия и если вы работаете в этой версии Windows нужно будет обновить PowerShell. Для этого устанавливается обновление KB3191566, при попытке его установить может возникать ошибка, о том что невозможно установить это обновление, чтобы избавиться от этой ошибки существует программа wufuc, которую нужно просто установить. После этого можно будет установить обновление.

Для восстановления доверительных отношений нужно запустить PowerShell от имени администратора и выполнить команду

После выполнения команды откроется окно, в котором нужно указать учетную запись и пароль пользователя домена, у которого достаточно прав на сброс пароля компьютера. То есть это должен быть или администратор домена или пользователь которому делегированы права на компьютеры.

Можно выполнить команду для проверки доверительных отношений

Если она вернула True, значит доверительные отношения восстановлены, если false, то нет.

Восстановление доверительных отношений в домене

Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:

• После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
• Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
• Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Основные признаки возможных неполадок учетной записи компьютера:

• Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
• Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
• Учетная запись компьютера в Active Directory отсутствует.

Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.

Поэтому необходимо сделать так :

Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.

Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.

C помощью учетной записи, относящейся к локальной группе «Администраторы»:

netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo

Ошибка the trust relationship between this workstation and the primary domain failed

Разновидностью ошибки «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения» может выступать вот такое уведомление:

Тут то же сервер не может связаться с контроллером домена, если вы зайдете на него консольно, то в журнале событий вы можете обнаружить критическую ошибку:

ID 5776 NETLOGON: Failed to create/open file system32confignetlogon.ftl with the following error: There is not enough space on the disk.

Как видно Windows просто не смогла открыть файл netlogon.ftl, за который отвечает служба NETLOGON, которая так же участвует в авторизации пользователя в систему. /В системе мониторинга, я так же нашел провал по свободному дисковому пространству.

Как восстановить доверительные отношения между рабочей станцией и доменом

Рассмотрим несколько способов исправить проблему отсутствия доверительных отношений между рабочей станцией и доменом

Способ №1. Выход из домена с последующим входом

Наиболее простым способом решения проблемы «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» (рекомендуемым, в частности, компанией «Макрософт») является выход компьютера (или «рабочей станции») из домена, с его последующим подключением к данному домену. Выполните следующее:

1. Войдите в систему (ОС Виндовс) под учёткой локального администратора;
2. Наведите курсор на иконку «Мой компьютер» на рабочем столе, нажмите ПКМ, выберите «Свойства»;
3. В открывшемся окне рядом с названием ПК нажмите на кнопку «Изменить» (Изменить параметры);
4. Откроется окно, где на вкладке «Имя компьютера» нажмите внизу на кнопку «Изменить»;
5. В опции «Является членом» (или «Член группы») выберите настройку «Рабочая группа», введите какое-либо название группы и нажмите на ОК;

Способ №2. Задействуйте PowerShell

Ещё одним вариантом решить проблему доверительных отношений в домене является задействование функционала «PowerShell» в Виндовс 10. Выполните следующее:

• Войдите в учётку локального администратора на Виндовс 10;
• В строке поиска панели задач наберите PowerShell, сверху отобразится найденный результат;
• Наведите на него курсор, нажмите ПКМ, выберите опцию запуска от имени администратора, подтвердите запуск, нажав на «Да»;
• В открывшейся оболочке наберите и нажмите на ввод;

• Закройте «PowerShell» и перезагрузите ПК;
• Выполните вход в Виндовс 10 используя аккаунт пользователя домена.

Способ №3. Временно отключите сетевой кабель

Неплохо зарекомендовал себя кастомный способ, предложенный пользователями. При возникновении подобной проблемы на вашем ПК рекомендуется отключить от ПК сетевой кабель и попытаться войти в свою учётку под старым паролем (при отключении кабеля такое может стать возможным). Затем подключите сетевой кабель, выйдите из домена, и потом вновь попробуйте обратно войти в домен. Если вход удастся, перезагрузите ваш ПК.