2021-10-05
1854

Восстановление доверительных отношений между контроллером домена и рабочей станцией

Когда компьютер вводится в домен, на контроллере домена создается учетная запись типа Компьютер. Для компьютеров домена создается автоматически генерируемый пароль, который нужен для аутентификации компьютеров в домене и установления доверительных отношений с контроллером домена. Компьютеры регулярно, по умолчанию через 30 дней меняют свои пароли, смену инициирует компьютер, а не контролер домена.

За срок жизни пароля компьютера отвечает политика 
Член домена: максимальный срок действия пароля учетных записей компьютера
Конфигурация компьютера
  Политики
    Конфигурация Windows
      Параметры безопасности
        Локальные Политики
          Параметры безопасности
За отключение периодической смены пароля компьютера отвечает политика 
Член домена: отключить изменение пароля учетных записей компьютера
Она находится там же, где и предыдущая. Но ее не рекомендуется включать, то есть отключать смену паролей, по соображениям безопасности.
Если пароль компьютера на контроллере домена и на самом компьютере не совпадает, то при попытке входа в пользователя, на компьютере находящемся в домене возникнет ошибка: 
Не удалось восстановить доверительные отношения между рабочей станцией и доменом
The trust relationship between this workstation and the primary domain failed
Или 
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией
The secyrity database on the server does not have a computer account for this workstation trust relatio nship

Есть несколько способов восстановить доверительные отношения

В первую очередь для любого из способов нужно войти в учетную запись. Можно войти в учетную запись локального администратора, если она включена. Если нет такой возможности, то можно отключить сеть, выдернув сетевой провод из компьютера и войти в учетную запись, под которой уже осуществлялся вход когда - то.

    1. Вывести компьютер из домена и ввести обратно, для этого нужно:
  • Перевести компьютер из домена в рабочую группу
  • Удалить аккаунт компьютера из AD через оснастку Пользователи и компьютеры
  • Перезагрузить компьютер
  • Ввести компьютер в домен
  • Перезагрузить компьютер

2. С помощью PowerShell

Для выполнения этого способа PowerShell должен быть не ниже 3 версии, для того чтобы проверить версию, нужно запустить PowerShell и выполнить команду 
host
Или 
$PSVersionTable

По умолчанию в Windows 7 стоит 2 версия и если вы работаете в этой версии Windows нужно будет обновить PowerShell. Для этого устанавливается обновление KB3191566, при попытке его установить может возникать ошибка, о том что невозможно установить это обновление, чтобы избавиться от этой ошибки существует программа wufuc, которую нужно просто установить. После этого можно будет установить обновление.

Для восстановления доверительных отношений нужно запустить PowerShell от имени администратора и выполнить команду 
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
После выполнения команды откроется окно, в котором нужно указать учетную запись и пароль пользователя домена, у которого достаточно прав на сброс пароля компьютера. То есть это должен быть или администратор домена или пользователь которому делегированы права на компьютеры.
Можно выполнить команду для проверки доверительных отношений 
Test-ComputerSecureChannel -verbose
Если она вернула True, значит доверительные отношения восстановлены, если false, то нет.