Neste artigo, mostraremos como consertar a relação de confiança quebrada entre uma estação de trabalho e um domínio do Active Directory quando um usuário não pode fazer logon em seu computador. Vamos considerar a causa do problema e a maneira fácil de reparar a confiança entre um computador e um controlador de domínio por meio de um canal seguro sem reiniciar o computador e retornar ao domínio.
A relação de confiança entre esta estação de trabalho e o domínio primário falhou
O problema acontece quando um usuário tenta fazer logon na estação de trabalho ou servidor membro usando credenciais de domínio e o seguinte erro ocorre após inserir a senha:
A relação de confiança entre esta estação de trabalho e o domínio primário falhou.
O erro também pode ser assim:
O banco de dados de segurança no servidor não possui uma conta de computador
Senha da conta da máquina (computador) no domínio do Active Directory
Quando um computador é associado a um domínio do Active Directory, uma conta de computador separada é criada para ele. Como os usuários, cada computador tem sua senha para autenticar o computador no domínio e estabelecer uma conexão confiável com o controlador de domínio. No entanto, ao contrário das senhas de usuário , as senhas do computador são definidas e alteradas automaticamente.
Aqui estão algumas coisas importantes sobre as senhas de contas de computador no AD:
- As senhas do computador no AD devem ser alteradas regularmente (uma vez a cada 30 dias, por padrão).
Você pode configurar a idade máxima da senha do computador usando o Membro do domínio:
Política de idade máxima da senha da conta da máquina localizada em Configuração do Computador-> Configurações do Windows-> Configurações de Segurança-> Políticas Locais-> Opções de Segurança.
A vida útil da senha de um computador pode durar de 0 a 999 dias (30 dias por padrão).
- Ao contrário das senhas de usuário, uma senha de computador não pode expirar . A alteração da senha é iniciada pelo computador, não pelo controlador de domínio. A senha de um computador não está sujeita à política de senha de domínio.
Mesmo que um computador tenha sido desligado por 30 dias ou mais, você pode ligá-lo e ele será autenticado em seu DC com sua senha antiga. Em seguida, o serviço Netlogon local alterará a senha do computador em seu banco de dados local (a senha é armazenada no registro HKLM\SECURITY\Policy\Secrets\$machine.ACC) e, em seguida, atualizará a senha da conta do computador no Active Directory.
- Uma senha de computador é alterada no DC mais próximo, as alterações não são enviadas ao controlador de domínio com a função FSMO do emulador PDC (ou seja, se um computador alterou sua senha em um DC, não será capaz de autenticar em outro DC até que as alterações do AD sejam replicadas).
Se o hash da senha que o computador envia ao controlador de domínio não corresponder à senha da conta do computador no banco de dados AD, o computador não poderá estabelecer uma conexão segura com o DC e retornará erros de conexão confiável.
Por que o problema ocorre:
1- Um computador foi restaurado de um ponto de restauração antigo ou um instantâneo (no caso de uma máquina virtual) criado antes que a senha do computador foi alterada no AD. Se você retornar o computador ao estado anterior, ele tentará se autenticar no DC usando a senha antiga. É o problema mais comum;
2- Um computador com o mesmo nome foi criado no AD, ou alguém redefiniu a conta do computador no domínio usando o console ADUC ( dsa.msc)
3- A conta do computador no domínio foi desabilitada pelo administrador (por exemplo, durante um procedimento regular de desabilitação de objetos AD inativos );
4- É possível que a hora do sistema em um computador está errada.
Esta é a maneira clássica de reparar a relação de confiança entre o computador e o domínio:
1- Redefina a conta do computador no AD.
2- Mova o computador do domínio para um grupo de trabalho sob o administrador local.
3- Reinicialização.
4- Reconecte o computador ao domínio.
5- Reinicie o computador novamente.
O método parece simples, mas é muito demorado, requer pelo menos duas reinicializações do computador e leva de 10 a 30 minutos. Além disso, você pode enfrentar problemas com o uso de perfis de usuários locais antigos.
Existe uma maneira mais rápida de reparar a relação de confiança usando o PowerShell sem reingressar no domínio ou reiniciar o computador.
Verificar e restaurar a relação de confiança entre o computador e o domínio usando o PowerShell
Se você não puder autenticar em um computador com uma conta de domínio e o seguinte erro aparecer: A relação de confiança entre esta estação de trabalho e o domínio primário falhou , você precisa fazer logon no computador usando sua conta de administrador local. Você também pode desconectar o cabo de rede e autenticar no computador com a conta de domínio conectada ao computador recentemente usando Credenciais em cache.
Abra o console elevado do PowerShell e, usando o cmdlet Test-ComputerSecureChannel, certifique-se de que a senha do computador local corresponda à senha armazenada no AD.
Test-ComputerSecureChannel –verbose
Se as senhas não corresponderem e o computador não conseguir estabelecer uma relação de confiança com o domínio, o comando retornará False – The Secure channel between the local computer and the domain woshub.com is broken.
Para forçar a redefinição da senha da conta do computador no AD, execute este comando:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
Para redefinir uma senha, insira as credenciais de uma conta de usuário com o privilégio de redefinir a senha de uma conta de computador. O usuário deve ter permissões para gerenciar computadores no Active Directory (você também pode usar um membro do grupo Admins. Do Domínio).
Em seguida, execute Test-ComputerSecureChannel novamente para certificar-se de que retorna True ( The Secure channel between the local computer and the domain woshub.com is in good condition).
A senha do computador foi redefinida sem uma reinicialização ou reingresso manual no domínio. Agora você pode fazer logon no computador usando sua conta de domínio.
Usando o cmdlet Get-ADComputer (do módulo Active Directory para Windows PowerShell ), você pode verificar a data da última alteração de senha do computador no AD:
Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSetVocê também pode verificar se há um canal seguro entre um computador e um DC usando este comando:
nltest /sc_verify:contoso.comAs linhas a seguir confirmam que a confiança foi reparada com sucesso:
Reparar a confiança de domínio usando Netdom
No Windows 7 / 2008R2 e em versões anteriores do Windows sem PowerShell 3.0, você não pode usar os cmdlets Test-ComputerSecureChannel e Reset-ComputerMachinePassword para redefinir uma senha de computador e reparar a relação de confiança com o domínio. Nesse caso, use as netdom.exeferramentas para restaurar um canal seguro com o controlador de domínio.
O Netdom está incluído no Windows Server 2008 ou mais recente e pode ser instalado nos computadores dos usuários a partir de RSAT (Ferramentas de Administração de Servidor Remoto). Para reparar a relação de confiança, faça logon com credenciais de administrador local (digitando . \ Administrador na tela de logon) e execute o seguinte comando:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
A senha da conta da máquina para a máquina local foi redefinida com êxito.
- Server é o nome de qualquer controlador de domínio disponível.
- UserD é o nome do usuário com as permissões de administrador de domínio ou com privilégios delegados na UO que contém a conta do computador.
- PasswordD é a senha do usuário.
Netdom resetpwd /Server:mun-dc01 /UserD:fsantos /PasswordD:Pa$$w0rdDepois de executar o comando, você não precisa reinicializar o computador: apenas faça logoff e logon novamente usando sua conta de domínio.