Иногда возникает ситуация, когда пользователь не может авторизоваться под своей доменной учетной записью, получая сообщение с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”. В этой статье мы рассмотрим причину возникновения проблемы и простой способ восстановления доверительных отношений компьютера с контроллером домена.
Для начала разберемся почему вообще возникает данная ошибка.
При вводе компьютера в домен, для него создается учетная запись, необходимая для аутентификации компьютера в домене и установления доверенного подключения к контроллеру домена. Данная учетная запись имеет свой пароль, который автоматически генерируется и переодически меняется, по умолчанию компьютеры в домене меняют свои пароли раз в 30 дней. Смену пароля инициирует сам компьютер.
При каждой авторизации, компьютер отправляет на контроллер домена свой хэш пароля и если он не совпадает с паролем учетной записи компьютера, компьютер не может установить защищённое подключение к контроллеру и выдает ошибку о невозможности установить доверенное подключение. Выглядит это так:
Причин возникновения данной ошибки может быть несколько, разберем основные:
- Компьютер был восстановлен из резервной копии до предыдущего состояния и пароль, который был актуален на момент создания резервной копии, теперь отличается от пароля компьютера в Active Directory.
- Компьютер был какое то время выключен и за это время в домен ввели новый компьютер с тем же именем.
- На компьютере сбилось системное время (частая проблема при севшей батарейке CMOS).
Самый простой способ восстановить доверительные отношения – это загрузиться под локальной учетной записью администратора, вывести компьютер из домена и завести в домен заново.
Однако есть и другой способ, который не потребует от вас перезагружать компьютер по нескольку раз. Необходимо авторизоваться на компьютере под локальным пользователем и выполнить в PowerShell команду:
Test-ComputerSecureChannel –verbose
Как видим, безопасный канал между компьютером и доменом у нас поврежден, а значит будем восстанавливать.
Принудительно сбросим пароль учётной записи компьютера, выполним комманду:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
Вводим имя и пароль администратора домена.
Команда вернет ответ True, после чего еще раз выполним команду для проверки канала между компьютером и доменом:
Test-ComputerSecureChannel –verbose
Как видим канал успешно восстановлен. Пробуем авторизоваться под доменой учетной записью, как видим все работает.