Errore: la relazione di trust tra questa workstation e il dominio primario non riuscita
Vi è mai capitato di osservare l’errore:
The trust relationship between this workstation and the primary domain failed
Oppure
The security database on the server does not have a computer account for this workstation trust relationship ?
Ebbene se la risposta è si allora vedremo tramite questo articolo come risolvere l’errore di Trust relationship failed e quindi come ripristinare un canale sicuro fra la workstation e il dominio Active Directory. Questo errore potrebbe comparire, per esempio, quando un utente sta provando ad accedere alla workstation o al Server con id e password di dominio e dopo aver inserito le credenziali compare una finestra con uno dei due messaggi.
Active Directory Machine Account Password
Quando si crea un nuovo account del computer viene impostata una password e in questo modo si va ad unire il computer al dominio Active Directory. In questo caso la trust relationship è presente dato che avviene l’adesione al dominio viene eseguita da un utente amministratore di dominio o un utente con autorizzazioni amministrative. Quando dunque il computer accede al dominio Active Directory viene stabilito un canale sicuro col controller di dominio più vicino e vengono inviate le credenziali del pc. A questo livello viene stabilita la “fiducia” tra il dominio verificato e la workstation, inoltre vengono verificate altre interazioni sulla base di politiche di sicurezza preconfigurate.
La password dell’account del pc vale per 30 giorni per impostazione predefinita e successivamente viene automaticamente modificata secondo i Criteri di gruppo del dominio configurato.
Volendo è possibile configurare la durata massima della password dell’account per i pc di dominio tramite il parametro GPO Membro Domain: Durata massima della password dell’account macchina che si trova in Editor Criteri di gruppo -> Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Opzioni di sicurezza (si potrà scegliere fra 0 e 999 giorni).
Per un singolo pc si può configurare il criterio password dell’account macchina tramite il registro. Quindi eseguite regedit.exe, accedere alla chiave HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters. Modifica dunque il parametro MaximumPasswordAge e imposta il tempo massimo di validità della password del computer nel dominio. In alternativa è possibile disabilitare la modifica della password dell’account del computer impostando il parametro REG_DWORD DisablePasswordChange su 1
Il dominio di Active Directory memorizzerà la password del pc in questione. Se la password è stata modificata due volte, il pc che ancora usa la vecchia password non avrà la possibilità di autenticarsi sul controller di dominio e stabilire un canale sicuro. Le password non scadono in AD, inoltre i criteri delle password di dominio non si applicano agli oggetti Computer AD. Il servizio NETLOGON potrà essere utilizzato dal computer per modificare automaticamente la password durante l’accesso al dominio successivo se la password è più vecchia di 30 giorni.
Errore Trust relationship failed
Cosa causa dunque questo errore sgradevole?
L’errore citato indica che questo computer non è più considerato attendibile e dunque disconnesso da Active Directory perchè la password del pc locale non corrisponde a quella salvata nel database AD. La relazione di Trust viene dunque meno se il computer tenta di autenticarsi su un dominio con una password errata.
Normalmente questo capita successivamente alla reinstallazione di Windows e quindi lo stato del sistema è stato ripristinato da una immagine, da una istantanea della macchina virtuale o quando si esegue una clonazione del computer senza eseguire sysprep.
Canale sicuro fra Workstation e Primary Domain
Per verificare che la password locale del computer sia sincronizzata con la password dell’account del computer nel dominio controllato con il cmdlet Test-ComputerSecureChannel si può usare il seguente modulo:
Test-ComputerSecureChannel
Aggiungendo se si vuole l’opzione di Verbose:
Test-ComputerSecureChannel -Verbose
Risolvere il problema di Trust Relationship failed
Prima di tutto apri lo snap-in Utenti e computer dell’Active Directory e verifica che l’account del computer che riporta l’errore sia presente nel dominio e non sia disabilitato
Per ripristinare la relazione di fiducia il modo più ovvio è quello di:
- reimpostare la password dell’amministratore locale sul computer.
- annullare l’unione del computer dal dominio al gruppo di lavoro
3. Riavviare
4. Ripristinare l’account del computer nel dominio usando la console ADUC
5. Ricollegare il computer col dominio
6. Riavviare ancora
Questo è il metodo più semplice ma non il più veloce e inoltre richiede che il computer venga riavviato più volte. Sappiamo inoltre che ci sono dei casi in cui i profili utente locali non si riconnettono automaticamente dopo il ricongiungimento del dominio col computer.
Come risolvere il Trust relationship error tramite PowerShell
Utilizzando il cmdlet PowerShell Reset-ComputerMachinePassword è possibile reimpostare la password del computer. Si tratta di un sistema rapido per reimpostare la password del pc senza alcun riavvio. PowerShell 3.0, a differenza dell’utilità Netdom, è disponibile su tutti i sistemi operativi Microsoft a partire da Windows 8 / Server 2012. Si può installare manualmente su Windows 7, Server 2008 e Server 2008 R2.
Se si vuole ristabilire una relazione di fiducia in un amministratore locale, eseguite il seguente comando sulla console di PowerShell:
Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin
Inserendo al posto di:
- Server: il nome del domain controller
- Credential: un utente di dominio o un account amministratore di dominio
Quando viene visualizzata la finestra delle credenziali bisognerà inserire quelle corrette. Cmdlet non mostra nessun messaggio in caso di successo perciò accedi di nuovo con un account di dominio senza bisogno di riavviare. Se compare il messaggio di errore “Il server RPC non è disponibile” o “Impossibile contattare un controller di dominio Active Directory per il dominio” prova ad eseguire il cmdlet Reset-ComputerMachinePassword e controlla le impostazioni DNS sul tuo computer
Usare Netdom resetpwd per risolvere il problema di Trust Relationship Failed senza riavvio
L’utility Netdom si trova in Windows Server dalla versione 2008. Può essere installato sul PC client come parte del pacchetto RSAT (Remote Server Administration Tools). Il metodo è molto veloce e performante. Per farlo funzionare basta accedere al sistema di destinazione con le credenziali dell’amministratore locale, poi apri il prompt dei comandi ed esegui il comando seguente:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
dove:
- Server: nome di un domain controller
- UserD: username col domain admin
- PasswordD: password dell’admin
Netdom resetpwd /Server:lon-dc01 /UserD:dsmith /PasswordD:Str0NGestP@$
Dopo aver eseguito il comando non servirà un riavvio e basterà disconnettersi da un account locale e accedere con le credenziali di dominio. Puoi controllare la connessione sicura con il dominio AD usando Netdom col comando:
Netdom Verify NomeOggettoPC /Domain:corp.contoso.com /UserO:admin /PasswordO:*
Problemi come il Trust relationship failed sono all’ordine del giorno e possono essere risolti nel migliore dei modi e in meno tempo possibile. Per questo il nostro servizio di assistenza sistemistica può aiutare te e la tua azienda a risparmiare sui tempi potendo contare su una consulenza a 360 gradi sempre.
