Os serviços do Active Directory da Microsoft gerenciam todos os usuários, controladores e outros recursos no domínio do servidor Windows. Ele usa nome de usuário, senhas e chaves do Secure Shell para identificar os objetos do diretório.
Você encontrará o erro”Relação de confiança entre esta estação de trabalho e o domínio primário falhou”se a chave secreta privada no PC for diferente de a do servidor AD primário. Isso faz com que o usuário não consiga acessar o Domínio do Windows Server.
Isso geralmente acontece devido a computadores duplicados ou objetos do Controlador de Domínio. No entanto, isso também pode ocorrer devido a muitos outros motivos.
Neste artigo, explicamos todos os motivos possíveis e como você pode solucioná-los.
Causas para a relação de confiança entre esta estação de trabalho e o domínio primário falhou
Aqui estão as causas potenciais para o problema “falha na relação de confiança entre esta estação de trabalho e o domínio primário”:
Presença de outra máquina com o mesmo nome no domínio AD. Computador não ativo no domínio por mais tempo do que o período de redefinição da chave secreta do domínio. Executando a restauração do sistema para um ponto de restauração criado antes da redefinição da chave do domínio. Clonar o computador sem executar o Sysprep (o sysprep remove do domínio um computador ingressado no domínio). Diferença de tempo entre o cliente e o domínio. Configurações de DNS inadequadas no cliente. Corrupção das credenciais do AD na unidade local. Problemas com o controlador de domínio.
Falha nas correções para a relação de confiança entre esta estação de trabalho e o domínio primário
Há muitas soluções possíveis que você pode executar no computador local. Mas para outros, você precisa usar o Controlador de Domínio (DC) ou um PC com ferramentas RSAT.
Se você não tiver acesso ao DC, entre em contato com o administrador do sistema para pedir que executem as métodos de solução de problemas.
Além disso, lembre-se de que você precisa fazer login em sua conta de administrador local (não usuário de domínio) antes de executar as soluções nas estações de trabalho.
Sincronizar hora e data
A primeira coisa que você deve fazer é definir a data e a hora corretas. Se houver mais de 5 minutos de diferença entre o controlador de domínio e as estações de trabalho, os usuários não poderão se autenticar nos serviços do DC.
Para resolver esse problema, você precisa sincronizar os horários corretamente. Sincronizar automaticamente a hora com a Internet no DC, bem como com sua máquina local, deve ser suficiente na maioria dos casos.
Se ainda houver alguma discrepância, você precisará ajustar um Objeto de Política de Grupo (GPO) no Domínio Controlador. O processo é o seguinte:
Abra o Editor de Gerenciamento de Diretiva de Grupo. Vá para Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de conta > Política Kerberos. Clique duas vezes em Tolerância máxima para sincronização do relógio do computador.
Aumente o tempo e clique em OK.
Modificar nome de domínio
Uma solução rápida possível é modificar o nome de domínio de FQDN para nome NETBIOS. Isso atualiza sua estação de trabalho no domínio sem precisar desconectá-la e reconectá-la. No entanto, ele não funciona para domínios públicos e funciona apenas em um Active Directory NETBIOS.
Alterar o nome de domínio de nome NETBIOS para FQDN também é uma boa solução se você estiver conectado a um domínio público e houver são muitos servidores com o mesmo nome de domínio. Adicionar o sufixo ajuda você a se conectar ao domínio exato que você deseja.
Aqui estão as etapas necessárias para este método:
Pressione Win + R para abrir Executar. Digite sysdm.cpl para carregar as Propriedades do Sistema. Dentro do Nome do computador, selecione Alterar. Adicione ou remova o sufixo (como.local,.net, etc.) no nome do domínio e clique em OK.
Reinicie seu PC e verifique se o problema ocorre novamente. Se isso acontecer, ou você encontrar outros erros, reverta o nome de domínio e passe para as soluções sucessivas.
Reingressar no domínio
Outra maneira de resolver esse problema é desvincular seu computador ao Domínio e reingresse nele novamente. Fazê-lo remove quaisquer credenciais anteriores que seu PC tenha armazenado e permite que você armazene a chave secreta válida após reingressar.
Veja como você pode reingressar sua estação de trabalho ao Domínio:
Abra Propriedades do Sistema e vá para Nome do computador. Selecione Alterar. Marque Grupo de trabalho e digite o nome que quiser. Clique em OK e em OK novamente. Reinicie o seu PC e siga as mesmas etapas até chegar a Alterações de nome/domínio do computador. Desta vez, verifique Domínio e digite o nome do domínio. Clique em OK e insira as credenciais.
Reinicie seu computador e verifique se o problema persiste.
Se persistir, você precisa limpar os arquivos de log e tentar novamente.
Primeiro, desconecte seu PC da Internet. Exclua os arquivos de log dentro de C:ProgramDataMicrosoftWindows ServerLogs. Se você estiver usando um software de conector de terceiros para se conectar ao domínio, desinstale-o. Junte-se novamente ao seu PC ao domínio usando as etapas acima.
Verificar configuração de DHCP
A configuração incorreta de DHCP também pode causar esse problema. Você precisa ter certeza de que o DHCP aloca endereços IP que estão dentro do escopo do endereço IP do seu servidor de domínio. Por exemplo, se sua rede configurada for 10.0.0.1/24, os endereços IP inicial e final do DHCP devem ser 10.0.0.x.
Para verificar e alterar a configuração do DHCP,
Abra Executar e digite dhcpmgmt.msc no servidor do Controlador de Domínio. Vá para o seu servidor e expanda IPv4 > Escopo > Conjunto de endereços. Verifique os endereços IP inicial e final. Clique com o botão direito do mouse em Escopo e selecione Propriedades. Altere os endereços IP inicial e final conforme necessário.
Em seguida, abra o portal do seu roteador em um navegador da Web e navegue até as configurações de DHCP. Veja se todas as configurações estão corretas e faça as alterações necessárias.
Salvar controlador de domínio no gerenciador de credenciais
Você também deve tentar salvar as credenciais de domínio no gerenciador de credenciais. Você encontrará o erro de falha de confiança quando houver algum erro ao inserir manualmente as credenciais.
Se você salvar as credenciais no Credential Manager, poderá entrar no ambiente de domínio sem precisar inserir sua senha a cada tempo.
Siga os passos abaixo para executar esta solução:
Abra Executar e digite control/name Microsoft.CredentialManager. Selecione Credenciais do Windows > Adicionar uma credencial do Windows. Digite o nome do domínio, nome de usuário e senha do domínio e clique em OK.
Confirme os requisitos de porta dos serviços de domínio do Active Directory
A relação de confiança também falhará se o firewall não tiver as portas apropriadas abertas para permitir que as estações de trabalho se comuniquem com o controlador de domínio. Portanto, você precisa garantir que todas as portas relevantes estejam abertas. Você pode consultar a documentação da Microsoft no destino configurando um firewall para domínios e relações de confiança do Active Directory para aprender o processo necessário.
Recriar o objeto de computador no Active Directory
Se o Active Directory foi removido sua máquina, você não pode acessar o Domínio mesmo que seu PC mostre que ele faz parte do domínio.
Então, você precisa verificar se é o caso e se sim, recrie seu computador no AD. Veja como você pode fazer isso:
Abra o Run (Win + R). Digite powershell e pressione Ctrl + Shift + Enter. Ele carrega o Windows PowerShell Elevado. Digite o comando $env:computername para obter seu nome de host. Em seguida, digite Get-ADComputer e pressione Enter para verificar se seu computador existe no AD. Certifique-se de usar seu próprio nome de host. Se isso não acontecer, digite o seguinte comando enquanto substitui os valores dependendo da sua situação:
New-ADComputer-Name”Host Name”-SamAccountName”Host Name”-Path”OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=USER02,DC=COM
Testar e reparar o canal seguro do computador
Você precisa verificar se a chave secreta da sua estação de trabalho é a mesma da sua conta de computador no controlador de domínio. você pode fazer isso na máquina local usando o cmdlet Test-ComputerSecureChannel PowerShell.
Esta é a melhor solução se seus problemas forem devidos à presença de outra máquina host com o mesmo nome no DC.
Aqui estão as etapas necessárias para o processo:
Abra Executar (Win + R). Digite powershell e pressione Ctrl + Shift + Enter. Ele carrega o Elevated Windows PowerShell. Digite o comando Test-ComputerSecureChannel-Verbose Se encontrar algum problema, execute Test-ComputerSecureChannel-Repair
Reinicie seu PC, faça login na conta de usuário do domínio e verifique se o problema persiste.
Redefinir credenciais
Se as credenciais privadas em sua estação de trabalho forem diferentes daquelas do controlador de domínio AD, a correção mais conveniente é redefinir suas credenciais. Nesse método, seu sistema usa as credenciais de domínio em cache para restabelecer a confiança.
Você pode usar o cmdlet Reset-ComputerMachinePassword no Windows PowerShell para essa finalidade.
Abra o Windows PowerShell elevado em sua conta de administrador local. Digite o comando $credential=Get-Credential Digite Reset-ComputerMachinePassword-Credential $credential e pressione Enter.
Reinicie seu PC, faça login na conta de usuário do domínio e verifique se ainda encontra esse problema.
Ative o armazenamento em cache de credenciais de domínio
Alguns dos métodos acima usam o Cache credenciais de domínio para estabelecer confiança. Portanto, eles só funcionam se você tiver credenciais em cache. Caso contrário, o administrador do controlador de domínio precisa redefinir sua máquina local ou sua senha.
Você deve habilitar o processo de armazenamento em cache para facilitar a solução desse problema caso ele ocorra novamente no futuro. Veja como você pode fazer isso:
Digite secpol.msc em Executar. Vá para Configurações de segurança > Políticas locais > Opções de segurança. Clique duas vezes em Logon interativo: número de logons anteriores para armazenar em cache. Defina o cache de logons para qualquer número desejado. Os valores possíveis variam de 0 a 50.
Você também pode usar o editor do registro para fazer essa alteração. Para fazer isso,
Abra Executar e digite regedit. Navegue até ComputadorHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. Clique duas vezes em CashedLogonsCount e altere os dados do valor de acordo com sua preferência.
Desativar recuperação de inicialização
O Windows tem um recurso de recuperação que restaura automaticamente o sistema após uma falha de energia. Nesse cenário, a recuperação automática pode reverter a chave secreta do domínio que está armazenada em seu PC.
Assim, você pode habilitar a política de inicialização para ignorar todas essas falhas para desabilitar o recurso. Veja como você pode fazer isso:
Abra o prompt de comando como administrador. Digite os seguintes comandos: bcdedit/set recoveryenabled no bcdedit/set bootstatuspolicy ignoreallfailures
No entanto, lembre-se de que esse recurso existe para a proteção do seu sistema. Portanto, não recomendamos desativá-lo, a menos que seja necessário.
Alterar a idade da senha da conta da máquina
Se você precisar manter a estação de trabalho longe do controlador de domínio (ou seja, evite registrar no domínio) por longos intervalos, você precisará solucionar o problema de confiança sempre.
Em tais cenários, é melhor estender a idade da senha para evitar esses problemas.
Veja como você pode fazer isso:
Digite secpol.msc em Executar. Vá para Configurações de segurança > Políticas locais > Opções de segurança. Clique duas vezes em Membro do domínio: idade máxima da senha da conta da máquina. Defina a idade máxima de acordo com sua necessidade. Você pode definir qualquer valor entre 0 e 999.
Você também pode usar o editor do registro para fazer essa alteração. Para fazer isso,
Abra o Editor do Registro digitando regedit em Executar. Navegue até ComputerHKEY_LOCAL_MACHINESYSTErrentControlSetServicesNetlogonParameters Clique duas vezes em MaximumPasswordAge e altere os dados do valor de acordo com sua preferência.
Se você estiver usando os Serviços de provisionamento para transmitir vDisks de software, também precisará alterar a idade da senha no console.
Abra o Console do servidor de provisionamento no DC. Abra o Domínio e expanda Sites > Site > Servidores. Clique com o botão direito do mouse em seu servidor e selecione Propriedades. Vá para a guia Opções . Altere o número de dias e clique em Ok.
Você também pode desativar o processo de alteração de senha completamente ativando o valor de registro DisablePasswordChange ou Membro do domínio: desabilitar alterações de senha da conta do computador objeto de política de grupo. No entanto, não recomendamos essa prática, pois pode comprometer sua privacidade.
Alterar a senha da máquina do controlador de domínio
Do lado do controlador de domínio, alterar ou redefinir a senha do estações de trabalho cliente devem corrigir o problema de diferença de credencial. Há muitas maneiras de fazer isso, como:
Usando o Active Directory
Abra Usuários e Computadores do Active Directory. Expanda o domínio e selecione Usuários. Clique com o botão direito do mouse na conta de usuário que você precisa redefinir e selecione Redefinir senha. Configure uma nova senha e continue confirmando até terminar.
Usando o utilitário Netdom
Faça login no servidor Windows (Controlador de domínio) usando sua conta de administrador. Abra o Prompt de Comando Elevado e digite o comando: netdom resetpwd/s:/ud:/pd:*
Não se esqueça de substituir e adequadamente.
Peça ao usuário do domínio para reiniciar o PC e fazer login na conta do domínio com uma nova senha.
Usando o utilitário Nltest
Abra o Prompt de Comando Elevado em o servidor Windows. Digite o comando nltest/sc_change_pwd: enquanto substitui pelo nome da estação de trabalho.
Redefinir conta do computador
Outra maneira possível de resolver esse problema redefinindo a estação de trabalho do controlador de domínio. Ele fornece o mesmo efeito de desvincular e reconectar o computador ao DC.
Abra Executar. Digite dsa.msc para abrir o Usuário e Computadores do Active Directory. Vá para o seu domínio e expanda Computadores. Clique com o botão direito do mouse no computador do usuário do domínio e selecione Redefinir conta. Clique em Sim e depois em OK.
Peça que o usuário do computador do domínio reinicie o PC e faça login usando a conta do domínio.
Verifique a integridade do controlador de domínio
Também é possível que esse erro ocorra devido a problemas com o próprio Controlador de Domínio. Você pode executar o comando dcdiag na CLI do servidor para verificar a integridade do controlador de domínio.
O resultado desse comando deve apontar para possíveis problemas com o DC. Primeiro, execute dcdiag/fix e veja se isso ajuda. Caso contrário, aplique as etapas nas soluções sucessivas dependendo do seu problema.
Remover SID duplicado do controlador de domínio
Em casos normais, um domínio terá apenas SIDs exclusivos para seu controlador de domínio. No entanto, em alguns cenários, é possível que haja SIDs duplicados. A relação de confiança pode falhar nesses casos se a estação de trabalho tentar se conectar à conta errada.
Você precisa verificar e remover o controlador de domínio duplicado nesse cenário. Para fazer isso,
Abra Executar e digite ntdsutil. Na CLI do Ntdsutil, insira o gerenciamento de contas de segurança. Digite conectar ao servidor . Digite o comando check duplicado sid. Se houver duplicatas, insira o sid duplicado de limpeza. Digite quit duas vezes para fechar a CLI.
Depois de remover os SIDs duplicados, recrie as contas excluídas no Active Directory.
Limpe os metadados do servidor
Se você removeu à força um Active Directory Domain Services sem limpar seus metadados e criou outro domínio com o mesmo nome, as estações de trabalho que tentarem se conectar a esse domínio também terão esse problema.
Há muitas maneiras de limpar os metadados do servidor. Mas o mais fácil é usar o comando Ntdsutil. Aqui estão as etapas necessárias:
Abra Executar e digite ntdsutil. No Ntdsutil, insira a limpeza de metadados. Insira remover o servidor selecionado enquanto substitui pelo nome do servidor que você excluiu.
Digite quit ou q após a conclusão do processo para fechar a CLI.
Remover objetos remanescentes e habilitar consistência de replicação estrita
Os objetos remanescentes são os objetos que os administradores do controlador de domínio excluíram no controlador. Se o DC ficar offline por muito tempo, é possível que seu Active Directory retenha o objeto que outros DCs excluíram.
Depois que o DC ficar online, esses objetos remanescentes também podem ser replicados para outros controladores, causando muitos problemas, incluindo o erro de falha na relação de confiança.
Você precisa remover os objetos remanescentes para resolver o problema. Você também deve habilitar a consistência de replicação estrita para evitar a replicação de objetos remanescentes. Veja como você pode executar os dois processos:
Abra o Prompt de Comando Elevado no servidor. Digite os seguintes comandos: repadmin/showrepl repadmin/removelingeringobjects /advisory_mode repadmin/removelingeringobjects repadmin/regkey +strict
O primeiro três comandos revisam e removem os objetos remanescentes e o último comando habilita a consistência de replicação estrita. Você também pode habilitar esse formulário de valor dentro do caminho do registro ComputerHKEY_LOCAL_MACHINESYSTErrentControlSetServicesNTDSParameters.
Rebaixar e promover novamente o controlador de domínio
Se os métodos acima não resolverem o problema no controlador de domínio, você precisará para rebaixá-lo e promovê-lo novamente para redefinir o controlador. Primeiro, rebaixe o controlador de domínio usando as etapas abaixo:
Digite dsa.msc em Executar. Acesse seu domínio e expanda Controladores de domínio. Clique com o botão direito do mouse no domínio e selecione Excluir. Marque Excluir este controlador de domínio mesmo assim e selecione Excluir.
Se você estiver em um servidor Windows anterior a 2008, precisará limpar os metadados do servidor. Nas versões posteriores, esse processo ocorre automaticamente se você estiver usando esse método.
Observação: se você quiser rebaixar o DC permanentemente, precisará usar um método diferente. Consulte a documentação da Microsoft sobre como rebaixar controladores de domínio e domínios para aprender as etapas necessárias.
Depois disso, execute o DCPromo (Domain Controller Promoter) e siga as instruções na tela para promover novamente o DC.
Solucionar problemas de reversão de USN
Esse problema também pode ocorrer se você reverter um DC do Windows Server com uma instalação baseada em imagem do sistema operacional no servidor. Esse problema é chamado de reversão de USN e faz com que as alterações feitas em um DC não sejam replicadas em outros.
Não é possível saber se algum problema causador mencionado nas seções anteriores ocorreu após uma reversão de USN. É porque os demais CDs acreditam ter o banco de dados mais atualizado. Portanto, eles não atualizam as senhas originadas do DC revertido.
Você pode verificar se ocorreu uma reversão de USN na entrada de registro Dsa Not Writable dentro de ComputerHKEY_LOCAL_MACHINESysterrentControlSetServicesNTDSParameters. Se mostrar 4 ou 0x4, indica a reversão de USN.
Para solucionar esse problema, você precisa executar as seguintes operações:
Rebaixar o controlador de domínio e desligar seu servidor. Limpe os metadados, se necessário. Transferir Funções FSMO para outro controlador de domínio, se aplicável. Reinicie o DC que sofreu a reversão e transfira de volta as funções FSMO.
Você também pode restaurar o controlador de domínio de volta ao estado anterior à reversão se tiver um backup do estado do sistema.
Fonte: https://br.atsit.in/archives/412577
