Trong bài viết này, chúng tôi sẽ hướng dẫn cách khắc phục mối quan hệ tin cậy bị hỏng giữa máy trạm và miền Active Directory khi người dùng không thể đăng nhập vào máy tính trong miền của họ. Chúng ta hãy xem xét nguyên nhân gốc rễ của sự cố và cách dễ dàng để sửa chữa độ tin cậy giữa máy tính và bộ điều khiển miền qua kênh an toàn mà không cần khởi động lại máy tính và liên kết lại miền.
Mối quan hệ Tin cậy giữa Máy trạm này và Miền chính Không thành công.
Sự cố tự xuất hiện khi người dùng cố gắng đăng nhập vào máy trạm hoặc máy chủ thành viên bằng thông tin đăng nhập miền và lỗi sau xảy ra sau khi nhập mật khẩu:
The trust relationship between this workstation and the primary domain failed.
Lỗi cũng có thể giống như sau:
The security database on the server does not have a computer account for this workstation trust relationship.
Mật khẩu tài khoản Máy (Máy tính) trong Miền Active Directory
Khi một máy tính được tham gia vào miền Active Directory, một tài khoản máy tính riêng sẽ được tạo cho nó. Giống như người dùng, mỗi máy tính có mật khẩu để xác thực máy tính trong miền và thiết lập kết nối đáng tin cậy với bộ điều khiển miền. Tuy nhiên, không giống như mật khẩu người dùng, mật khẩu máy tính được đặt và thay đổi tự động.
Dưới đây là một số điều quan trọng về mật khẩu tài khoản máy tính trong AD:
- Mật khẩu máy tính trong AD phải được thay đổi thường xuyên (một lần trong 30 ngày theo mặc định). Mẹo. Bạn có thể định cấu hình độ tuổi mật khẩu máy tính tối đa bằng cách sử dụng Thành viên miền:Độ tuổi mật khẩu tài khoản máy tính tối đa chính sách nằm trong Cấu hình máy tính-> Cài đặt Windows-> Cài đặt bảo mật-> Chính sách cục bộ-> Tùy chọn bảo mật. Tuổi thọ của mật khẩu máy tính có thể kéo dài từ 0 đến 999 ngày (mặc định là 30 ngày);
- Không giống như mật khẩu người dùng, mật khẩu máy tính không thể hết hạn. Việc thay đổi mật khẩu được thực hiện bởi máy tính, không phải bộ điều khiển miền. Mật khẩu máy tính không tuân theo chính sách mật khẩu miền; Ngay cả khi máy tính đã tắt từ 30 ngày trở lên, bạn vẫn có thể bật nó lên và nó sẽ được xác thực trên DC của bạn bằng mật khẩu cũ. Sau đó, Netlogon địa phương dịch vụ sẽ thay đổi mật khẩu máy tính trong cơ sở dữ liệu cục bộ của nó (mật khẩu được lưu trữ trong sổ đăng ký
HKLM\SECURITY\Policy\Secrets\$machine.ACC) và sau đó nó sẽ cập nhật mật khẩu tài khoản máy tính trong Active Directory. - Mật khẩu máy tính được thay đổi trên DC gần nhất, các thay đổi không được gửi đến bộ điều khiển miền có vai trò FSMO của trình giả lập PDC (tức là nếu máy tính đã thay đổi mật khẩu trên một DC, nó sẽ không thể xác thực trên một DC khác cho đến khi các thay đổi AD được nhân rộng).
Nếu hàm băm của mật khẩu mà máy tính gửi đến bộ điều khiển miền không khớp với mật khẩu tài khoản máy tính trong cơ sở dữ liệu AD, máy tính không thể thiết lập kết nối an toàn với DC và trả về lỗi kết nối đáng tin cậy.
Tại sao sự cố xảy ra:
- Máy tính đã được khôi phục từ điểm khôi phục cũ hoặc ảnh chụp nhanh (trong trường hợp máy ảo) được tạo trước khi mật khẩu máy tính được thay đổi trong AD. Nếu bạn đưa máy tính trở lại trạng thái trước đó, nó sẽ cố gắng xác thực trên DC bằng mật khẩu cũ của nó. Đó là vấn đề điển hình nhất;
- Một máy tính có cùng tên đã được tạo trong AD hoặc ai đó đã đặt lại tài khoản máy tính trong miền bằng bảng điều khiển ADUC (
dsa.msc);
- Tài khoản máy tính trong miền đã bị quản trị viên vô hiệu hóa (ví dụ:trong quá trình vô hiệu hóa các đối tượng AD không hoạt động thường xuyên);
- Một trường hợp khá hiếm khi thời gian hệ thống trên máy tính bị sai.
Đây là cách cổ điển để sửa chữa mối quan hệ tin cậy giữa máy tính và miền:
- Đặt lại tài khoản máy tính trong AD;
- Di chuyển máy tính từ miền sang nhóm làm việc dưới quyền quản trị viên cục bộ;
- Khởi động lại;
- Kết nối lại máy tính với miền;
- Khởi động lại máy tính
Cách làm tưởng chừng đơn giản nhưng lại quá vụng về, cần ít nhất hai lần khởi động lại máy tính và mất 10-30 phút. Ngoài ra, bạn có thể gặp sự cố khi sử dụng hồ sơ người dùng cục bộ cũ.
Có một cách thông minh hơn để sửa chữa mối quan hệ tin cậy bằng PowerShell mà không cần tham gia lại miền hoặc khởi động lại máy tính.
Kiểm tra và Khôi phục Mối quan hệ Tin cậy giữa Máy tính và Miền bằng PowerShell
Nếu bạn không thể xác thực trên máy tính trong tài khoản miền và lỗi sau xuất hiện: Mối quan hệ tin cậy giữa máy trạm này và miền chính không thành công , bạn cần đăng nhập vào máy tính bằng tài khoản quản trị viên cục bộ của mình. Bạn cũng có thể rút cáp mạng và xác thực trên máy tính có tài khoản miền đã đăng nhập vào máy tính gần đây bằng Thông tin đăng nhập được lưu trong bộ nhớ cache.
Mở bảng điều khiển PowerShell nâng cao và sử dụng Test-ComputerSecureChannel cmdlet đảm bảo nếu mật khẩu máy tính cục bộ khớp với mật khẩu được lưu trữ trong AD.
Test-ComputerSecureChannel –verbose
Nếu mật khẩu không khớp và máy tính không thể thiết lập mối quan hệ tin cậy với miền, lệnh sẽ trả về False - The Secure channel between the local computer and the domain woshub.com is broken .
Để buộc đặt lại mật khẩu tài khoản máy tính trong AD, hãy chạy lệnh sau:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
Để đặt lại mật khẩu, hãy nhập thông tin đăng nhập của tài khoản người dùng có đặc quyền đặt lại mật khẩu tài khoản máy tính. Người dùng phải được cấp quyền quản lý máy tính trong Active Directory (bạn cũng có thể sử dụng thành viên nhóm Quản trị viên miền).
Sau đó, chạy lại Test-ComputerSecureChannel để đảm bảo rằng nó trả về True (The Secure channel between the local computer and the domain woshub.com is in good condition ).
Vì vậy, mật khẩu máy tính đã được đặt lại mà không cần khởi động lại hoặc tham gia lại miền thủ công. Bây giờ bạn có thể đăng nhập vào máy tính bằng tài khoản miền của mình.
Ngoài ra, để buộc đặt lại mật khẩu, bạn có thể sử dụng Mật khẩu Reset-ComputerMachine lệnh ghép ngắn.
Reset-ComputerMachinePassword -Server mun-dc01.woshub.com -Credential woshub\adm_user1
mun-dc01.woshub.com là tên của DC gần nhất để thay đổi mật khẩu máy tính.
Bạn nên đặt lại mật khẩu máy tính mỗi lần trước khi tạo ảnh chụp nhanh máy ảo hoặc điểm khôi phục máy tính. Bạn sẽ dễ dàng quay trở lại trạng thái máy tính trước đó hơn.
Nếu bạn có môi trường phát triển hoặc thử nghiệm, nơi bạn thường phải khôi phục trạng thái máy ảo trước đó từ ảnh chụp nhanh, bạn có thể muốn tắt tính năng thay đổi mật khẩu trong miền cho các máy tính này bằng GPO. Để thực hiện, hãy đặt Thành viên miền:Tắt thay đổi mật khẩu tài khoản máy chính sách nằm trong Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật. Bạn có thể nhắm mục tiêu chính sách tới đơn vị tổ chức với máy tính thử nghiệm hoặc sử dụng bộ lọc GPO WMI.
Sử dụng lệnh ghép ngắn Get-ADComputer (từ mô-đun Active Directory cho Windows PowerShell), bạn có thể kiểm tra ngày thay đổi mật khẩu máy tính cuối cùng trong AD:
Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet
Bạn cũng có thể kiểm tra xem có kênh an toàn giữa máy tính và DC hay không bằng cách sử dụng lệnh sau:
nltest /sc_verify:woshub.com
Các dòng sau xác nhận rằng sự tin cậy đã được sửa chữa thành công:
Trusted DC Connection Status = 0 0x0 NERR_Success Trust Verification Status = 0 0x0 NERR_Success
Sửa chữa độ tin cậy của miền bằng Netdom
Trong Windows 7 / 2008R2 và các phiên bản Windows trước không có PowerShell 3.0, bạn không thể sử dụng lệnh ghép ngắn Test-ComputerSecureChannel và Reset-ComputerMachinePassword để đặt lại mật khẩu máy tính và sửa chữa mối quan hệ tin cậy với miền. Trong trường hợp này, hãy sử dụng netdom.exe các công cụ để khôi phục kênh an toàn bằng bộ điều khiển miền.
Netdom được bao gồm trong Windows Server 2008 hoặc mới hơn và có thể được cài đặt trên máy tính của người dùng từ RSAT (Công cụ quản trị máy chủ từ xa). Để sửa chữa mối quan hệ tin cậy, hãy đăng nhập bằng thông tin đăng nhập quản trị viên cục bộ (bằng cách nhập . \ Administrator trên màn hình đăng nhập) và chạy lệnh sau:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
The machine account password for the local machine has successfully reset.
- Máy chủ là tên của bất kỳ bộ điều khiển miền khả dụng nào
- Người dùngD là tên của người dùng có quyền quản trị viên miền hoặc có đặc quyền được ủy quyền trên đơn vị tổ chức có chứa tài khoản máy tính
- Mật khẩuD mật khẩu người dùng
Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd
Sau khi chạy lệnh, bạn không cần phải khởi động lại máy tính:chỉ cần đăng xuất và đăng nhập lại bằng tài khoản miền của bạn.
Như bạn có thể thấy, việc sửa chữa độ tin cậy giữa máy tính và miền khá dễ dàng.