En este artículo, mostraremos cómo solucionar una relación de confianza rota entre una estación de trabajo y un dominio de Active Directory cuando un usuario no puede iniciar sesión en su computadora de dominio. Consideremos la causa raíz del problema y la manera fácil de reparar la confianza entre una computadora y un controlador de dominio a través de un canal seguro sin reiniciar la computadora y volver a unir el dominio.
Falló la relación de confianza entre esta estación de trabajo y el dominio principal.
El problema se manifiesta cuando un usuario intenta iniciar sesión en la estación de trabajo o servidor miembro utilizando credenciales de dominio y se produce el siguiente error después de ingresar la contraseña:
The trust relationship between this workstation and the primary domain failed.
El error también puede verse así:
The security database on the server does not have a computer account for this workstation trust relationship.
Contraseña de la cuenta de la máquina (computadora) en el dominio de Active Directory
Cuando una computadora se une a un dominio de Active Directory, se crea una cuenta de computadora separada para ella. Al igual que los usuarios, cada computadora tiene su contraseña para autenticar la computadora en el dominio y establecer una conexión confiable con el controlador de dominio. Sin embargo, a diferencia de las contraseñas de usuario, las contraseñas de las computadoras se establecen y cambian automáticamente.
Aquí hay algunas cosas importantes sobre las contraseñas de cuentas de computadora en AD:
- Las contraseñas de computadora en AD deben cambiarse regularmente (una vez cada 30 días de forma predeterminada).
Consejo. Puede configurar la antigüedad máxima de la contraseña de la computadora usando el Miembro del dominio: antigüedad máxima de la contraseña de la cuenta de la máquina política ubicada en Configuración del equipo-> Configuración de Windows-> Configuración de seguridad-> Políticas locales-> Opciones de seguridad. La vida útil de una contraseña de computadora puede durar de 0 a 999 días (30 días de forma predeterminada);
- A diferencia de las contraseñas de usuario, una contraseña de computadora no puede caducar. El cambio de contraseña lo inicia la computadora, no el controlador de dominio. Una contraseña de computadora no está sujeta a la política de contraseñas de dominio;
Incluso si una computadora ha estado apagada durante 30 días o más, puede encenderla y se autenticará en su DC con su contraseña anterior. Entonces el local Netlogon El servicio cambiará la contraseña de la computadora en su base de datos local (la contraseña se almacena en el registro
HKLMSECURITYPolicySecrets$machine.ACC
) y luego actualizará la contraseña de la cuenta de la computadora en Active Directory. - La contraseña de una computadora se cambia en el DC más cercano, los cambios no se envían al controlador de dominio con la función FSMO del emulador de PDC (es decir, si una computadora ha cambiado su contraseña en un DC, no podrá autenticarse en otro DC hasta que se repitan los cambios de AD).
Si el hash de la contraseña que la computadora envía al controlador de dominio no coincide con la contraseña de la cuenta de la computadora en la base de datos de AD, la computadora no puede establecer una conexión segura con el DC y devuelve errores de conexión confiable.
Por qué ocurre el problema:
- Se restauró una computadora desde un punto de restauración antiguo o una instantánea (en el caso de una máquina virtual) creada antes de que se cambiara la contraseña de la computadora en AD. Si devuelve la computadora a su estado anterior, intentará autenticarse en el DC utilizando su contraseña anterior. Es el problema más típico;
- Se ha creado una computadora con el mismo nombre en AD, o alguien ha restablecido la cuenta de la computadora en el dominio usando la consola ADUC (
dsa.msc
); - El administrador ha desactivado la cuenta de la computadora en el dominio (por ejemplo, durante un procedimiento regular de desactivación de objetos de AD inactivos);
- Un caso bastante raro cuando la hora del sistema en una computadora es incorrecta.
Esta es la forma clásica de reparar la relación de confianza entre la computadora y el dominio:
- Restablezca la cuenta de la computadora en AD;
- Mueva la computadora del dominio a un grupo de trabajo bajo el administrador local;
- Reiniciar;
- Vuelva a unir la computadora al dominio;
- Reinicie la computadora nuevamente
El método parece simple, pero es demasiado torpe, requiere al menos dos reinicios de la computadora y toma de 10 a 30 minutos. También puede tener problemas con el uso de perfiles de usuarios locales antiguos.
Existe una forma más inteligente de reparar la relación de confianza utilizando PowerShell sin volver a unirse al dominio o reiniciar la computadora.
Verificar y restaurar la relación de confianza entre la computadora y el dominio mediante PowerShell
Si no puede autenticarse en una computadora con una cuenta de dominio y aparece el siguiente error: Error en la relación de confianza entre esta estación de trabajo y el dominio principal, debe iniciar sesión en la computadora con su cuenta de administrador local. También puede desconectar el cable de red y autenticarse en la computadora con la cuenta de dominio que inició sesión en la computadora recientemente usando Credenciales en caché.
Abra la consola de PowerShell elevada y use Test-ComputerSecureChannel cmdlet asegúrese de que la contraseña de la computadora local coincida con la contraseña almacenada en AD.
Test-ComputerSecureChannel –verbose
Si las contraseñas no coinciden y la computadora no puede establecer una relación de confianza con el dominio, el comando regresará Falso - The Secure channel between the local computer and the domain woshub.com is broken
.
Para forzar el restablecimiento de la contraseña de la cuenta de la computadora en AD, ejecute este comando:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
Para restablecer una contraseña, ingrese las credenciales de una cuenta de usuario que tenga el privilegio de restablecer la contraseña de una cuenta de computadora. Se deben delegar los permisos al usuario para administrar computadoras en Active Directory (también puede usar un miembro del grupo de administradores de dominio).
Luego ejecute Test-ComputerSecureChannel nuevamente para asegurarse de que regrese Cierto (The Secure channel between the local computer and the domain woshub.com is in good condition
).
Por lo tanto, la contraseña de la computadora se ha restablecido sin reiniciar o volver a unirse al dominio manualmente. Ahora puede iniciar sesión en la computadora usando su cuenta de dominio.
Reset-ComputerMachinePassword -Server mun-dc01.woshub.com -Credential woshubadm_user1
mun-dc01.woshub.com
es el nombre del DC más cercano para cambiar la contraseña de la computadora.
Vale la pena restablecer la contraseña de una computadora cada vez antes de crear una instantánea de la máquina virtual o un punto de restauración de la computadora. Le resultará más fácil volver al estado anterior de la computadora.
Si tiene un entorno de desarrollo o de prueba, donde a menudo tiene que recuperar un estado de máquina virtual anterior a partir de una instantánea, es posible que desee deshabilitar el cambio de contraseña en el dominio para estos equipos que utilizan GPO. Para hacerlo, configure el Miembro del dominio: deshabilite los cambios de contraseña de la cuenta de la máquina política ubicada en Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad. Puede orientar la política a la unidad organizativa con equipos de prueba o utilizar filtros WMI de GPO.
Con el cmdlet Get-ADComputer (del módulo de Active Directory para Windows PowerShell), puede verificar la fecha del último cambio de contraseña de la computadora en AD:
Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet
También puede verificar si hay un canal seguro entre una computadora y un DC usando este comando:
nltest /sc_verify:woshub.com
Las siguientes líneas confirman que la confianza se ha reparado con éxito:
Trusted DC Connection Status = 0 0x0 NERR_Success Trust Verification Status = 0 0x0 NERR_Success
Reparar la confianza del dominio usando Netdom
En Windows 7 / 2008R2 y en versiones anteriores de Windows sin PowerShell 3.0, no puede usar los cmdlets Test-ComputerSecureChannel y Reset-ComputerMachinePassword para restablecer una contraseña de computadora y reparar la relación de confianza con el dominio. En este caso, utilice el netdom.exe
herramientas para restaurar un canal seguro con el controlador de dominio.
Netdom se incluye en Windows Server 2008 o más reciente, y se puede instalar en las computadoras de los usuarios desde RSAT (Herramientas de administración remota del servidor). Para reparar la relación de confianza, inicie sesión con las credenciales de administrador local (escribiendo .Administrador en la pantalla de inicio de sesión) y ejecute el siguiente comando:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
The machine account password for the local machine has successfully reset.
- Servidor es el nombre de cualquier controlador de dominio disponible
- UsuarioD es el nombre del usuario con permisos de administrador de dominio o que tiene privilegios delegados en la unidad organizativa que contiene la cuenta de la computadora
- ContraseñaD contraseña de usuario
Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd
Después de ejecutar el comando, no es necesario reiniciar la computadora: simplemente cierre la sesión y vuelva a iniciarla con su cuenta de dominio.
Como puede ver, es bastante fácil reparar la confianza entre una computadora y un dominio.