Помилка відносин довіри між цією робочою станцією та основним доменом

В умовах домашньої або офісної роботи, комп’ютери клієнтів та сервери часто організовуються у дві основні інфраструктури: робоча група (workgroup), що зазвичай застосовується для малих підприємств з кількістю комп’ютерів до десяти, та домен (domain), який може об’єднувати тисячі комп’ютерів у централізовану мережу. У випадку з робочою групою виділений сервер не є обов’язковим, тоді як доменна інфраструктура вимагає наявності як мінімум одного сервера з функціоналом Active Directory Domain Services та Domain Name Services. Досить часто користувачі стикаються з проблемою, коли під час спроби входу в доменний обліковий запис на комп’ютері з Windows 10 з’являється повідомлення про порушення відносин довіри між робочою станцією та основним доменом. Якщо ви зіткнулися з такою ситуацією, цей детальний посібник допоможе вам вирішити проблему з відносинами довіри, не вдаючись до допомоги локального адміністратора.

Вирішення проблеми довіри між робочою станцією та основним доменом у Windows 10

Однією з типових проблем, з якими стикаються системні адміністратори, є саме порушення відносин довіри між робочою станцією та основним доменом. Ось деякі важливі моменти, які потрібно знати про цю проблему:

  • Після приєднання комп’ютера до будь-якого домену Active Directory, необхідно встановити новий обліковий запис користувача і пароль.
  • При вході в комп’ютер, підключений до домену Active Directory, встановлюється захищений канал зв’язку з найближчим контролером домену. Контролер перевіряє облікові дані, і якщо вони відповідають політиці безпеки, встановленій компанією, між комп’ютером і доменом встановлюється довіра.
  • Пароль дійсний протягом 30 днів (за замовчуванням), після чого його необхідно змінити.
  • Облікові дані локального облікового запису та його пароль не мають терміну дії в Active Directory. Це тому, що політика паролів домену не застосовується до комп’ютерних об’єктів Active Directory.
  • Цікаво, що навіть якщо комп’ютер не використовувався протягом кількох місяців або навіть року, відносини довіри з доменом зберігаються. Тому, при наступному вході на робочу станцію, приєднану до домену, пароль буде змінено при першій аутентифікації.
  • Якщо з будь-якої причини ці відносини довіри порушуються, і виникає помилка про відсутність довіри між робочою станцією та основним доменом, то на екрані не з’являється запит на локального адміністратора.

Як перевірити стан довірчих відносин

Щоб перевірити, чи правильно встановлено відносини довіри між вашою робочою станцією та основним доменом, потрібно переконатися, що локальний пароль комп’ютера синхронізований з паролем облікового запису комп’ютера, керованого доменом. Дотримуйтесь цих інструкцій для перевірки:

1. Увійдіть до комп’ютера, використовуючи локальний обліковий запис адміністратора та відповідний пароль.

Примітка: Якщо виникли труднощі зі входом до комп’ютера, який також підключений до домену, тимчасово від’єднайте кабель Ethernet. Іноді це дозволяє увійти за допомогою кешованих облікових даних користувача Active Directory. Після входу знову підключіть кабель Ethernet.

2. Натисніть клавішу Windows та введіть “PowerShell”, а потім виберіть “Відкрити”.

3. Введіть команду “Test-ComputerSecureChannel” і натисніть клавішу Enter.

4. За бажанням, можна додати параметр “-Verbose” для детальнішого виведення, і натиснути клавішу Enter.

Test-ComputerSecureChannel -Verbose
VERBOSE: Performing the operation Test-ComputerSecureChannel on target Techcult(Type Company Name).
True
VERBOSE: The secure channel between the local computer and the domain techcult.com is in good condition.

5. Повідомлення “The secure channel between the local computer and the domain (ім’я компанії).com is in good condition” означає, що довірчі відносини між робочою станцією та доменом встановлено правильно.

Основні причини порушення довірчих відносин

Проблема порушення довіри до домену може виникнути з різних причин:

  • Якщо домен більше не довіряє вашій робочій станції, виникне помилка довіри.
  • Розбіжність між паролем локального облікового запису та паролем об’єкта вашого комп’ютера в Active Directory також призведе до цієї проблеми.
  • Спроба аутентифікації в домені з неправильним паролем спричинить помилку довіри.
  • Проблема може виникнути після перевстановлення Windows.
  • Відновлення комп’ютера до попередньої точки відновлення або моментального знімка може призвести до закінчення терміну дії пароля облікового запису комп’ютера.

Нижче представлено сім методів для виправлення проблеми з довірою. Для досягнення найкращих результатів, уважно дотримуйтесь інструкцій.

Примітка: Рекомендується створити точку відновлення системи перед внесенням змін, щоб у разі потреби можна було відновити Windows 10.

Спосіб 1: Перевірка та налаштування DHCP

Якщо ви нещодавно додавали новий сервер DHCP або вносили зміни в наявний пул DHCP, уважно ознайомтеся з цим методом. DHCP-сервер відповідає за автоматичне призначення IP-адрес комп’ютерам у мережі, використовуючи статичні або динамічні методи.

Деякі користувачі повідомили, що проблеми з довірою виникли після додавання сервера DHCP з неправильним пулом IP-адрес. Тому переконайтеся, що DHCP працює належним чином:

Примітка: Наступні кроки стосуються перевірки DHCP для Windows Server 2016 та маршрутизатора TP-Link TL-ER6120, що працюють з IP-адресою 192.168.1.0/24. Виконуйте кроки, адаптуючи їх до вашої мережевої конфігурації.

1. Натисніть клавіші Windows + R, щоб відкрити діалогове вікно “Виконати”.

2. Введіть “dhcpmgmt.msc” і натисніть Enter, щоб відкрити інструмент управління DHCP.

3. Розгорніть сервер до techcult.comIPv4Scope.

4. Якщо виявлено, що конфігурація DHCP налаштована неправильно (наприклад, IP-адреса 192.168.1.0/24), необхідно внести зміни.

Для перевірки конфігурації DHCP на вашому маршрутизаторі, наприклад, TP-Link TL-ER6120, виконайте наступні дії:

1. Запишіть IP-адресу, ім’я користувача та пароль вашого маршрутизатора.

Примітка: Якщо ви не знаєте, як знайти IP-адресу вашого маршрутизатора, скористайтеся інструкцією до маршрутизатора або нашим посібником.

2. Відкрийте веб-браузер і введіть IP-адресу маршрутизатора в адресному рядку.

3. Введіть облікові дані маршрутизатора для входу.

4. Перейдіть на вкладку “Мережа” та виберіть “LAN” в меню зліва.

5. Перейдіть на вкладку “DHCP” і переконайтеся, що DHCP-сервер активовано. Перевірте діапазони IP-адрес DHCP та збережіть зміни.

Спосіб 2: Повторне приєднання до домену

Повторне приєднання комп’ютера або робочої станції до домену може вирішити проблему з довірою. Для цього потрібен обліковий запис адміністратора домену з правами на приєднання комп’ютерів до домену.

Примітка: Тут описано кроки для повторного приєднання до Windows 10 Pro з використанням Server 2016. Ці кроки можна адаптувати для інших клієнтських та серверних ОС, використовуючи Windows Server 2003 або 2012 R2.

1. Увійдіть до облікового запису локального адміністратора Windows та відкрийте Провідник файлів (Windows + E).

2. Клацніть правою кнопкою миші на “Цей комп’ютер” та виберіть “Властивості”.

3. Знайдіть та виберіть “Додаткові параметри системи”, потім перейдіть на вкладку “Ім’я комп’ютера”.

4. Натисніть кнопку “Змінити…”.

5. У вікні зміни імені комп’ютера/домену виберіть перемикач “Робоча група” та введіть будь-яке ім’я.

6. Натисніть “OK”, щоб зберегти зміни.

7. У запиті безпеки Windows введіть облікові дані адміністратора домену та натисніть “OK”.

8. Підтвердіть подальші запити, натискаючи “OK” та закрийте вікно властивостей системи.

9. Перезавантажте комп’ютер і увійдіть до доменного облікового запису.

Перевірте, чи вирішено проблему довіри.

Спосіб 3: Використання PowerShell для відновлення довіри

Цей метод використовує PowerShell для відновлення довіри між клієнтом і робочою станцією. Необхідний обліковий запис локального адміністратора. Дотримуйтесь інструкцій для виправлення проблеми з довірою:

1. Увійдіть до облікового запису локального адміністратора Windows 10.

2. Натисніть клавішу Windows та введіть “PowerShell”, а потім виберіть “Відкрити”.

3. Введіть команду “$credential = Get-Credential” та натисніть Enter.

4. Введіть облікові дані доменного облікового запису та натисніть “OK”.

5. Введіть команду “Reset-ComputerMachinePassword -Credential $credential” та натисніть Enter.

6. Закрийте PowerShell та перезавантажте комп’ютер.

7. Увійдіть до доменного облікового запису та перевірте, чи виправлено проблему.

Спосіб 4: Додавання контролера домену до диспетчера облікових даних

Цей метод передбачає додавання облікового запису контролера домену в Credential Manager. Виконайте ці кроки на комп’ютері з Windows 10:

1. Увійдіть до облікового запису локального адміністратора Windows 10.

2. Натисніть клавішу Windows та введіть “Диспетчер облікових даних”. Виберіть “Відкрити”.

3. Натисніть “Облікові дані Windows”.

4. Натисніть “Додати облікові дані Windows”.

5. Введіть адресу в Інтернеті або мережі, а також ім’я користувача і пароль, та натисніть “OK”.

6. Закрийте всі вікна Credential Manager та перезавантажте комп’ютер.

7. Увійдіть до доменного облікового запису та перевірте, чи вирішено проблему.

Спосіб 5: Скидання пароля облікового запису комп’ютера

Цей метод призначений для Windows Server 2003 та Windows Server 2008 R2. Якщо ви використовуєте інші версії серверної ОС, перейдіть до наступного методу. Тут описано, як скинути пароль комп’ютера на Windows Server 2008 R2:

1. Увійдіть до облікового запису адміністратора домену та натисніть клавішу Windows.

2. Введіть “cmd” та виберіть “Відкрити”.

3. Введіть команду “netdom resetpwd /s:server /ud:domainUser /pd:*” та натисніть Enter.

Примітка: “s” – ім’я сервера домену, “domain” – ім’я домену, “user” – конфліктуючий обліковий запис користувача.

4. Закрийте всі вікна та перезавантажте комп’ютер.

5. Увійдіть, використовуючи доменний обліковий запис, та перевірте, чи вирішено проблему.

Спосіб 6: Скидання облікового запису комп’ютера

Іншим способом усунення проблеми є скидання облікового запису комп’ютера за допомогою інструментів Active Directory Domain Services:

1. Натисніть клавіші Windows + R, щоб відкрити вікно “Виконати”.

2. Введіть “dsa.msc” та натисніть Enter, щоб відкрити “Active Directory User and Computers”.

3. Розгорніть свій домен, наприклад, techcult.com.

4. Двічі клацніть “Комп’ютери” та перейдіть до проблемного облікового запису.

5. Клацніть правою кнопкою миші на цей обліковий запис та виберіть “Скинути обліковий запис”.

6. Підтвердіть запит, натиснувши “Так”, а потім “OK” та закрийте вікна Active Directory.

7. Перезавантажте комп’ютер та увійдіть до доменного облікового запису.

Спосіб 7: Відновлення системи

Несумісні оновлення Windows можуть призвести до нестабільної роботи комп’ютера. Спробуйте відновити систему до стану, коли все працювало належним чином. Для цього скористайтеся посібником з відновлення системи в Windows 10.

Після відновлення, перевірте, чи можна нормально використовувати комп’ютер Windows, підключений до домену.

***

Сподіваємося, цей посібник виявився корисним, і ви змогли вирішити проблему довіри між робочою станцією та основним доменом. Повідомте, який метод спрацював для вас найкраще. Залишайте свої питання та пропозиції в коментарях.