Skip to content

20 correctifs pour l'erreur "Échec de la relation de confiance entre ce poste de travail et le domaine principal"

Les services Active Directory de Microsoft prennent en charge toutes les personnes, les contrôleurs ainsi que diverses autres ressources sur le domaine du serveur Windows. Il utilise le nom d'utilisateur, les mots de passe ainsi que les clés Secure Shell pour reconnaître les éléments du site d'annuaire.

Vous rencontrerez l'erreur "La relation de confiance entre ce poste de travail et le domaine principal a échoué" si la clé secrète exclusive sur l'ordinateur est différente de celle du serveur de publicité principal. Il en résulte que le client ne peut pas accéder au domaine Windows Server.

Cela se produit généralement à la suite de systèmes informatiques répliqués ou d'éléments de contrôleur de domaine. Cependant, cela peut également se produire pour de nombreuses autres raisons.

Dans cet article, nous clarifions toutes les raisons possibles ainsi que la manière exacte dont vous pouvez les résoudre.

Causes de l'échec de la relation d'approbation entre ce poste de travail et le domaine principal

Voici les raisons potentielles de l'inquiétude "compter sur la connexion entre ce poste de travail et le nom de domaine principal a échoué":

  • Présence d'un appareil supplémentaire portant le même nom sur le nom de domaine de l'annonce.
  • L'ordinateur n'est pas actif sur le nom de domaine pendant plus longtemps que la période de réinitialisation vitale secrète du domaine.
  • Effectuer le retour du système à un point de récupération créé avant la réinitialisation du secret du domaine.
  • Cloner l'ordinateur sans exécuter Sysprep (sysprep se débarrasse d'un système informatique joint à un domaine du domaine).
  • Différence de temps entre le client et le nom de domaine.
  • Paramètres DNS incorrects sur le client.
  • Corruption des informations d'identification de la publicité sur le lecteur de quartier.
  • Problèmes avec le contrôleur de domaine.

Échec des correctifs pour la relation d'approbation entre ce poste de travail et le domaine principal

Il existe de nombreux remèdes possibles que vous pouvez faire à partir de l'ordinateur du quartier. Mais pour d'autres, vous devez utiliser le contrôleur de domaine (DC) ou un PC avec des périphériques RSAT.

Si vous n'avez pas accès au DC, contactez l'administrateur système pour demander les techniques de dépannage appropriées.

N'oubliez pas non plus que vous devez connectez-vous à votre compte de responsable régional (pas de client de domaine) avant d'exécuter les options depuis les postes de travail.

Synchroniser l'heure ainsi que la date

La première chose que vous devez faire est d'établir la bonne date ainsi que l'heure. S'il y a plus de 5 minutes de différence entre le contrôleur de domaine et les postes de travail, les utilisateurs ne peuvent pas vérifier auprès des services DC.

Pour résoudre ce problème, vous devez synchroniser correctement les heures. La synchronisation automatique du moment avec le Web sur le DC en plus de votre fabricant régional doit suffire pour la plupart.

S'il y a encore une certaine disparité, vous devez réajuster un objet de stratégie de groupe (GPO) sur le contrôleur de domaine. Le processus est conforme à :

  1. Ouvrez l'éditeur de gestion des stratégies de groupe.
  2. Aller à La configuration d'un ordinateur > > Stratégies > > Paramètres Windows > > Les paramètres de sécurité > > Politiques de compte > > Politique Kerberos
  3. Double-cliquez sur Tolérance maximale pour la synchronisation de l'horloge du système informatique
  4. Augmentez le temps et cliquez D'ACCORD

Modifier le nom de domaine

Une réparation rapide possible consiste à modifier le nom de domaine de FQDN en nom NETBIOS. Cela redynamise votre poste de travail sur le nom de domaine sans avoir à le séparer et aussi à le reconnecter. Néanmoins, il n'aide pas les noms de domaine public et ne fonctionne également qu'au sein d'un Active Directory NETBIOS.

Changer le nom de domaine du nom NETBIOS en FQDN est également un bon remède si vous êtes attaché à un nom de domaine public et qu'il existe de nombreux serveurs Web avec le même domaine. L'ajout du suffixe vous aide à vous connecter au domaine spécifique que vous désirez.

Voici les étapes requises pour cette technique :

  1. Appuyez sur Win + R pour ouvrir Exécuter.
  2. Entrer sysdm.cpl pour charger les propriétés système.
  3. Dans Nom de l'ordinateur, sélectionnez Changer
  4. Ajoutez ou supprimez le suffixe (tel que local, netetc) sur le nom de domaine et cliquez également sur OK.

Redémarrez votre PC et examinez également si le problème se répète. Si c'est le cas, ou si vous rencontrez d'autres erreurs, changez de domaine et passez aux services suivants.

Rejoindre au domaine

Une autre méthode pour résoudre ce problème consiste à dissocier votre ordinateur du domaine et à le rejoindre une fois de plus. Cela élimine toutes les qualifications précédentes que votre ordinateur avait réellement enregistrées et vous permet d'enregistrer l'astuce secrète légitime après avoir rejoint.

Voici comment vous pouvez rejoindre votre poste de travail au domaine :

  1. Ouvert Propriétés du système et allez à Nom de l'ordinateur
  2. Sélectionner Changer
  3. Vérifier Groupe de travail et entrez le nom de votre choix.
  4. Cliquez sur D'ACCORD et alors D'ACCORD encore.
  5. Redémarrez votre PC et suivez les mêmes étapes jusqu'à ce que vous arriviez aux changements de nom/domaine de l'ordinateur.
  6. Cette fois, vérifiez Domaine et tapez le nom de domaine.
  7. Cliquez sur D'ACCORD et obtenir les informations d'identification.

Redémarrez votre système informatique et vérifiez si le problème persiste.

Si tel est le cas, vous devez supprimer les documents du journal et réessayer.

  1. Tout d'abord, déconnectez votre ordinateur d'Internet.
  2. Supprimer le journal soumis à l'intérieur C:ProgramDataMicrosoftWindows ServerLogs
  3. Si vous utilisez un logiciel de connecteur tiers pour vous connecter au nom de domaine, désinstallez-le.
  4. Rejoindre votre ordinateur au domaine en utilisant les actions ci-dessus.

Vérifier la configuration DHCP

Une configuration DHCP incorrecte peut également être à l'origine de ce problème. Vous devez vous assurer que le DHCP alloue des adresses IP qui se trouvent dans l'étendue de l'adresse IP de votre serveur Web de nom de domaine. Par exemple, si votre réseau configuré est 10.0.0.1/24les adresses IP de début et de fin pour le DHCP doivent être 10.0.0.x

Pour vérifier et également modifier la configuration DHCP,

  1. Ouvrez Exécuter et entrez également dhcpmgmt.msc sur le serveur du contrôleur de domaine.
  2. Accédez à votre serveur Web et augmentez IPv 4> > Portée > > Groupe d'adresses
  3. Vérifier la Adresses IP de début et de fin
  4. Faites un clic droit sur Portée et choisissez Propriétés
  5. Modifiez les adresses IP de début et de fin selon les besoins.

Ensuite, ouvrez le portail de votre routeur sur un navigateur Internet et accédez à ses paramètres DHCP. Vérifiez si toutes les configurations sont correctes et apportez les modifications essentielles.

Enregistrer le contrôleur de domaine dans Credential Manager

Vous devez également essayer d'enregistrer les informations d'identification du nom de domaine sur le superviseur des informations d'identification. Vous constaterez que le fonds fiduciaire a cessé de fonctionner lorsqu'il y a tout type d'erreur lors de l'obtention manuelle des qualifications.

Si vous enregistrez les qualifications dans Credential Manager, vous pourrez certainement accéder à l'environnement du domaine sans avoir à saisir votre mot de passe à chaque fois.

Suivez les étapes ci-dessous pour exécuter ce remède :

  1. Ouvrez Exécuter et entrez également control /name Microsoft.CredentialManager
  2. Sélectionner Informations d'identification Windows > > Ajouter un identifiant Windows
  3. Entrez le domaine, le nom d'utilisateur du nom de domaine et également le mot de passe, puis cliquez sur D'ACCORD

Confirmer les exigences de port des services de domaine Active Directory

La relation de fonds d'affectation spéciale cessera certainement de fonctionner si le pare-feu n'a pas les ports appropriés ouverts pour permettre aux postes de travail d'interagir avec le contrôleur de domaine. Vous devez donc vous assurer que tous les ports appropriés sont ouverts. Vous pouvez décrire les documents Microsoft sur configuration d'un programme de pare-feu pour les domaines Active Directory et également les approbations pour découvrir la procédure essentielle.

Recréer l'objet ordinateur sur Active Directory

Si l'Active Directory a éliminé votre créateur, vous ne pouvez pas accéder au domaine même si votre PC montre qu'il appartient au nom de domaine.

Donc, vous devez vérifier si c'est le cas et bien sûr, recréer votre système informatique sur la publicité. Voici comment vous pouvez le faire :

  1. Ouvrez Exécuter (Win + R).
  2. Taper powershell ainsi que appuyez sur Ctrl + Maj + Entrée. Il charge le Windows PowerShell élevé.
  3. Entrez la commande $env:computername pour obtenir votre nom d'hôte.
  4. Alors gentil Get-ADComputer <Host Name> et appuyez sur Entrée pour vérifier si votre système informatique existe sur l'annonce. Assurez-vous d'utiliser votre propre nom d'hôte.
  5. Si ce n'est pas le cas, entrez la commande suivante tout en remplaçant les valeurs en fonction de votre situation :
    New-ADComputer -Name "Host Name" -SamAccountName "Host Name" -Path "OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=USER02,DC=COM

Testez et réparez également le canal sécurisé de l'ordinateur

Vous devez vérifier si la clé secrète de votre poste de travail coïncide avec celle de votre compte d'ordinateur dans le contrôleur de domaine. Une méthode que vous pouvez effectuer à partir de la machine locale consiste à utiliser le Test-ComputerSecureChannel Applet de commande PowerShell.

C'est le meilleur service si vos problèmes sont dus à l'existence d'une autre machine hôte avec le même nom sur le DC.

Voici les étapes requises pour la procédure :

  1. Ouvrez Exécuter (Win + R).
  2. Taper powershell et appuyez également sur Ctrl + Maj + Entrée. Il tonne le Windows PowerShell élevé.
  3. Entrez la commande Test-ComputerSecureChannel - Verbose
  4. S'il découvre tout type de problèmes, exécutez Test-ComputerSecureChannel -Repair

Redémarrez votre ordinateur, visitez le compte d'utilisateur du nom de domaine et examinez également si le problème persiste.

Réinitialiser les identifiants

Si les informations d'identification privées sur votre poste de travail sont différentes de celles du contrôleur de domaine de publicité, la solution la plus simple consiste à réinitialiser vos informations d'identification. Dans cette méthode, votre système utilise les informations d'identification du nom de domaine mis en cache pour rétablir le compte.

Vous pouvez utiliser le Reset-ComputerMachinePassword applet de commande sur Windows PowerShell à cet effet.

  1. Ouvrez Elevated Windows PowerShell sur votre compte d'administrateur régional.
  2. Entrez la commande $credential = Get-Credential
  3. Taper Reset-ComputerMachinePassword -Credential $credential et appuyez également sur Entrée.

Redémarrez votre PC, visitez le compte client du domaine et vérifiez si vous rencontrez toujours ce problème.

Activer la mise en cache des informations d'identification de domaine

Certaines des approches ci-dessus utilisent les qualifications de nom de domaine en cache pour développer la confiance. Ainsi, ils ne fonctionnent que si vous avez réellement mis en cache des qualifications. Sinon, l'administrateur du contrôleur de domaine doit réinitialiser votre ordinateur local ou son mot de passe.

Vous devez permettre au processus de mise en cache de simplifier la résolution de ce problème au cas où cela se reproduirait à l'avenir. Voici comment procéder :

  1. Entrer secpol.msc sur Exécuter.
  2. Aller à Les paramètres de sécurité > > Politiques locales > > Options de sécurité
  3. Double-cliquez Connexion interactive : Nombre de connexions précédentes au cache
  4. Définissez le cache de connexion sur le nombre que vous désirez. Les valeurs possibles varient de 0 à 50.

Vous pouvez également utiliser l'éditeur de registre Windows pour effectuer cette modification. Faire cela,

  1. Ouvrir Exécuter ainsi que saisir regedit
  2. Aller vers ComputerHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
  3. Double-cliquez CashedLogonsCount ainsi que modifier les données de valeur selon vos préférences.

Désactiver la récupération au démarrage

Windows dispose d'une fonction de récupération qui restaure instantanément le système après une panne de courant. Dans un tel scénario, la récupération automatique peut renvoyer l'astuce secrète du domaine qui est enregistrée sur votre PC.

Ainsi, vous pouvez activer le plan de démarrage pour ignorer tous ces échecs afin de désactiver la fonction. Voici comment vous pouvez le faire :

  1. Ouvrez l'invite de commande en tant qu'administrateur.
  2. Entrez les commandes suivantes :
    • bcdedit /set recoveryenabled no
    • bcdedit /set bootstatuspolicy ignoreallfailures

Cependant, rappelez-vous que cet attribut est là pour la protection de votre système. Donc, nous ne suggérons pas de le désactiver à moins que vous n'en ayez besoin.

Modifier l'âge du mot de passe du compte machine

Si vous devez éloigner le poste de travail du contrôleur de domaine (c'est-à-dire empêcher la visite du nom de domaine) pendant de longues périodes, vous devrez résoudre le problème de confiance à chaque fois.

Dans de tels scénarios, il est préférable de prolonger l'âge du mot de passe pour éviter de tels problèmes.

Voici exactement comment vous pouvez le faire :

  1. Entrer secpol.msc sur Exécuter.
  2. Aller à Les paramètres de sécurité > > Politiques locales > > Options de sécurité
  3. Double-cliquez sur Membre de domaine : âge maximal du mot de passe du compte d'équipement
  4. Définissez l'âge maximum en fonction de vos besoins. Vous pouvez établir n'importe quelle valeur entre 0 et 999.

Vous pouvez également utiliser l'éditeur de registre du système informatique pour effectuer cette modification. Faire cela,

  1. Ouvrez l'Éditeur du Registre en saisissant regedit sur Exécuter.
  2. Aller vers ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
  3. Double-cliquez MaximumPasswordAge et modifiez également les données de valeur selon votre choix.

Si vous utilisez Provisioning Services pour diffuser des logiciels à partir de vDisks, vous devez également modifier l'âge du mot de passe à partir de sa console.

  1. Ouvrez la console du serveur de provisionnement sur le DC.
  2. Ouvrir le domaine et aussi élargir Des sites > > Placer > > Les serveurs
  3. Faites un clic droit sur votre serveur Web et choisissez Propriétés
  4. Allez à la Choix languette.
  5. Modifiez le nombre de jours ainsi que cliquez sur D'accord

Vous pouvez également désactiver entièrement le processus de modification du mot de passe en autorisant le Désactiver le changement de mot de passe valeur de registre pc ou Membre de domaine : désactiver les modifications du mot de passe du compte d'ordinateur objet de stratégie d'équipe. Néanmoins, nous vous déconseillons cette pratique car elle pourrait mettre en danger votre vie privée.

Modifier le mot de passe de la machine à partir du contrôleur de domaine

Du côté du contrôleur de domaine, la transformation ou la réinitialisation du mot de passe des postes clients devrait résoudre le problème de distinction des informations d'identification. Il existe de nombreuses méthodes pour le faire, telles que :

Utilisation d'Active Directory

  1. Ouvrez les utilisateurs Active Directory ainsi que les ordinateurs.
  2. Développez le domaine et sélectionnez Utilisateurs
  3. Faites un clic droit sur le compte d'utilisateur que vous souhaitez réinitialiser et sélectionnez réinitialiser le mot de passe
  4. Configurez un nouveau mot de passe et continuez à vérifier jusqu'à ce que vous ayez terminé.

Utilisation de l'utilitaire Netdom

  1. Connectez-vous au serveur Windows (contrôleur de domaine) à l'aide de votre compte administrateur.
  2. Ouvrez l'invite de commande élevée et accédez à la commande : netdom resetpwd /s:<server> /ud:<domainuser> /pd:*

N'oubliez pas de changer< web server> > ainsi que< domain name customer> > convenablement.

Demandez au propriétaire du nom de domaine de réactiver son ordinateur et visitez également son compte de nom de domaine avec un nouveau mot de passe.

Utilisation de l'utilitaire Nltest

  1. Ouvrez l'invite de commande élevée sur le serveur Web Windows.
  2. Entrez la commande nltest /sc_change_pwd:<AD DS domain name> tout en remplaçant< AD DS domain> > avec le nom du poste de travail.

Réinitialiser le compte de l'ordinateur

Une autre méthode réalisable pour résoudre ce problème consiste à réinitialiser le poste de travail à partir du contrôleur de domaine. Il offre exactement le même effet que la dissociation et la réintégration du système informatique au DC.

  1. Ouvrez Exécuter.
  2. Entrer dsa.msc pour ouvrir l'utilisateur Active Directory ainsi que les ordinateurs.
  3. Accédez à votre nom de domaine et développez Computers
  4. Faites un clic droit sur le système informatique du client du nom de domaine et sélectionnez également Reset Account
  5. Cliquez sur Yes et après ça OK

Demandez à la personne de l'ordinateur du domaine de réactiver son ordinateur et de se connecter en utilisant le compte du nom de domaine.

Vérifier l'intégrité du contrôleur de domaine

Il est également possible que cette erreur se produise en raison de problèmes avec le contrôleur de domaine lui-même. Vous pouvez exécuter le dcdiag commande sur la CLI du serveur pour inspecter le bien-être du contrôleur de domaine.

Le résultat de cette commande doit vous diriger vers tout type de problème possible avec le DC. Première exécution dcdiag /fix et voir si ça aide. Sinon, appliquez les étapes dans les options successives en fonction de votre souci.

Supprimer le SID du contrôleur de domaine en double

Dans des cas normaux, un domaine n'aura que des SID distincts pour son contrôleur de domaine. Néanmoins, dans certains scénarios, il est possible qu'il y ait des SID en double. La connexion au fonds fiduciaire peut cesser de fonctionner dans de tels cas si le poste de travail tente de se connecter au mauvais compte.

Vous devez vérifier et vous débarrasser du contrôleur de domaine en double dans de telles circonstances. Faire cela,

  1. Ouvrez Run et entrez dans ntdsutil
  2. Sur l'interface de ligne de commande Ntdsutil, entrez security account management
  3. Entrer connect to server <your server name>
  4. Entrez la commande check duplicate sid
  5. S'il y a des correspondances, allez dans cleanup duplicate sid
  6. Entrer quit deux fois pour fermer la CLI.

Après vous être débarrassé des SID en double, recréez les comptes supprimés sur Active Directory.

Nettoyer les métadonnées du serveur

Si vous vous êtes débarrassé de force d'un service de domaine Active Directory sans nettoyer ses métadonnées et que vous avez développé un domaine supplémentaire portant exactement le même nom, les postes de travail essayant de se connecter à ce nom de domaine rencontreront également ce problème.

Il existe de nombreuses façons de ranger les métadonnées du serveur Web. Cependant le plus simple est d'utiliser la commande Ntdsutil. Voici les actions essentielles :

  1. Ouvrez Run et entrez ntdsutil
  2. Sur le Ntdsutil, entrez metadata cleanup
  3. Entrer remove selected server <server name> tout en remplaçant par le nom du serveur Web que vous avez supprimé.
  4. Entrer quit ou q une fois le processus terminé pour fermer la CLI.

Supprimer les objets persistants et activer la cohérence de réplication stricte

Les objets persistants sont les éléments que les administrateurs du contrôleur de domaine ont effectivement supprimés sur le contrôleur. Si le contrôleur de domaine reste hors ligne pendant une très longue période, il est possible que son Active Directory conserve les éléments supprimés par d'autres contrôleurs de domaine.

Une fois que le DC est en ligne, ces éléments persistants peuvent également être dupliqués sur les autres contrôleurs, déclenchant de nombreuses inquiétudes, y compris l'erreur de partenariat du fonds fiduciaire.

Vous devez éliminer le collage autour des objets pour résoudre le problème. Vous devez également permettre à la cohérence de réplication stricte d'arrêter la duplication des éléments en attente. Voici comment vous pouvez effectuer les deux processus :

  1. Ouvrez l'invite de commande élevée sur le serveur Web.
  2. Entrez les commandes suivantes :
    • repadmin /showrepl <ServerName>
    • repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    • repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition>
    • repadmin /regkey <DC_LIST> +strict

L'évaluation des 3 premières commandes et l'élimination des éléments restants ainsi que la dernière commande permettent une cohérence de réplication stricte. Vous pouvez également activer ce type de valeur dans le ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters chemin d'accès au registre du système informatique.

Rétrograder et re-promouvoir le contrôleur de domaine

Si les méthodes ci-dessus ne résolvent pas le problème sur le contrôleur de domaine, vous devez le rétrograder et également le promouvoir à nouveau pour réinitialiser le contrôleur. Dans un premier temps, rétrogradez le contrôleur de domaine en suivant les étapes ci-dessous :

  1. Entrer dsa.msc sur Exécuter.
  2. Accédez à votre nom de domaine et augmentez Contrôleurs de domaine
  3. Faites un clic droit sur le nom de domaine et sélectionnez Effacer
  4. Vérifier Supprimer quand même ce contrôleur de domaine et sélectionnez Effacer

Si vous êtes sur un serveur Windows antérieur à 2008, vous devez nettoyer les métadonnées du serveur. Sur les variantes ultérieures, cette procédure a lieu instantanément si vous utilisez cette méthode.

Noter: Si vous souhaitez rétrograder complètement le DC, vous devez utiliser une méthode différente. Veuillez décrire les documents Microsoft sur la rétrogradation des contrôleurs de domaine ainsi que les domaines pour découvrir les actions requises.

Après cela, exécutez DCPromo (Domain Controller Promoter) et suivez également les instructions à l'écran pour re-promouvoir le DC.

Résoudre les problèmes de restauration USN

Ce problème peut également se produire si vous limitez un DC Windows Server avec une installation basée sur une image du système d'exploitation sur le serveur Web. Ce problème est appelé restauration USN et empêche les ajustements que vous effectuez sur un contrôleur de domaine de se répliquer sur les autres.

Vous ne pouvez pas savoir si un type de problème causal dont nous avons parlé dans les sections précédentes s'est produit après une restauration USN. Cela est dû au fait que les différents autres DC pensent avoir en fait l'une des sources de données les plus mises à jour. Ainsi, ils ne mettent pas à jour les mots de passe provenant du contrôleur de domaine annulé.

Vous pouvez examiner si une restauration USN a eu lieu à partir du Dsa non inscriptible entrée de registre pc à l'intérieur ComputerHKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters S'il affiche 4 ou 0x4, cela indique la restauration USN.

Pour résoudre ce problème, vous devez exécuter les opérations suivantes :

  1. Rétrogradez le contrôleur de domaine et arrêtez également son serveur.
  2. Nettoyez les métadonnées si nécessaire.
  3. Transférer les rôles FSMO à un autre contrôleur de domaine, le cas échéant.
  4. Redémarrez le contrôleur de domaine qui a subi la restauration et transférez les fonctions FSMO.

Vous pouvez également restaurer le contrôleur de domaine à l'état antérieur à la restauration si vous disposez d'une sauvegarde de l'état du système.

Articles Similaires