Prokursy Online

Podstawy

🔵 ADMIN4 min czytaniaPostęp: 142/233

The trust relationship failed

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Co wnosi ta lekcja

Po tej lekcji zrozumiesz:

  • co oznacza błąd „The trust relationship between this workstation and the primary domain failed”,
  • dlaczego to nie jest błąd hasła użytkownika, tylko „hasła komputera” w domenie,
  • jak to szybko zdiagnozować,
  • 3 metody naprawy: reset konta komputera, rejoin do domeny, PowerShell / Test-ComputerSecureChannel,
  • kiedy nie usuwać profilu i jak go zachować.

Scenariusz z życia (helpdesk)

Użytkownik mówi:
„Wczoraj działało, dziś nie mogę się zalogować do domeny. Dostaję trust relationship failed.”

To typowe po:

  • długim braku kontaktu komputera z domeną (laptop poza firmą),
  • przywróceniu VM ze snapshota,
  • klonowaniu dysku / przeniesieniu systemu,
  • nieudanym restore/rollback,
  • wymianie komputera „na szybko”.

Co naprawdę się dzieje (mechanizm)

1) Komputer też ma „konto” w domenie

Gdy dodajesz PC do domeny, w AD powstaje obiekt komputera (np. PC-01$). To konto ma swój sekret (hasło) – Computer Account Password.

2) Komputer okresowo zmienia swoje hasło w domenie

Windows co jakiś czas zmienia to hasło automatycznie (mechanizm bezpieczeństwa). Jeśli komputer i domena „rozjadą się” (komputer ma inne hasło niż AD), to domena odmawia zaufania.

3) Efekt

  • logowanie domenowe nie działa (albo działa „czasami”),
  • GPO, mapowania i zasoby mogą nie działać,
  • lokalne logowanie może działać.

To nie problem użytkownika — to problem relacji PC ↔ DC.

Objawy (jak to rozpoznasz)

  • komunikat: The trust relationship… failed
  • często działa logowanie lokalne: .\User albo PCNAME\User
  • użytkownik na laptopie „znikąd” przestaje działać w domenie
  • po przywróceniu VM ze snapshota: domena nie ufa maszynie

Diagnostyka krok po kroku (checklista admina)

Krok 1 — sprawdź, czy to na pewno domena

Na ekranie logowania upewnij się, że użytkownik wpisuje: DOMENA\user albo user@domena.local

Krok 2 — sieć i DNS (zawsze!)

Na komputerze (jeśli wejdziesz lokalnie):

  • ipconfig /all → czy DNS to DC?
  • ping dc01
  • nslookup domena.local

Jeśli DNS jest zły, to czasem błąd trust to tylko „efekt uboczny”.

Krok 3 — szybki test kanału zaufania (PowerShell)

Na komputerze (jako lokalny admin): Test-ComputerSecureChannel -Verbose

Jeśli zwróci False → masz potwierdzenie.

Naprawa (3 metody — od najszybszej)

Metoda A — naprawa kanału (bez wywalania z domeny)

Najlepsza metoda, gdy to laptop/serwer i chcesz zachować wszystko.

  1. Zaloguj się lokalnym adminem
  2. PowerShell (Run as Admin): Test-ComputerSecureChannel -Repair -Credential DOMENA\Administrator
  3. Restart
  4. Test: Test-ComputerSecureChannel

✅ Zaleta: często bez ponownego dołączania, bez ryzyka profilu

⚠️ Wymaga łączności z DC i uprawnień

Metoda B — reset konta komputera w AD (i dopiero potem naprawa/rejoin)

Dobre, gdy masz dostęp do AD, a komputer „wariuje”.

Na DC:

  1. AD Users and Computers → znajdź komputer PC-01
  2. PPM → Reset Account

Następnie na kliencie: albo Metoda A (Repair secure channel), albo Metoda C (rejoin).

✅ Zaleta: proste, szybkie

⚠️ Sam reset w AD czasem nie wystarcza bez naprawy po stronie klienta

Metoda C — ponowne dołączenie do domeny (rejoin)

Najpewniejsza metoda, gdy inne nie działają.

  1. Zaloguj się lokalnie (administrator)
  2. System → Domain/Workgroup: wypnij z domeny → dołącz do WORKGROUP
  3. restart
  4. dołącz ponownie do domeny
  5. restart

✅ Zaleta: działa prawie zawsze

⚠️ Może wpływać na profile domenowe i cache (ale nie musi)

Kiedy NIE trzeba usuwać profilu użytkownika

W 90% przypadków profilu nie ruszasz.

Profil usuwa się dopiero, gdy:

  • po naprawie/rejoin użytkownik loguje się i dostaje Temporary profile
  • profil jest uszkodzony (błędy profilu, brak ładowania pulpitu)
  • system utworzył nowy profil z sufiksem .DOMAIN lub .000

Jak zachować dane, jeśli jednak trzeba profil ruszyć

  • kopiujesz: C:\Users\username\Desktop, Documents, Downloads
  • nie kopiujesz „w ciemno” całego profilu (AppData może wprowadzać śmieci)
  • w razie potrzeby tworzysz nowy profil i przenosisz dane użytkownika

„Myślenie administratora” (najważniejsze)

  • To nie „hasło użytkownika”, tylko komputer stracił zaufanie do domeny.
  • Najpierw sprawdź DNS i łączność z DC, bo bez tego żadna naprawa nie ma sensu.
  • Jeśli to VM: snapshot/rollback jest częstą przyczyną.
  • Zaczynaj od najmniej inwazyjnej metody (Repair), dopiero potem rejoin.

Zapamiętaj – 4 fakty egzaminowe

  1. Komputer w domenie ma swoje konto w AD (PC$) i własne hasło.
  2. Błąd trust = rozjazd hasła komputera między PC a AD.
  3. Naprawa: Test-ComputerSecureChannel -Repair lub reset konta komputera / rejoin do domeny.
  4. Profil usuwa się tylko, gdy po naprawie profil się nie ładuje / tworzy się temp.

Pytania testowe ABCD

Pytanie 1
Komunikat „The trust relationship failed” oznacza najczęściej:

A) zły login użytkownika
B) zły DNS na routerze
C) rozjazd hasła konta komputera w AD i na kliencie
D) brak licencji CAL

C

Pytanie 2
Najmniej inwazyjna naprawa, gdy komputer widzi DC:

A) format dysku
B) usunięcie profilu użytkownika
C) Test-ComputerSecureChannel -Repair
D) reinstall Windows

C

Notatki (opcjonalnie)
PoprzedniaNastępna