W warunkach domowych lub firmowych, zarządzanie komputerami klienckimi i serwerami odbywa się w oparciu o dwie główne konfiguracje: grupy robocze (stosowane w niewielkich przedsiębiorstwach, z liczbą komputerów nieprzekraczającą 10) oraz domeny (łączące setki, a nawet tysiące komputerów w ramach centralnej sieci). W przypadku grup roboczych zazwyczaj nie jest konieczny dedykowany serwer. Natomiast struktura domeny wymaga co najmniej jednego serwera, pełniącego funkcje usług domenowych Active Directory oraz usług nazw domen. Wielu użytkowników zgłasza problem z logowaniem do konta domenowego, spowodowany komunikatem o nieudanej relacji zaufania między stacją roboczą a domeną podstawową w systemie Windows 10. Jeśli również Państwo napotykają ten problem, zapraszamy do zapoznania się z naszym poradnikiem, który krok po kroku wyjaśni, jak rozwiązać kwestię nieudanej relacji zaufania, bez konieczności interwencji administratora lokalnego.
Rozwiązanie problemu: Nieudana relacja zaufania między stacją roboczą a domeną w systemie Windows 10
Awarie relacji zaufania między stacją roboczą a domeną podstawową to jedno z częstszych wyzwań, przed którymi stają administratorzy systemów. Poniżej przedstawiamy kilka istotnych informacji związanych z tym problemem:
- Dołączenie komputera do domeny Active Directory wiąże się z koniecznością utworzenia nowego konta użytkownika i ustawienia hasła.
- Podczas logowania w domenie Active Directory, tworzony jest bezpieczny kanał komunikacyjny z najbliższym kontrolerem domeny. Kontroler domeny (DC) weryfikuje poświadczenia użytkownika, a zaufanie pomiędzy komputerem a domeną jest ustanawiane, o ile dane logowania spełniają zasady bezpieczeństwa danej organizacji.
- Hasło standardowo zachowuje ważność przez 30 dni i po tym okresie wymaga zmiany.
- Dane logowania i hasło do konta lokalnego komputera nie podlegają wygaśnięciu w Active Directory, ponieważ zasady haseł domenowych nie są stosowane do obiektów komputerów w usłudze Active Directory.
- Interesujący jest fakt, że nawet jeśli komputer pozostaje wyłączony przez dłuższy czas (kilka miesięcy, a nawet rok), relacja zaufania pomiędzy komputerem a domeną pozostaje aktywna. Przy kolejnym logowaniu do stacji roboczej podłączonej do domeny hasło zostanie zmienione przy pierwszym logowaniu.
- Zerwanie tej relacji, z jakiejkolwiek przyczyny, skutkuje wyświetleniem komunikatu o nieudanej relacji zaufania między stacją roboczą a domeną podstawową. Nie pojawia się przy tym żaden komunikat administratora lokalnego.
Weryfikacja relacji zaufania między stacją roboczą a domeną
Aby sprawdzić, czy relacja zaufania jest poprawna, należy upewnić się, że hasło lokalne komputera jest zsynchronizowane z hasłem konta komputera w domenie. Aby to sprawdzić, wykonaj poniższe kroki:
1. Zaloguj się do komputera, korzystając z lokalnego konta administratora i hasła.
Uwaga: Jeśli napotkasz trudności z zalogowaniem się, tymczasowo odłącz kabel Ethernet. W niektórych przypadkach umożliwia to zalogowanie się na podstawie buforowanych poświadczeń użytkownika usługi Active Directory. Po zalogowaniu z użyciem danych z pamięci podręcznej, ponownie podłącz kabel Ethernet.
2. Naciśnij klawisz Windows, wpisz „PowerShell” i kliknij „Otwórz”.
3. Następnie wpisz komendę „Test-ComputerSecureChannel” i naciśnij klawisz Enter.
4. Możesz również dodać parametr „-verbose” i ponownie nacisnąć klawisz Enter.
Test-ComputerSecureChannel -Verbose VERBOSE: Performing the operation Test-ComputerSecureChannel on target Techcult(Type Company Name). True VERBOSE: The secure channel between the local computer and the domain techcult.com is in good condition.
5. Powinien pojawić się komunikat, że „Bezpieczny kanał między komputerem lokalnym a domeną (nazwa firmy).com jest w dobrym stanie”. W takim przypadku relacja zaufania między stacją roboczą a domeną działa prawidłowo.
Przyczyny problemów z relacją zaufania
Problem z nieudaną relacją zaufania domeny może wynikać z różnych przyczyn:
- Utrata zaufania stacji roboczej w domenie.
- Niezgodność poświadczeń hasła do konta lokalnego komputera z hasłem obiektu komputera w Active Directory.
- Próba uwierzytelnienia domeny z użyciem nieprawidłowego hasła.
- Ponowna instalacja systemu Windows.
- Przywrócenie komputera do wcześniejszego punktu przywracania lub migawki, w której hasło konta komputera jest już nieaktualne.
Poniżej przedstawiamy zestaw metod rozwiązywania problemów, które pomogą naprawić relację zaufania. W celu osiągnięcia najlepszych efektów, wykonuj kroki zgodnie z instrukcją.
Uwaga: przed rozpoczęciem upewnij się, że utworzyłeś punkt przywracania systemu, aby w razie problemów móc przywrócić komputer do stanu początkowego.
Metoda 1: Włączenie serwera DHCP
Jeśli w ostatnim czasie dodawałeś nowy serwer DHCP lub wprowadzałeś zmiany w istniejącej puli adresów, ta metoda może być dla Ciebie pomocna. Serwer DHCP umożliwia przydzielanie adresów IP komputerom w sieci dynamicznie lub statycznie.
Niektórzy użytkownicy zgłaszali problem z relacją zaufania po dodaniu serwera DHCP do sieci. Wynika to z wprowadzenia nieprawidłowej puli adresów IP DHCP. Dlatego też, warto zweryfikować poprawność działania serwera DHCP, wykonując poniższe kroki:
Uwaga: W opisie poniżej przedstawiono kroki sprawdzania konfiguracji DHCP dla systemów Windows Server 2016 i routera TP-Link TL-ER6120, działającego z adresem IP 192.168.1.0/24. Wykonaj kroki zgodnie z konfiguracją twojej sieci.
1. Naciśnij jednocześnie klawisze Windows + R, aby otworzyć okno „Uruchom”.
2. Wpisz „dhcpmgmt.msc” i naciśnij Enter, aby uruchomić narzędzie do zarządzania DHCP.
3. Rozwiń serwer do techcult.comIPv4Scope.
4. Jeśli okaże się, że konfiguracja DHCP nie jest prawidłowa (np. adres IP 192.168.1.0/24), należy ją zmodyfikować.
Kolejne kroki dotyczą sprawdzenia konfiguracji DHCP routera (np. TP-Link TL-ER6120):
1. Zapisz adres IP, nazwę użytkownika i hasło do routera.
Uwaga: Jeśli nie wiesz, jak znaleźć adres IP routera, zapoznaj się z naszym przewodnikiem „Jak znaleźć adres IP mojego routera?” lub z instrukcją do urządzenia.
2. Uruchom przeglądarkę i w pasku adresu wpisz adres IP routera.
3. Wprowadź dane logowania routera i zaloguj się.
4. Przejdź do zakładki „Sieć” i wybierz „LAN” z lewej strony.
5. Przejdź do zakładki „DHCP” i upewnij się, że serwer DHCP jest włączony. Sprawdź adresy DHCP i zapisz zmiany, jeśli były wprowadzane.
Metoda 2: Ponowne dołączenie komputera do domeny
Ponowne dołączenie komputera do domeny może rozwiązać problem z relacją zaufania. Potrzebne jest do tego konto administratora domeny, posiadające uprawnienia do dodawania i dołączania komputerów.
Uwaga: Poniżej przedstawiono kroki ponownego dołączenia do domeny w systemie Windows 10 Pro z użyciem serwera Windows Server 2016. Kroki te można również wykonać w innych wersjach systemów klienckich i serwerowych, takich jak Windows XP, Windows 8 z Windows Server 2003 lub 2012 R2.
1. Zaloguj się na lokalne konto administratora systemu Windows i naciśnij jednocześnie klawisze Windows + E, aby otworzyć „Eksplorator plików”.
2. Kliknij „Ten komputer” z lewej strony okna i wybierz „Właściwości”.
3. Znajdź i kliknij „Wyświetl zaawansowane ustawienia systemu” i przejdź do zakładki „Nazwa komputera”.
4. Kliknij przycisk „Zmień…”.
5. W oknie „Zmiana nazwy komputera/domeny” wybierz opcję „Grupa robocza” i wpisz dowolną nazwę.
6. Kliknij „OK”, aby zapisać zmiany.
7. W oknie „Zabezpieczenia systemu Windows” wprowadź dane logowania administratora i kliknij „OK”.
8. Potwierdź kolejne komunikaty, klikając „OK” i zamykając okno „Właściwości systemu”.
9. Uruchom ponownie komputer i zaloguj się na konto użytkownika domeny.
Sprawdź, czy problem z relacją zaufania został rozwiązany.
Metoda 3: Naprawa relacji zaufania z użyciem PowerShell
Kolejną potencjalną metodą naprawy relacji zaufania jest wykorzystanie środowiska PowerShell. Metoda ta pomaga odbudować zaufanie między stacją roboczą a domeną. Wymaga posiadania konta administratora lokalnego. Postępuj zgodnie z poniższymi krokami:
1. Zaloguj się na lokalne konto administratora systemu Windows 10.
2. Naciśnij klawisz Windows, wpisz „PowerShell” i kliknij „Otwórz”.
3. Wpisz polecenie „$credential = Get-Credential” i naciśnij Enter.
4. Wprowadź dane logowania konta domeny i kliknij „OK”.
5. Wpisz polecenie „Reset-ComputerMachinePassword -Credential $credential” i naciśnij Enter.
6. Zamknij PowerShell i uruchom ponownie komputer.
7. Zaloguj się na konto domeny i sprawdź, czy problem został rozwiązany.
Metoda 4: Dodanie kontrolera domeny do menedżera poświadczeń
Problem można rozwiązać, dodając konto kontrolera domeny w Menedżerze poświadczeń. Poniżej przedstawiono kroki dla systemu Windows 10:
1. Zaloguj się na lokalne konto administratora systemu Windows 10.
2. Naciśnij klawisz Windows i wpisz „Menedżer poświadczeń”. Następnie kliknij „Otwórz”.
3. Kliknij „Poświadczenia systemu Windows”.
4. Kliknij „Dodaj poświadczenia systemu Windows”.
5. Wprowadź adres internetowy lub sieciowy kontrolera domeny oraz dane logowania, a następnie kliknij „OK”.
6. Zamknij wszystkie okna menedżera poświadczeń i uruchom ponownie komputer.
7. Zaloguj się na konto użytkownika domeny i sprawdź, czy problem został rozwiązany.
Metoda 5: Resetowanie hasła do konta
Ta metoda jest przeznaczona dla użytkowników systemów Windows Server 2003 i Windows Server 2008 R2. Użytkownicy innych wersji systemów serwerowych powinni przejść do następnej metody. Poniżej opisano, jak zresetować hasło komputera w systemie Windows Server 2008 R2. Zresetowanie hasła może rozwiązać problem w wielu przypadkach.
1. Zaloguj się na konto administratora domeny i naciśnij klawisz Windows.
2. Wpisz „cmd” i kliknij „Otwórz”.
3. Wpisz polecenie „netdom resetpwd /s:serwer /ud:użytkownik_domeny /pd:*” i naciśnij Enter.
Uwaga: „Serwer” to nazwa serwera domeny, „domena” to nazwa domeny, a „użytkownik” to konto użytkownika powodujące konflikt.
4. Zamknij wszystkie okna i uruchom ponownie komputer.
5. Zaloguj się na konto użytkownika domeny i sprawdź, czy problem z relacją zaufania został rozwiązany.
Metoda 6: Resetowanie konta komputera
Kolejną metodą jest resetowanie konta komputera za pomocą narzędzia zintegrowanego z usługami domenowymi Active Directory.
1. Naciśnij jednocześnie klawisze Windows + R, aby otworzyć okno „Uruchom”.
2. Wpisz „dsa.msc” i naciśnij Enter, aby otworzyć „Użytkownicy i komputery usługi Active Directory”.
3. Rozwiń swoją domenę, np. „techcult.com”.
4. Kliknij dwukrotnie „Komputery” i znajdź konto użytkownika powodujące problem.
5. Kliknij prawym przyciskiem myszy to konto i wybierz „Resetuj konto”.
6. Potwierdź komunikat, klikając „Tak”, a następnie „OK”. Zamknij okna „Użytkownicy i komputery usługi Active Directory”.
7. Uruchom ponownie komputer i zaloguj się na konto użytkownika domeny.
Metoda 7: Wykonanie przywracania systemu
Jeśli na komputerze występują niezgodne składniki aktualizacji systemu Windows, komputer może nie działać prawidłowo. W takiej sytuacji warto przywrócić system do stanu, w którym działał bez problemów.
Po przywróceniu systemu Windows 10 sprawdź, czy komputer podłączony do domeny działa bez problemów.
***
Mamy nadzieję, że ten poradnik okazał się pomocny i umożliwił rozwiązanie problemu nieudanej relacji zaufania. Daj nam znać, która metoda okazała się najbardziej skuteczna. Zachęcamy do zadawania pytań i dzielenia się sugestiami w sekcji komentarzy.