none
此工作站和主域间的信任关系失败,退出域后也不能重新加入 RRS feed

  • 问题

  • 1.半年间先后有4台客户端登陆时提示“此工作站和主域间的信任关系失败”。
    2.按“https://support.microsoft.com/zh-cn/kb/2771040”提供的方法尝试解决,当重新加入域时提示“加入域"xxxx.xxx"时出现了以下错误:无法创建脱机加入信息。请确保您有权访问指定的路径位置,并有修改其内容的权限。可能需要以提升的管理员身份进行”。
    3.分别在Windows Server 2003 R2和Windows Server 2012 R2作为主域的环境下都进行过“https://support.microsoft.com/zh-cn/kb/2771040”的操作,结果相同。
    4.尝试在域端采用“删除计算机”和“重置计算机”的办法均无效。
    5.目前有两台机采用登录时拔去网线登录后插回的办法,客户端能正常访问域中资源;另外两台作了“https://support.microsoft.com/zh-cn/kb/2771040”的尝试只能单机运作。
    6.尝试用“sysprep.exe”对系统初始化后重新加入域,还是不成功。

    软件环境为

    1.三台机出现问题时的服务器环境是:Windows Server 2003 R2(物理机);一台机出现问题时的服务器环境是:Windows Server 2012 R2(Hyper-v下的虚机)(跨网段)。
    2.四台客户机操作系统均为win 7 专业版
    3.当前环境为Windows Server 2012 R2主域(由Windows Server 2003 R2升级来,是Hyper-v下的虚机)

    退出域后重新加入会有以下提示

    2015年4月15日 7:03

答案

  • 谢谢前面的回答 ,但觉得只是提供了分析问题的思路!

    我用问题的英文翻译“The trust relationship between this workstation and the primary domain failed”进行搜索发现以下这样一篇博文,按照其方法操作已经成功解决问题。基本原理就是通过命令重建服务器与该失信客户端之间联系的密码。

    具体操作步骤:

    (前提是没有退出域,或可以系统还原为没有退出域的状态)

    1.在本地以administrator登陆

    2.以管理员身份运行PowerShell(如果是PowerShell 2.0则至少要升级到3.0,否则下面用到的命令的有些参数会无效,我用的是PowerShell4.0)

    3.在PowerShell界面中执行下面的命令

    PS C:\>Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>
    <Name of any domain controller>是域控制器的名字

    <domain admin account>是域管理员账号,一般是“域名\账户名"的格式

    回车后弹出对话框让你输入<domain admin account>的密码

    4.如果没有其它提示回到命令行状态,你应该就成功了。

    5.重启客户端和服务器(实际上可以不重启服务器),成功登入域 !

    参考博文

    http://blog.blksthl.com/2013/03/18/fix-the-trust-relationship-between-this-workstation-and-the-primary-domain-failed/

    这里需要指出的是如果已经按https://support.microsoft.com/zh-cn/kb/2771040方法退出了域 而又无法系统还原到未退出域时状态的,我目前还没有办法修复,提示如下:

    PS C:\Users\Administrator> Reset-ComputerMachinePassword
    Reset-ComputerMachinePassword : 无法重置本地计算机帐户的安全通道密码。本地计算机当前不是域的一部分。

    所以阶段性总结一下,我四台“失信”的客户端,两台没有退域的直接用上法修复,一台已经退域的由于可以系统还原也还原后用上法修复了,剩下一台看大家是否还能想出什么办法(注意剩下这台曾用“sysprep.exe”对系统初始化后重新加入域,还是不成功”,我认为这跟重装没什么两样了)

    最后给大家一个建议遇到“失信”的情况,先不忙着退域“Reset-ComputerMachinePassword”人畜无害!

    • 已标记为答案 ruanzw 2015年5月8日 9:36
    2015年5月8日 9:36

全部回复

  • 您好,

    从错误提示: “此工作站和主域间的信任关系失败”来看,问题是出在域信任。请检查您当前活动目录环境中的主域与子域,域与域树,域树与域树等之间的信任关系配置是否正常。以及DNS forwared lookup zone的配置信息是否正确。


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2015年4月16日 2:28
    版主
  • 谢谢前面的回答 ,但觉得只是提供了分析问题的思路!

    我用问题的英文翻译“The trust relationship between this workstation and the primary domain failed”进行搜索发现以下这样一篇博文,按照其方法操作已经成功解决问题。基本原理就是通过命令重建服务器与该失信客户端之间联系的密码。

    具体操作步骤:

    (前提是没有退出域,或可以系统还原为没有退出域的状态)

    1.在本地以administrator登陆

    2.以管理员身份运行PowerShell(如果是PowerShell 2.0则至少要升级到3.0,否则下面用到的命令的有些参数会无效,我用的是PowerShell4.0)

    3.在PowerShell界面中执行下面的命令

    PS C:\>Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>
    <Name of any domain controller>是域控制器的名字

    <domain admin account>是域管理员账号,一般是“域名\账户名"的格式

    回车后弹出对话框让你输入<domain admin account>的密码

    4.如果没有其它提示回到命令行状态,你应该就成功了。

    5.重启客户端和服务器(实际上可以不重启服务器),成功登入域 !

    参考博文

    http://blog.blksthl.com/2013/03/18/fix-the-trust-relationship-between-this-workstation-and-the-primary-domain-failed/

    这里需要指出的是如果已经按https://support.microsoft.com/zh-cn/kb/2771040方法退出了域 而又无法系统还原到未退出域时状态的,我目前还没有办法修复,提示如下:

    PS C:\Users\Administrator> Reset-ComputerMachinePassword
    Reset-ComputerMachinePassword : 无法重置本地计算机帐户的安全通道密码。本地计算机当前不是域的一部分。

    所以阶段性总结一下,我四台“失信”的客户端,两台没有退域的直接用上法修复,一台已经退域的由于可以系统还原也还原后用上法修复了,剩下一台看大家是否还能想出什么办法(注意剩下这台曾用“sysprep.exe”对系统初始化后重新加入域,还是不成功”,我认为这跟重装没什么两样了)

    最后给大家一个建议遇到“失信”的情况,先不忙着退域“Reset-ComputerMachinePassword”人畜无害!

    • 已标记为答案 ruanzw 2015年5月8日 9:36
    2015年5月8日 9:36
  • 感觉还是profile、sid的问题可以尝试修改注册表,风险自己评估。 Profile数据建议提前备份! 1.HKEY_LOCAL_MACHINE--SOFTWARE--Microsoft--Windows NT--Current Version--Profilelist找到“S-1-5-21-***-***-***” 2.在右侧栏里找到ProfileImagePath的路径为故障profile名,如:C:\Users\test 3.然后把该项“S-1-5-21-***-***-***”改名:如“S-1-5-21-***-***-***bak” 4.重新用该账户登录域,理论上会新生成一个项,SID等参数变更。 5.理论上Profile数据应该直接在存在,因为新生成的Profile文件夹名应该还是C:\Users\test,所以直接可以用。 5-2.如果桌面、文档等数据不在,可以尝试把“S-1-5-21-***-***-***bak”和新生成的项名字互换回来。 PS: sysprep添加的参数不一样,并不一定更改SID。 whoami /user可以查看当前账户SID
    2015年5月18日 3:22
  • 今天对那台“失信”退出了域虽初始化的方法都用上了也一直无法重新加入域的win7台式机进行了win10升级(不保留任何内容),升级完后奇迹出现了!----重新改成原来的计算机名,居然可以加入域了!至此我所有“失信”电脑都重新“回到祖国怀抱”。
    2015年8月7日 13:32