mrpear.net logo osobní web jednoho ajťáka
► ČESKY | ENGLISH |
twitter icon twitter icon google plus icon flickr icon 500px icon linkedin icon

Chyba: Vztah důvěryhodnosti mezi stanicí a doménou selhal

Za určitých okolností nastává v síti s doménou problém s ověřením stanice při přihlášení uživatele do sítě z důvodu selhání důvěryhodnosti mezi stanicí a doménou (doménovým řadičem). Ačkoliv je řešení problému celkem jednoduché, dokáže tento stav zamotat hlavu nejednomu adminovi, neboť především u novějších operačních systémů (Windows 7 či Vista) nastává mírná komplikace kvůli zakázanému účtu administrátora. Pojďme se podívat, co s tím.
Přesné znění chybové hlášky je 'Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal'. Tato chyba čas od času potrápí v síti i mě, bohužel jsem zatím přesně nezjistil, proč se tomu tak děje. Donedávna se mi sice chybová hláška o selhání důvěryhodnosti mezi pracovní stanicí a doménou objevovala pouze u notebooků, které se delší dobu nepřihlašovaly do sítě, přesněji řečeno byly v servisu na reklamaci. Mezi tím uživatel pracoval na jiném — náhradním — notebooku. Po necelém měsíci, jakmile došlo k pokusu znovu se přihlásit na původním stroji, došlo k selhání důvěryhodnosti.
Jak jsem ale zjistil, mix různých stanic a časová prodleva není jediná příčina problému. Stejná chybová hláška mě totiž překvapila i u stanice, která se zcela standardně ze sítě odhlásila den před následnými problémy s přihlášením. Důvody vzniku problému jsou pro mne tak stále neznámou a nezbývá mi nic jiného, než pátrat dál.

Řešení

Řešení problému se vztahem důvěryhodnosti je velice jednoduché — pracovní stanici je nutné znovu přihlásit do domény. To v praxi znamená stanici z domény odebrat, což se provede tak, že členství počítače se z doménového změní na pracovní skupinu a následně se stanice po restartu znovu do původní domény připojí.
UPDATE: Dle komentáře uživatele -mik- není nutné mezi odebráním a znovupřipojením stanice provádět restart, což je pravda. Díky tomu se urychlí samotný proces a navíc se předejte možným komplikacím se zablokovaným administrátorským účtem, viz níže. Takže zkuste nejdříve bez restartu.
Tím se znovu vytvoří potřebné vazby mezi stanicí a doménovým řadičem a vše funguje bez problémů dál. K procesu odpojení i připojení zpět do domény je samozřejmě nutné znát účet s právy doménového administrátora. Není zde žádný problém ani na straně uživatele, po novém přihlášení je zcela v pořádku i jeho doménový profil.

Zakázaný administrátorský účet

Situace se ovšem mírně komplikuje tím, že Windows 7 mají ve výchozím nastavení zakázán účet administrátora. Nastává tak typicky situace, že na počítači existuje pouze jeden místní účet, který je zablokován. Po odpojení stanice z domény a jejím restartu tak s počítačem nezmůžeme nic, protože při pokusu o přihlášení pomocí tohoto jediného účtu stanice jen suše ohlásí, že účet je zablokován. Windows 7 s problematickou situací počítají, upozorní totiž na to, že po odchodu stanice z domény bude nutné znát heslo k místnímu účtu správce, nijak ale dále neřeší situaci, že daný účet může být zablokován. Pokud se dostaneme do této situace, je nutné administrátorský účet povolit. Jak z této situace ven, tak tomu se věnuji v příspěvku Povolení zablokovaného místního účtu administrator (Win7/Vista). Než se ale pustíte do čtení (a do akce), zkuste ještě přečíst následující odstavec, možná pomůže.

Přihlášení bez doménového řadiče

Následující postup lze k odblokování administrátorského účtu vyzkoušet za předpokladu, že standardní uživatelský účet (účet, pod kterým někdo pracuje a běžně se přihlašuje), může využít místní administrátorská práva a může tak měnit nastavení systému — tzn. nemá práva nijak omezena například doménovou nebo místní politikou. V opačném případě sice postup přihlášení funguje, ale bez patřičných práv není možné administrátorský účet povolit.
Windows využívají tzv. mezipaměť pověření, což znamená, že po úspěšném přihlášení uživatele do domény se pověření uloží v systému stanice do mezipaměti. K opětovnému přihlášení pod doménovým účtem není potom nezbytně nutné mít k dispozici doménový řadič, protože je k dispozici pověření v mezipaměti. Toho se využívá například u uživatelů s notebooky, kteří cestují po světě a do počítače se přihlašují pod doménovým účtem i v případě, že nejsou v dosahu sítě a doménového řadiče.
V případě, že selhává vztah důvěryhodnosti mezi stanicí a doménovým řadičem, pokusíme se využít mezipaměť pověření. Na okamžik odpojíme všechna aktivní síťová připojení (LAN, Wifi) a poté se pokusíme přihlásit pod účtem, který dříve fungoval. Systém tak nebude kontaktovat doménový řadič (nemá jak) a pokud se podaří přihlásit s využitím mezipaměti pověření, jednoduše řečeno se dostaneme do počítače a můžeme se pokusit povolit účet administrátora přes ovládací panely účtů, panel místního zabezpečení nebo příkazovou řádku. Pokud se ale přihlášení nezdaří, je nutné vydat se na cestu Povolení zablokovaného místního účtu administrator (Win7/Vista) nebo opravného disku systému.

Související příspěvky

Komentáře

1.5.2012 22:17:04, Pavel
Pěkně napsáno, pomohlo mi to. Děkuji :-)
28.8.2012 8:25:44, Jirka
Skvěle, s odpojením patch kabelu to funguje přesně jak je popsáno.
Díky moc
12.11.2012 8:39:17, Pavel II
Nevíte, jestli je někde popsáno řešení příčiny a ne pouze následků?
27.12.2012 13:13:04, jirka
jste skvělí, moc mi to pomhlo.díky moc
17.1.2013 12:01:31, Tomáš Trávníček
Jednodušší řešení bez ztráty nastavení uživatelského účtu:

Přihlásit se v nouzovém režimu,
vrátit bod obnovení do chvíle kdy bylo vše v pořádku,
odpojit síť,
po restartu se přihlásit doménovým účtem,
připojit síť,
změnit název PC - vyskočí okno pro zadání domain admin jména a hesla
Není třeba vyřazovat pc z domény.
HOTOVO
17.1.2013 12:05:18, mrpear
[Tomáš Trávníček] Díky za další tip jak problém vyřešit, nicméně mám k tomu dvě výhrady. 1) Metoda odpojení a znovupřipojení stroje do domény nijak nastavení doménového účtu neovlivňuje. 2) Ne vždy se bod obnovení dá použít z jakéhokoliv důvodu, nebo není k dispozici, ...atd.
30.1.2013 12:23:15, -mik-
Jenom dodám moji zkušenost. Není potřeba (Win7) restartovat PC po odebrání domény (neníproto nutné znát místní admin účet). Stačí pouze znovuzapojit LAN a nastavit doménu zpět jak byla.

je potřeba samozřejmě účet s právy doménového administrátora
- odpojit kabel
- přihlásit se
- odebrat doménu
- zapojit kabel
- přidat doménu
- až teď restart ...
12.3.2013 15:02:52, jam
situace :

pc normalne v domene , bezny uzivak ma jen uzivatelsky prava ( jiny na nem nepracuje ) , ucet lokalniho administratora je samosebou zakazan , takze pc neodpojim ani nepripojim z domeny :)

Zkusil jsem pouzit jak DVD od Vist tak od W7 a zamrzam v bode kdy se spousti prikazovy radek ... Pustim prikazovy radek , pustim i regedit , ale oboji se vztahuje na bezici instalaci / recover mod ... tzn. , ze nevidim registr te dotycne instalace na tom dotycnem PC . to same z prikazem net user ... prikaz vyhlasi , ze pro pocitac \\ je ucet administatora povolen a datum posledni zmeny hesla je datum a cas posledniho bootu toho recovery DVD :) jenze muj dotycny pocitac se nejmenuje \\ , nybrz \\PCneco ... nemate nejaky tip prosim ? :)
14.3.2013 10:40:05, mrpear
Pokud máte PC v doméně, tak se přihlašte na stanici jako doménový administrátor a tím automaticky získáte i na stanici lokální admin práva, takže nejen že bude možné odebrat PC z domény, ale než to uděláte, tak si můžete povolit zakázaného místního admina...ať se pak máte pod čím přihlásit :).
16.4.2013 11:23:50, AstalB
Díky za článek. Finta s odpojením kabelu a tím získání možnosti přihlášení pod doménovým administrátorem mi moc pomohla.
18.9.2013 10:41:27, edris
Take se primlouvam za hlubsi objasneni priciny. Tento problem resim pravidelne jednou za 2-3 mesice u kazdeho ntb v domene. Udajne se ho da vyvarovat obcasnym restartem na kabelu do site s domenovym radicem. Vsichni noutbukari na kabel kaslou, pripojuji se vzdy jen k firemni wifi, coz teto teorii hraje do noty.
30.9.2013 8:55:40, Geralt
Kazdy tu resi pouze kratkodobere reseni problemu.
Co pricina ?
30.9.2013 9:34:28, mrpear
[Geralt] Není to asi jen jediná příčina, proto není jednoduchá identifikace konkrétní příčiny. Jediné co jsem k problému ještě našel, jsou jiné způsoby vyřešení problému, kdy není potřeba odpojovat a připojovat stanici do domény, nicméně ve všech případech je nutné se přihlásit alespoň jako místní administrátor.

[edris] Zvláštní, bral bych, že problém může způsobit dlouhodobé nepřihlášení do domény, ale že na to má vliv druh připojení...
13.11.2013 6:51:40, Adam Hazda
Dobrý den, mně to ted taky u Windows 7 zobrazilo tuto chybu. Neznal jsem adminheslo, a tak jsem zkusil spustit aktualizaci, ktera byla nactena na tlacitku vypnout. Počítač se vypl a nasledne jsem ho zapl. Nestaci jen restart? Zkoušel nekdo?
13.11.2013 7:29:15, mrpear
[Adam Hazda] Restart zkoušel určitě každý a za mě můžu říct, že určitě nestačí...
21.11.2013 14:34:15, OndrejD
Dobrý den,
taky se mi to stalo. Uživatel si v nastavení sítě zrušil zaškrtnutí "Klient sítě Microsoft". Bohužel k tomu měl právo, ale neřekl to. Po připojení notebooku na podnikovou síť se objevila hláška "Vztah důvěryhodnosti mezi stanicí a doménou selhal" a nešlo se přihlásit. Po odpojení síťového kabelu se přihlásit dalo a stačilo překontrolovat síťové připojení.
15.1.2014 10:48:50, Veena
Tisíceré díky, odebrání a přidání do domény pomohlo :)
4.4.2014 7:49:28, Libor
Dobrý den, pomohlo k obnovení vztahu důvěrnosti zadat v cmd na serveru (W2008) netdom add 192.168.50.45 (IP PC) nic dalšího nebylo potřeba dělat...zjištěna na www help MS. Příčina - stalo se to po výpadku elektriny (ne na serveru).Určitě předchozí rady jsou užitečné - ale pokud není jak se přihlásit lokálně...
4.4.2014 7:54:25, mrpear
[Libor] Super díky, doplním do textu tuto možnost.
27.5.2014 9:18:51, Vladimír
Stejně jako uživatel tak i počítač ma své heslo v AD. Toto heslo se v pravidelných intervalech automaticky mění. Pokud ke změně nedojde - počítač je vypnuty mimo sit- mimo VPN , v servisu atd. Dochází k výše uvedené situaci - ztrátě důvěry mezi doménou a stanici, u serveru se to muže taky stat.

To co je třeba udělat a co popisujete jako - odebrání a následně vracení počítače do domény je ve své podstatě vyžádání procesu synchronizace hesla klientské stanice. V AD je mozno použit u objektu Computer volbu reset. Tím se proces nastartuje ze strany serveru.

Zkuste se zamyslet na jaké verzi serveru vám bezi DC a jaké verze jsou klientské stanice. Win 2003 a win 7 si nebudou rozumnet stejně tak mohou byt problémy ve win 2008 a win 8.
12.6.2014 14:14:21, Petr Wagner
Díky pomohlo

Co si o tom myslíte?

:
:
(nepovinné a neveřejné, slouží pro případ dalšího kontaktu přes e-mail)
: