Chyba: Vztah důvěryhodnosti mezi stanicí a doménou selhal

Za určitých okolností nastává v síti s doménou problém s ověřením stanice při přihlášení uživatele do sítě z důvodu selhání důvěryhodnosti mezi stanicí a doménou (doménovým řadičem). Ačkoliv je řešení problému celkem jednoduché, dokáže tento stav zamotat hlavu nejednomu adminovi, neboť především u novějších operačních systémů (Windows 7 či Vista) nastává mírná komplikace kvůli zakázanému účtu administrátora. Pojďme se podívat, co s tím.

Přesné znění chybové hlášky je 'Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal'. Tato chyba čas od času potrápí v síti i mě, bohužel jsem zatím přesně nezjistil, proč se tomu tak děje. Donedávna se mi sice chybová hláška o selhání důvěryhodnosti mezi pracovní stanicí a doménou objevovala pouze u notebooků, které se delší dobu nepřihlašovaly do sítě, přesněji řečeno byly v servisu na reklamaci. Mezi tím uživatel pracoval na jiném — náhradním — notebooku. Po necelém měsíci, jakmile došlo k pokusu znovu se přihlásit na původním stroji, došlo k selhání důvěryhodnosti.

Jak jsem ale zjistil, mix různých stanic a časová prodleva není jediná příčina problému. Stejná chybová hláška mě totiž překvapila i u stanice, která se zcela standardně ze sítě odhlásila den před následnými problémy s přihlášením. Důvody vzniku problému jsou pro mne tak stále neznámou a nezbývá mi nic jiného, než pátrat dál.

Reklama

Řešení

Řešení problému se vztahem důvěryhodnosti je velice jednoduché — pracovní stanici je nutné znovu přihlásit do domény. To v praxi znamená stanici z domény odebrat, což se provede tak, že členství počítače se z doménového změní na pracovní skupinu a následně se stanice po restartu znovu do původní domény připojí.

UPDATE: Dle komentáře uživatele -mik- není nutné mezi odebráním a znovupřipojením stanice provádět restart, což je pravda. Díky tomu se urychlí samotný proces a navíc se předejte možným komplikacím se zablokovaným administrátorským účtem, viz níže. Takže zkuste nejdříve bez restartu.

Tím se znovu vytvoří potřebné vazby mezi stanicí a doménovým řadičem a vše funguje bez problémů dál. K procesu odpojení i připojení zpět do domény je samozřejmě nutné znát účet s právy doménového administrátora. Není zde žádný problém ani na straně uživatele, po novém přihlášení je zcela v pořádku i jeho doménový profil.

Zakázaný administrátorský účet

Situace se ovšem mírně komplikuje tím, že Windows 7 mají ve výchozím nastavení zakázán účet administrátora. Nastává tak typicky situace, že na počítači existuje pouze jeden místní účet, který je zablokován. Po odpojení stanice z domény a jejím restartu tak s počítačem nezmůžeme nic, protože při pokusu o přihlášení pomocí tohoto jediného účtu stanice jen suše ohlásí, že účet je zablokován. Windows 7 s problematickou situací počítají, upozorní totiž na to, že po odchodu stanice z domény bude nutné znát heslo k místnímu účtu správce, nijak ale dále neřeší situaci, že daný účet může být zablokován. Pokud se dostaneme do této situace, je nutné administrátorský účet povolit. Jak z této situace ven, tak tomu se věnuji v příspěvku Povolení zablokovaného místního účtu administrator (Win7/Vista). Než se ale pustíte do čtení (a do akce), zkuste ještě přečíst následující odstavec, možná pomůže.

Přihlášení bez doménového řadiče

Následující postup lze k odblokování administrátorského účtu vyzkoušet za předpokladu, že standardní uživatelský účet (účet, pod kterým někdo pracuje a běžně se přihlašuje), může využít místní administrátorská práva a může tak měnit nastavení systému — tzn. nemá práva nijak omezena například doménovou nebo místní politikou. V opačném případě sice postup přihlášení funguje, ale bez patřičných práv není možné administrátorský účet povolit.

Windows využívají tzv. mezipaměť pověření, což znamená, že po úspěšném přihlášení uživatele do domény se pověření uloží v systému stanice do mezipaměti. K opětovnému přihlášení pod doménovým účtem není potom nezbytně nutné mít k dispozici doménový řadič, protože je k dispozici pověření v mezipaměti. Toho se využívá například u uživatelů s notebooky, kteří cestují po světě a do počítače se přihlašují pod doménovým účtem i v případě, že nejsou v dosahu sítě a doménového řadiče.

V případě, že selhává vztah důvěryhodnosti mezi stanicí a doménovým řadičem, pokusíme se využít mezipaměť pověření. Na okamžik odpojíme všechna aktivní síťová připojení (LAN, Wifi) a poté se pokusíme přihlásit pod účtem, který dříve fungoval. Systém tak nebude kontaktovat doménový řadič (nemá jak) a pokud se podaří přihlásit s využitím mezipaměti pověření, jednoduše řečeno se dostaneme do počítače a můžeme se pokusit povolit účet administrátora přes ovládací panely účtů, panel místního zabezpečení nebo příkazovou řádku. Pokud se ale přihlášení nezdaří, je nutné vydat se na cestu Povolení zablokovaného místního účtu administrator (Win7/Vista) nebo opravného disku systému.

Související příspěvky

Povolení zablokovaného místního účtu administrator (Win7/Vista)

Reklama

9. 2. 2012 :: Pavel Hruška :: Správa :: Desktop :: komentářů: 35

Pavel Hruška

IT specialista a programátor. V oblasti IT se specializuje na správu systémů (home, office, server/klient), síťová řešení, jejich zabezpečení a komunikaci. Jako programátor vyvíjí aplikace pro Android, web i desktop.

Twitter | Google+ | Facebook

Komentáře

1. 5. 2012 22:17:04, Pavel

Pěkně napsáno, pomohlo mi to. Děkuji :-)

28. 8. 2012 8:25:44, Jirka

Skvěle, s odpojením patch kabelu to funguje přesně jak je popsáno.
Díky moc

12. 11. 2012 8:39:17, Pavel II

Nevíte, jestli je někde popsáno řešení příčiny a ne pouze následků?

27. 12. 2012 13:13:04, jirka

jste skvělí, moc mi to pomhlo.díky moc

17. 1. 2013 12:01:31, Tomáš Trávníček

Jednodušší řešení bez ztráty nastavení uživatelského účtu:

Přihlásit se v nouzovém režimu,
vrátit bod obnovení do chvíle kdy bylo vše v pořádku,
odpojit síť,
po restartu se přihlásit doménovým účtem,
připojit síť,
změnit název PC - vyskočí okno pro zadání domain admin jména a hesla
Není třeba vyřazovat pc z domény.
HOTOVO

17. 1. 2013 12:05:18, mrpear

[Tomáš Trávníček] Díky za další tip jak problém vyřešit, nicméně mám k tomu dvě výhrady. 1) Metoda odpojení a znovupřipojení stroje do domény nijak nastavení doménového účtu neovlivňuje. 2) Ne vždy se bod obnovení dá použít z jakéhokoliv důvodu, nebo není k dispozici, ...atd.

30. 1. 2013 12:23:15, -mik-

Jenom dodám moji zkušenost. Není potřeba (Win7) restartovat PC po odebrání domény (neníproto nutné znát místní admin účet). Stačí pouze znovuzapojit LAN a nastavit doménu zpět jak byla.

je potřeba samozřejmě účet s právy doménového administrátora
- odpojit kabel
- přihlásit se
- odebrat doménu
- zapojit kabel
- přidat doménu
- až teď restart ...

12. 3. 2013 15:02:52, jam

situace :

pc normalne v domene , bezny uzivak ma jen uzivatelsky prava ( jiny na nem nepracuje ) , ucet lokalniho administratora je samosebou zakazan , takze pc neodpojim ani nepripojim z domeny :)

Zkusil jsem pouzit jak DVD od Vist tak od W7 a zamrzam v bode kdy se spousti prikazovy radek ... Pustim prikazovy radek , pustim i regedit , ale oboji se vztahuje na bezici instalaci / recover mod ... tzn. , ze nevidim registr te dotycne instalace na tom dotycnem PC . to same z prikazem net user ... prikaz vyhlasi , ze pro pocitac \\ je ucet administatora povolen a datum posledni zmeny hesla je datum a cas posledniho bootu toho recovery DVD :) jenze muj dotycny pocitac se nejmenuje \\ , nybrz \\PCneco ... nemate nejaky tip prosim ? :)

14. 3. 2013 10:40:05, mrpear

Pokud máte PC v doméně, tak se přihlašte na stanici jako doménový administrátor a tím automaticky získáte i na stanici lokální admin práva, takže nejen že bude možné odebrat PC z domény, ale než to uděláte, tak si můžete povolit zakázaného místního admina...ať se pak máte pod čím přihlásit :).

16. 4. 2013 11:23:50, AstalB

Díky za článek. Finta s odpojením kabelu a tím získání možnosti přihlášení pod doménovým administrátorem mi moc pomohla.

18. 9. 2013 10:41:27, edris

Take se primlouvam za hlubsi objasneni priciny. Tento problem resim pravidelne jednou za 2-3 mesice u kazdeho ntb v domene. Udajne se ho da vyvarovat obcasnym restartem na kabelu do site s domenovym radicem. Vsichni noutbukari na kabel kaslou, pripojuji se vzdy jen k firemni wifi, coz teto teorii hraje do noty.

30. 9. 2013 8:55:40, Geralt

Kazdy tu resi pouze kratkodobere reseni problemu.
Co pricina ?

30. 9. 2013 9:34:28, mrpear

[Geralt] Není to asi jen jediná příčina, proto není jednoduchá identifikace konkrétní příčiny. Jediné co jsem k problému ještě našel, jsou jiné způsoby vyřešení problému, kdy není potřeba odpojovat a připojovat stanici do domény, nicméně ve všech případech je nutné se přihlásit alespoň jako místní administrátor.

[edris] Zvláštní, bral bych, že problém může způsobit dlouhodobé nepřihlášení do domény, ale že na to má vliv druh připojení...

13. 11. 2013 6:51:40, Adam Hazda

Dobrý den, mně to ted taky u Windows 7 zobrazilo tuto chybu. Neznal jsem adminheslo, a tak jsem zkusil spustit aktualizaci, ktera byla nactena na tlacitku vypnout. Počítač se vypl a nasledne jsem ho zapl. Nestaci jen restart? Zkoušel nekdo?

13. 11. 2013 7:29:15, mrpear

[Adam Hazda] Restart zkoušel určitě každý a za mě můžu říct, že určitě nestačí...

21. 11. 2013 14:34:15, OndrejD

Dobrý den,
taky se mi to stalo. Uživatel si v nastavení sítě zrušil zaškrtnutí "Klient sítě Microsoft". Bohužel k tomu měl právo, ale neřekl to. Po připojení notebooku na podnikovou síť se objevila hláška "Vztah důvěryhodnosti mezi stanicí a doménou selhal" a nešlo se přihlásit. Po odpojení síťového kabelu se přihlásit dalo a stačilo překontrolovat síťové připojení.

15. 1. 2014 10:48:50, Veena

Tisíceré díky, odebrání a přidání do domény pomohlo :)

4. 4. 2014 7:49:28, Libor

Dobrý den, pomohlo k obnovení vztahu důvěrnosti zadat v cmd na serveru (W2008) netdom add 192.168.50.45 (IP PC) nic dalšího nebylo potřeba dělat...zjištěna na www help MS. Příčina - stalo se to po výpadku elektriny (ne na serveru).Určitě předchozí rady jsou užitečné - ale pokud není jak se přihlásit lokálně...

4. 4. 2014 7:54:25, mrpear

[Libor] Super díky, doplním do textu tuto možnost.

27. 5. 2014 9:18:51, Vladimír

Stejně jako uživatel tak i počítač ma své heslo v AD. Toto heslo se v pravidelných intervalech automaticky mění. Pokud ke změně nedojde - počítač je vypnuty mimo sit- mimo VPN , v servisu atd. Dochází k výše uvedené situaci - ztrátě důvěry mezi doménou a stanici, u serveru se to muže taky stat.

To co je třeba udělat a co popisujete jako - odebrání a následně vracení počítače do domény je ve své podstatě vyžádání procesu synchronizace hesla klientské stanice. V AD je mozno použit u objektu Computer volbu reset. Tím se proces nastartuje ze strany serveru.

Zkuste se zamyslet na jaké verzi serveru vám bezi DC a jaké verze jsou klientské stanice. Win 2003 a win 7 si nebudou rozumnet stejně tak mohou byt problémy ve win 2008 a win 8.

12. 6. 2014 14:14:21, Petr Wagner

Díky pomohlo

5. 5. 2015 8:27:39, Martin

Díky, moc mi to pomohlo.

31. 5. 2015 10:51:57, frisa

a co kdyz je nutne reinstalovat server na cisto, daji se pak ucty na klientech pouzit a vytvorit duveryhodny vztah s reinstalovanym serverem? Win 2008 R2 a Win 7 Pro...

31. 5. 2015 11:48:19, mrpear

Pokud neni po reinstalaci serveru obnoveno Active Directory, tak se vazby pretrhaji a účty určitě nejde použít i kdyby se jmenovaly stejně!

2. 6. 2016 8:26:49, nEON

Důležité bude zda je jeden nebo alespoň 2 DC, a hlavně pravidelně provádět WServerBackup se "system state" někam minimálně NAS nebo alespoň druhý i třeba osobní PC se skrytou složkou namapovanou jako backup$ např. a v tomto případě bude recovery snadné, i když třeba týden stav zpět. Stále to bude lepší než vše ručně obnovovat, zvlášť při větších organizacích by to bylo na dny práce zbytečné.

20. 10. 2016 11:34:30, petr

Windows error in Čeština (Czech):
0x800706FB: Databáze zabezpečení na serveru neobsahuje účet pro tento vztah důvěry pracovní stanice.

English translation: The security database on the server does not have a computer account for this workstation trust relationship.

20. 10. 2016 11:53:27, mrpear

[petr] ...a? Co jako...?

23. 11. 2016 17:15:36, Kesey

Moc děkuji za záchranu.

1. 8. 2017 10:40:42, zlobr

" Tato chyba čas od času potrápí v síti i mě, bohužel jsem zatím přesně nezjistil, proč se tomu tak děje."

Vim proc. Jako obvykle, protoze mrkvosofti jsou vypatlani kreteni.

25. 7. 2018 18:33:56, dawe

Vím co to způsobuje, je to bud stejný název dvou nebo více PC v doméně nebo debilní znak v názvu v PC doméně ;)

4. 9. 2018 10:15:26, MistiG

Raději mrkněte, zda není účet počítače jen zakázaný v konzoly Active Directory. V mém případě stejná hláška: "Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal", účet počítače byl pouze zakázaný (nepoužíval se cca 90 dní). Po odemknutí účtu bylo vše OK a uživatel se bez problému přihlásil.

9. 11. 2018 12:50:45, MIK

Někdy to způsobuje nebežící služba Netlogon, v daném PC, stačí zapnout a změnit spuštění na auto - nevím zda to nějaká aktualizace nevykopla.

3. 5. 2019 15:14:38, Tomas Macek

Vyse uvedene navody funguji, ale je jeste rychlejsi reseni. Pred prihlasenim odpojte ethernet a prihlaste se (bude to trvat dele, ale povede se to). Po prihlaseni zapojte ethernet zpet a odhlaste se. Pak jiz pujde prihlaseni normalni (neni treba vyjmout pc z domeny, resit body obnovy,...)

5. 5. 2019 20:13:57, mrpear

[Tomas Macek] Ahoj a díky za tip, hned při nejbližší příležitosti vyzkouším :o).

8. 1. 2020 7:54:57, Roman

Uvedené návody funguji.:-) Vypnul jsem na NTB WiFi a přihlášení proběhlo OK.