The trust relationship between this workstation and the primary domain failed

Error message

Error “Trust Relationshitp between Workstation and Primary Domain failed”, is the most encountered message when you are dealing with Active directory domain services ( This question is asked in TechNet Forum frequently too 🙂 ). <!–more–>

Common causes

What are the common causes which generates this message on client systems?

There might be multiple reasons for this kind of behaviour. Below are listed a few of them:

  1. Single SID has been assigned to multiple computers.
  2. If the Secure Channel is Broken between Domain controller and workstations
  3. If there are no SPN or DNSHost Name mentioned in the computer account attributes
  4. Outdated NIC Drivers.

Troubleshooting steps

How to Troubleshoot this behaviour ?

Above I have mentioned most common causes for this kind of message on client systems. I will explain how to troubleshoot these below.

Single SID has been assigned to multiple computers.

In most of the scenarios, when a client system’s operating system is installed from a clone/snapshot/image then this result will be encountered. (As in case of cloning/snapshot/image Separate SID will not be assigned by default, They make use of the SID of the system from which the clone/snapshot/image is prepared. i.e Single SID on two machines). If this is the case, we will have to make use of sysprep tool to prepare the image/clone/snapshot which will assign separate SID to each machine.


Refer Below links which explains how to use Sysprep to change the SID 

The Machine SID Duplicate Myth (Why Sysprep matters). 

If the Secure Channel is Broken between Domain controller and workstations

When a Computer account is joined to the domain, Secure Channel password is stored with computer account in domain controller. By default this password will change every 30 days (This is an automatic process, no manual intervention is required). Upon starting the computer, Netlogon attempts to discover a DC for the domain in which its machine account exists. After locating the appropriate DC, the machine account password from the workstation is authenticated against the password on the DC.
If there are problems with system time, DNS configuration or other settings, secure channel’s password between Workstation and DCs may not synchronize with each other. 

A common cause of broken secure channel [machine account password] is that the secure channel password held by the domain member does not match that held by the AD. Often, this is caused by performing a Windows System Restore (or reverting to previous backup or snapshot) on the member machine, causing an old (previous) machine account password to be presented to the AD.


Most simple resolution would be unjoin/disjoin the computer from the domain and rejoin the computer account back to the domain.
(this is a somewhat similar principle to performing a password reset for a user account)


You can go ahead and reset the computer account using netdom.exe tool (  )

netdom reset ‘machinename’ /domain:’domainname

Follow below link which explains typical symptoms when Secure channel broken  

If there is no SPN or DNSHost name mentioned on the Computer account attribtues

Service Principle name and DNSHost name has to been mentioned on each computer account in active directory, If they are missing they will result into “Trust Relationship” error message.


To check the SPN and DNSHost name, do this on the domain controller.

2. Select Domain partition from the options
3.Go the computer account where computer object exists.
4. Right click on computer object——->Go to Properties———->Attributes Editior
5.Search for Service Principle name (SPN) name and check entry exists or not.(It consists of Service ClassHostPort andService Name )

Format – <service class>/<host>:<port>/<service name> 
The <service class> and <host> are required. But the <port> and <service name> are optional.

6. Check out for DNSHost attribute as well. Make sure it also exsists with an entry .

Format – (Eg –

Outdated Drivers.

This cause is very rare. You can check the NIC Drivers from computer management on the Computer and update if they are old.

Hope this will clarify to understand why “Trust Relationship between Workstation and Primary Domain failed” occurs on client systems when users try to login to the computer with their Credentials.


Next, we solve the problem by resetting the Computer password in Active Directory and on the Local machine, for this we use a PowerShell CMDlet called Reset-ComputerMachinePassword. Type in the following command:

Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>

In my environment it looks like this:


Hit Enter, you will then be prompted for the Domain Administrator accounts password


Type in the password and hit OK. It will take between 2 to 10 seconds to complete Yoy will then, if everything works, see this:


Yup, nothing overwelming like ‘Succeeded’ or OK…just the released prompt. It is a success though 🙂

Now, we have to do one more thing before order is restored completely, we have to reboot the server. If you don’t, you will still not be able to logon using the domain account.

Use PowerShell…


Or the GUI if you prefer


Chi phí cho SharePoint 2010?

Việc tính toán chi phí cho SharePoint là một vấn đề khá phức tạp vì triển khai SharePoint đòi hỏi bạn phải kết hợp nhiều sản phẩm với các tính năng khác nhau, chi phí khác nhau. Ngoài ra các nhân tố khác như mục đích, loại hình doanh nghiệp và cả mối quan hệ với Microsoft hoặc người bán lẻ sản phẩm.

Một câu hỏi lớn được đặt ra khi triển khai SharePoint là chúng ta sẽ tốn bao nhiêu tiền khi lên kế hoạch cho một dự án. Ví dụ bạn muốn tất cả các nhân viên của mình có thể truy cập và sử dụng tính năng FAST Search, điều này có thể sẽ khiến bạn tốn thêm server để cài đặt FAST Search cũng như chi phí sử dụng FAST Search nếu phiên bản hiện tại của bạn là Standard.

Trước tiên, chúng ta xét đến các chính sách licensing. Đối với phiên bản SharePoint 2010 có 2 hình thức:

  • Server + CAL licenses for internal users – dành cho các nhân viên, người sử dụng nội bộ. Đối với hình thức này, bạn cần phải mua thêm một CAL (Client Access License) cho mỗi người sử dụng cũng như thiết bị sử dụng để truy cập vào SharePoint server. Nếu bạn muốn sử dụng các tính năng Enterprise bạn cần phải mua Standard CAL trước sau đó mới mua Enterprise CAL
  • Internet site server licenses for external users – với hình thức này bạn cần mua license cho mỗi một server chạy sản phẩm SharePoint 2010. Với hình thức này bạn không cần phải mua CAL cho những người sử dụng bên ngoài. Nếu một số nội dung dành cho nội bộ thì chỉ cần CAL cho những người dùng truy cập vào nội dung này. Điểm khác biệt trong các tính năng của Internet Sites Standard licsence là cho phép tất cả các site chạy trên một domain duy nhất.

FAST Search Licensing

FAST Search là một license riêng biệt, FAST Search đem lại lợi ích tìm kiếm tối ưu cho doanh nghiệp và bạn cần phải mua licsense cho mỗi server chạy FAST Search. Bạn có thể sử dụng một server duy nhất cho tất cả các licsense. Ví dụ nếu bạn muốn triển khai Intranet và public một Internet website trên những server như nhau thì bạn có thể áp dụng license SharePoint 2010 Server cho SharePoint 2010 Internet Site cho một server duy nhất. License FAST Search có thể được sử dụng cho một SharePoint 2010 server nếu cần ( tiết kiệm chi phí về phần cứng nhưng đòi hỏi phải có license SharePoint Server và FAST Search)

Bây giờ chúng ta bàn đến vấn đề chi phí. Chúng ta sẽ không đề cập đến các phần mềm kèm theo, chẳng hạn là Microsoft Office 2010 hay các chi phí bảo hiểm cho sản phẩm. Ngoài ra còn chi phí các sản phẩm khác mà bạn cần như Windows Server và SQL Server. Tuy nhiên những sản phẩm này phụ thuộc vào nhu cầu, mục đích của doanh nghiệp để chọn cho mình sản phẩm SharePoint thích hợp, để từ đó có thể lựa chọn sản phẩm Windows Server tiết kiệm chi phí.

*Bạn cần mua Standard CAL trước rồi mới có thể mua được Enterprise CAL

Chúng ta thử tính cụ thể cho một doanh nghiệp nhỏ, sử dụng Standard Licsence và chỉ triển khai trong nội bộ (Internal)

3 server farm gồm:

  • Web Front-End (WFE)/Application server
  • SQL server
  • SharePoint 2010 server
  • 1.000 user

Chi phí: 2 x 4800$ = 9.600$ (SharePoint 2010 Server) + 1.000 user x 93,5$ = 93.500$ Nếu bạn muốn thêm tính năng FAST Search bạn cần phải có tối thiểu thêm một server và 21.800$, ngoài ra bạn cần thêm Enterprise CAL (82,6$ /user) để có thể truy cập và sử dụng tính năng này.

Tổng chi phí với FAST Search lúc này là 9.600$ + 93.500$ + 21.800$ + 82,6$ x 1000 = 207.500$.

Một ngữ cảnh khác là chúng ta muốn sử dụng SharePoint 2010 làm một website và public nó ra Internet.

3 server farm gồm:

  • WFE/Application server
  • SQL server
  • SharePoint 2010 server

Chi phí trước tiên là license cho SharePoint : 2 x 11.700$ = 23.400$ ( SharePoint 2010 Internet Site Standard)

Nếu bạn muốn thêm FAST Search bạn cần license SharePoint 2010 Internet Site Enterprise. Lúc này chi phí sẽ là 2 x 42.000$ = 94.000$.

Trên đây là cơ bản về chi phí cần có cho license SharePoint, bạn cần phải tính toán thật kĩ nhu cầu, mục đích doanh nghiệp để tiết kiệm chi phí cả về license lẫn phần cứng.


Cài đặt IIS 7 trên Windows Server 2008 hoặc Windows Server 2008 R2

Giới thiệu

Chúng ta có thể cài đặt Microsoft Web Platform (Web PI) để dễ dàng cài đặt Internet Information Services (IIS)và các ứng dụng chạy trên IIS, tuy nhiên, nếu bạn cài đặt IIS bằng thủ công, bạn có thể sử dụng bài viết này ngoài ra bạn cũng có thể xem thêm phần cài đặt và cấu hình IIS 7.

IIS 7.0 là một vai trò Web Server trong Windows Server 2008 và Web server trong Windows Vista….Windows Server 2008 R2 và Windows server 2008 là hệ điều hành có tất cả các tính năng cần thiết để IIS hỗ trợ cho môi trường hosting.
Tiếp tục đọc

Giám sát Hyper-V bằng dòng lệnh.

 Phần 1: Cài đặt thư viện giám sát

Quản Trị Mạng – Một trong những thiếu sót thấy rõ của Hyper-V là khả năng giám sát các máy ảo từ Windows PowerShell. Mặc dù Microsoft dự định cung cấp khả năng này trên Windows Server 8 nhưng người dùng hoàn toàn có thể thực hiện giám sát máy ảo từ giao diện dòng lệnh lúc này. Bài viết sẽ hướng dẫn các bạn làm điều đó.

Nhận thư viện giám sát Hyper-V

Mặc dù Hyper-V không cung cấp những tính năng giám sát PowerShell cục bộ nhưng có một thư viện giám sát PowerShell có thể tải về từ CodePlex. Bản phát hành hiện tại chỉ được thiết kế để làm việc với PowerShell phiên bản 2.0.

Chuẩn bị cài đặt

Trước khi cài đặt thư viện giám sát Hyper-V, ta sẽ cần cài đặt Windows PowerShell. Thư viện giám sát Hyper-V được thiết kế để làm việc với một server Hyper-V độc lập, Hyper-V hoạt động trong Server Core hay các server chạy Windows Server 2008/2008 R2. Tiếp tục đọc

How to Perform a vSphere to Hyper-V Conversion.

I recently posted an article about how to use VMware’s free tool “vCenter XVP Manager” to manage Hyper-V with vCenter (see post Managing Hyper-V with VMware vCenter XVP Manager and VIDEO: Control Hyper-V Servers in vCenter with XVP Manager and Converter).

Those tools push you to use VMware Converter to convert your VMs running on Hyper-V to vSphere. I am a big proponent “freedom of choice” and standardization in virtualization that would allow you to convert easily from one hypervisor to another. Virtualization should be an open market where you choose the best virtualization platform available and you can easily move there. You shouldn’t be stuck in a platform you don’t want to be in, primarily because you don’t have an easy option to move.

In this article, let me show you how to use another free tool to go the opposite way, from vSphere to Hyper-V. That tool is the free 5Nine V2V Easy Converter. While you could do this with Microsoft System Center Virtual Machine Manager (SCVMM), that program isn’t free nor is it easy to implement (for more information on that topic see this article by Janique Carbone – Performing a V2V Conversion from VMware vSphere to Hyper-V R2 Using System Center VMM 2008 R2 or this video by Ed Lieberman- VIDEO: How to Convert a VMware Virtual Machine to a Hyper-V virtual machine). Tiếp tục đọc

Active Directory trong Windows Server 2008 và Lý do nâng cấp Windows Server 2008!

Active Directory đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng trong tổ chức của bạn. Được tích hợp với Windows Server 2008, Active Directory thuộc thế hệ kế tiếp cung cấp cho bạn tính năng sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng một cách tập trung. Với Active Directory, bạn có thể đơn giản hóa việc quản lý người dùng và máy tính, cho phép truy cập SSO (Single sign-on) tới các tài nguyên mạng, và giúp cải thiện tính riêng tư cũng như mức độ bảo mật của thông tin đã lưu cũng như của các quá trình truyền thông.   Active Directory đã tự chứng minh là một dịch vụ thư mục mạnh mẽ, ổn định trong Windows Server 2003 R2. Windows Server 2008 tiếp nối những thành công trước đây của Active Directory với những tính năng mới, được cải thiện như sau:
Tiếp tục đọc