The trust relationship between this workstation and the primary domain failed

Error message

Error “Trust Relationshitp between Workstation and Primary Domain failed”, is the most encountered message when you are dealing with Active directory domain services ( This question is asked in TechNet Forum frequently too 🙂 ). <!–more–>


Common causes

What are the common causes which generates this message on client systems?

There might be multiple reasons for this kind of behaviour. Below are listed a few of them:

  1. Single SID has been assigned to multiple computers.
  2. If the Secure Channel is Broken between Domain controller and workstations
  3. If there are no SPN or DNSHost Name mentioned in the computer account attributes
  4. Outdated NIC Drivers.

Troubleshooting steps

How to Troubleshoot this behaviour ?

Above I have mentioned most common causes for this kind of message on client systems. I will explain how to troubleshoot these below.

Single SID has been assigned to multiple computers.

In most of the scenarios, when a client system’s operating system is installed from a clone/snapshot/image then this result will be encountered. (As in case of cloning/snapshot/image Separate SID will not be assigned by default, They make use of the SID of the system from which the clone/snapshot/image is prepared. i.e Single SID on two machines). If this is the case, we will have to make use of sysprep tool to prepare the image/clone/snapshot which will assign separate SID to each machine.

Resolution

Refer Below links which explains how to use Sysprep to change the SID

http://www.techrepublic.com/blog/window-on-windows/how-do-i-change-the-sid-and-computer-name-of-a-cloned-virtual-machine/736  
http://www.brajkovic.info/windows-server-2008/windows-server-2008-r2/how-to-change-sid-on-windows-7-and-windows-server-2008-r2-using-sysprep/ 

The Machine SID Duplicate Myth (Why Sysprep matters).

http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx 

If the Secure Channel is Broken between Domain controller and workstations

When a Computer account is joined to the domain, Secure Channel password is stored with computer account in domain controller. By default this password will change every 30 days (This is an automatic process, no manual intervention is required). Upon starting the computer, Netlogon attempts to discover a DC for the domain in which its machine account exists. After locating the appropriate DC, the machine account password from the workstation is authenticated against the password on the DC.
If there are problems with system time, DNS configuration or other settings, secure channel’s password between Workstation and DCs may not synchronize with each other. 

A common cause of broken secure channel [machine account password] is that the secure channel password held by the domain member does not match that held by the AD. Often, this is caused by performing a Windows System Restore (or reverting to previous backup or snapshot) on the member machine, causing an old (previous) machine account password to be presented to the AD.

Resolution

Most simple resolution would be unjoin/disjoin the computer from the domain and rejoin the computer account back to the domain.
(this is a somewhat similar principle to performing a password reset for a user account)

Or.

You can go ahead and reset the computer account using netdom.exe tool (http://support.microsoft.com/kb/216393  )

netdom reset ‘machinename’ /domain:’domainname

Follow below link which explains typical symptoms when Secure channel broken

http://blogs.technet.com/b/asiasupp/archive/2007/01/18/typical-symptoms-when-secure-channel-is-broken.aspx  

If there is no SPN or DNSHost name mentioned on the Computer account attribtues

Service Principle name and DNSHost name has to been mentioned on each computer account in active directory, If they are missing they will result into “Trust Relationship” error message.

Resolution

To check the SPN and DNSHost name, do this on the domain controller.

1.start—>Run—–>Adsiedit.msc
2. Select Domain partition from the options
3.Go the computer account where computer object exists.
4. Right click on computer object——->Go to Properties———->Attributes Editior
5.Search for Service Principle name (SPN) name and check entry exists or not.(It consists of Service ClassHostPort andService Name )

Format – <service class>/<host>:<port>/<service name> 
The <service class> and <host> are required. But the <port> and <service name> are optional.

6. Check out for DNSHost attribute as well. Make sure it also exsists with an entry .

Format – Computername.Domainname.com (Eg – Y12345.contoso.com)

Outdated Drivers.

This cause is very rare. You can check the NIC Drivers from computer management on the Computer and update if they are old.

Hope this will clarify to understand why “Trust Relationship between Workstation and Primary Domain failed” occurs on client systems when users try to login to the computer with their Credentials.

——————————–

Next, we solve the problem by resetting the Computer password in Active Directory and on the Local machine, for this we use a PowerShell CMDlet called Reset-ComputerMachinePassword. Type in the following command:

Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>

In my environment it looks like this:

PSMethod2

Hit Enter, you will then be prompted for the Domain Administrator accounts password

PSMethod3

Type in the password and hit OK. It will take between 2 to 10 seconds to complete Yoy will then, if everything works, see this:

PSMethod4

Yup, nothing overwelming like ‘Succeeded’ or OK…just the released prompt. It is a success though 🙂

Now, we have to do one more thing before order is restored completely, we have to reboot the server. If you don’t, you will still not be able to logon using the domain account.

Use PowerShell…

Reboot

Or the GUI if you prefer

Active Directory Recycle Bin

Trong Windows Server 2008 R2 có một tính năng khá mạnh trong việc khôi phục các đối tượng từ Active Directory đó là Active Directory Recycle Bin. Trong bài viết chúng tôi sẽ cùng các bạn đi tìm hiểu về tính năng này và cách sử dụng nó như thế nào.

Windows Server 2008 R2 có một tính năng Active Directory Recycle Bin mới, đây là tính năng mà bạn có thể sử dụng để “undo” những gì bị xóa do vô tình cho cả Active Directory Domain Services (AD DS) và Active Directory Lightweight Directory Services (AD LDS). Active Directory Recycle Bin cho phép bạn khôi phục các đối tượng đã bị xóa do vô tình cách nhanh chóng và giảm thời gian chết trong việc mất dữ liệu.
Tiếp tục đọc

Active Directory Administration Center.

Trong Windows server 2k3 và 2k8 chúng ta đã quen với việc quản lý các đối tượng trong môi trường Domain với Active Directory Users and Computers Microsoft Management Console (MMC) thì trong phiên bản mới windows server 2k8 R2 còn cung cấp thêm Active Directory Administrative Center có tính năng cho phép quản lý hiệu quả hơn các đối tượng dịch vụ trong domain lưu ý ngay cả phiên bản Windows server 2k8 cũng không có tính năng này và Windows 7 có hỗ trợ tính năng này như một phần của bộ công cụ Remote Server Administration Tools (RSAT) http://go.microsoft.com/fwlink/?LinkID=130862 .
Tiếp tục đọc

Tạo Và Truy xuất thông tin Snapshot Active Directory trong Windows Server 2008

Windows Server 2008 có một số tính năng mới cho phép người quản trị mạng tạo ảnh nhanh của database AD để sử dụng Offline. Với bản chụp AD bạn có thể sao lưu dự phòng Active Directory Domain service với quyền truy cập Read – Only thông qua LDAP.

Trong quá trình snapshot bạn nên dùng các biện pháp để bảo vệ snapshot AD nhẳm bảo mật những thông tin nhạy cảm trên AD.
Tiếp tục đọc

Nâng cấp Active Directory Domain Services lên nền tảng Windows Server 2008 R2

Một khi Active Directory Domain Services (ADDS) đóng vai trò như nền tảng cốt lõi cho việc quản trị hệ thống, áp đặt chính sách, xác thực ứng dụng tập trung SSO thì việc nâng cấp từ phiên bản trên nền Windows Server 2000/2003 lên 2008 R2 (2k8R2) cần hoạch định và thử nghiệm hết sức kĩ càng. Theo kinh nghiệm của tác giả thì nhiều doanh nghiệp tầm trung và lớn ở VN thường có ý tưởng nâng cấp lên 2k8R2 vì nó mong muốn có một hệ thống AD ổn định hơn. Điều là vừa đúng vừa chưa đúng . Đúng ở chỗ 2k8R2 thực sự là một HĐH mạnh mẽ đi kèm nhiều tiện ích giúp giảm chi phí vận hành hệ thống và tăng tính ổn định nói chung (1) và AD nói riêng như Server Core, RODC, Branch Cache hay AD Recyle Bin. Còn chưa đúng là ở chỗ nếu doanh nghiệp chỉ tập trung nâng cao tính sẵn sàng của AD với chi phí thấp nhất chứ không phải để mở rộng dịch vụ thì điều cần làm là sửa lỗi và tối ưu hệ thống hiện có chứ không nhất thiết phải nâng lên phiên bản mới. Vì việc nâng lên phiên bản mới cũng sẽ kế thừa những cấu hình lỗi và rác từ hệ thống cũ đi kèm với rủi ro về nâng cấp, tương thích ứng dụng và chi phí.

Tiếp tục đọc

Ứng dụng Active Directory Domain Services cho doanh nghiệp

Khi mà hệ điều hành Windows Server 2003 đã đi đến đoạn cuối của quá trình hỗ trợ kĩ thuật (end of support) thì DN (DN) bắt đầu nghĩ đến việc chuyển đổi HĐH lên phiên bản Windows Server 2008 (WS2k8). Tuy nhiên vấn đề hỗ trợ kĩ thuật không phải là lý do duy nhất khiến DN bỏ tiền ra nâng cấp mà còn do WS2k8 ổn định hơn hẳn cũng như có rất nhiều cải tiến đáng kể như Server Core, Clustering, Active Directory, Bitlocker. Trong phiên bản 2008, Microsoft đã có một số thay đổi trong cách đặt tên cho các dịch vụ liên quan đến quản lý định danh và xác thực. Chẳng hạn như trong Windows Server 2003 người ta vẫn quen gọi chung là Active Directory nhưng ở WS2k8 thì nó được biết đến là Active Directory Domain Services (ADDS). Thay đổi này là cần thiết để phân biệt dịch vụ quản trị định danh và xác thực với các dịch vụ khác như AD RMS (quản lý quyền truy cập nội dung số), AD CS (cung cấp nền tảng xác thực PKI)…

Tiếp tục đọc

Cài đặt ADMT 3.2 trên Windows server 2008 R2

Active Directory Migration Tool 3.2 (ADMT v3.2) là công cụ hỗ trợ trong việc dời các đối tượng (user, group, service account và computer) giữa các domain khác nhau trong môi trường ADDS (cùng hoặc khác forest).

Yêu cầu hệ thống

Hệ điều hành: Windows Server 2008 R2

  • Target domain (domain cần chuyển đối tượng đến):  Windows Server 2003, Windows Server 2008, hoặc Windows Server 2008 R2
  • Source domain (domain gốc chứa đối tượng cần chuyển): Windows Server 2003, Windows Server 2008, hoặc Windows Server 2008 R2

Download Active Directory Migration Tool version 3.2
Tiếp tục đọc