이 문서에서는 사용자가 도메인 컴퓨터에 로그온할 수 없을 때 워크스테이션과 Active Directory 도메인 간의 손상된 신뢰 관계를 수정하는 방법을 보여줍니다. 문제의 근본 원인과 컴퓨터를 재부팅하고 도메인에 다시 가입하지 않고도 보안 채널을 통해 컴퓨터와 도메인 컨트롤러 간의 신뢰를 쉽게 복구할 수 있는 방법을 살펴보겠습니다.
이 워크스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다.
문제는 사용자가 도메인 자격 증명을 사용하여 워크스테이션이나 구성원 서버에 로그온을 시도하고 암호를 입력한 후 다음 오류가 발생할 때 나타납니다.
The trust relationship between this workstation and the primary domain failed.
오류는 다음과 같을 수도 있습니다.
The security database on the server does not have a computer account for this workstation trust relationship.
Active Directory 도메인의 컴퓨터(컴퓨터) 계정 비밀번호
컴퓨터가 Active Directory 도메인에 가입되면 별도의 컴퓨터 계정이 생성됩니다. 사용자와 마찬가지로 각 컴퓨터에는 도메인의 컴퓨터를 인증하고 도메인 컨트롤러와 신뢰할 수 있는 연결을 설정하기 위한 암호가 있습니다. 단, 사용자 비밀번호와 달리 컴퓨터 비밀번호는 자동으로 설정 및 변경됩니다.
다음은 AD의 컴퓨터 계정 암호에 대한 몇 가지 중요한 사항입니다.
- AD의 컴퓨터 비밀번호는 정기적으로 변경해야 합니다(기본적으로 30일에 한 번).도움말 도메인 구성원:최대 컴퓨터 계정 비밀번호 사용 기간을 사용하여 최대 컴퓨터 비밀번호 사용 기간을 구성할 수 있습니다. 컴퓨터 구성-> Windows 설정-> 보안 설정-> 로컬 정책-> 보안 옵션 아래에 있는 정책. 컴퓨터 암호 수명은 0~999일(기본값은 30일)입니다.
- 사용자 비밀번호와 달리 컴퓨터 비밀번호는 만료될 수 없습니다. 암호 변경은 도메인 컨트롤러가 아니라 컴퓨터에서 시작됩니다. 컴퓨터 암호에는 도메인 암호 정책이 적용되지 않습니다. 컴퓨터가 30일 이상 꺼져 있더라도 켤 수 있으며 DC에서 이전 암호로 인증됩니다. 그런 다음 로컬 Netlogon 서비스는 로컬 데이터베이스에서 컴퓨터 암호를 변경합니다(암호는 레지스트리
HKLM\SECURITY\Policy\Secrets\$machine.ACC에 저장됩니다). ) 그런 다음 Active Directory에서 컴퓨터 계정 암호를 업데이트합니다. - 가장 가까운 DC에서 컴퓨터 암호가 변경되고 변경 사항이 PDC 에뮬레이터 FSMO 역할을 가진 도메인 컨트롤러로 전송되지 않습니다(즉, 컴퓨터가 한 DC에서 암호를 변경한 경우 인증할 수 없습니다. AD 변경 사항이 복제될 때까지 다른 DC에서).
컴퓨터가 도메인 컨트롤러로 보내는 암호의 해시가 AD 데이터베이스의 컴퓨터 계정 암호와 일치하지 않으면 컴퓨터는 DC와 보안 연결을 설정할 수 없고 신뢰할 수 있는 연결 오류를 반환합니다.
문제가 발생하는 이유:
- 컴퓨터가 이전 복원 지점에서 복원되었거나 컴퓨터 암호가 AD에서 변경되기 전에 생성된 스냅샷(가상 머신의 경우)입니다. 컴퓨터를 이전 상태로 되돌리면 이전 암호를 사용하여 DC에서 인증을 시도합니다. 가장 일반적인 문제입니다.
- 같은 이름의 컴퓨터가 AD에서 생성되었거나 누군가 ADUC 콘솔(
dsa.msc)을 사용하여 도메인의 컴퓨터 계정을 재설정했습니다. );
- 도메인의 컴퓨터 계정이 관리자에 의해 비활성화되었습니다(예:비활성 AD 개체를 비활성화하는 일반 절차 중).
- 컴퓨터의 시스템 시간이 잘못된 경우는 매우 드뭅니다.
다음은 컴퓨터와 도메인 간의 신뢰 관계를 복구하는 고전적인 방법입니다.
- AD에서 컴퓨터 계정 재설정
- 도메인에서 로컬 관리자 아래의 작업 그룹으로 컴퓨터를 이동합니다.
- 재부팅;
- 컴퓨터를 도메인에 다시 가입
- 컴퓨터 다시 시작
이 방법은 간단해 보이지만 너무 서툴고 컴퓨터를 두 번 이상 다시 시작해야 하며 10-30분이 걸립니다. 또한 이전 로컬 사용자 프로필을 사용하는 데 문제가 발생할 수 있습니다.
도메인에 다시 가입하거나 컴퓨터를 다시 시작하지 않고 PowerShell을 사용하여 트러스트 관계를 복구하는 더 현명한 방법이 있습니다.
PowerShell을 사용하여 컴퓨터와 도메인 간의 신뢰 관계 확인 및 복원
도메인 계정으로 컴퓨터에서 인증할 수 없고 다음 오류가 표시되는 경우:이 워크스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다. , 로컬 관리자 계정을 사용하여 컴퓨터에 로그온해야 합니다. 네트워크 케이블을 뽑고 최근에 캐시된 자격 증명을 사용하여 컴퓨터에 로그온한 도메인 계정으로 컴퓨터에서 인증할 수도 있습니다.
관리자 권한 PowerShell 콘솔을 열고 Test-ComputerSecureChannel을 사용합니다. cmdlet은 로컬 컴퓨터 암호가 AD에 저장된 암호와 일치하는지 확인합니다.
Test-ComputerSecureChannel –verbose
암호가 일치하지 않고 컴퓨터가 도메인과 신뢰 관계를 설정할 수 없는 경우 명령은 False를 반환합니다. – The Secure channel between the local computer and the domain woshub.com is broken .
AD에서 컴퓨터 계정 암호를 강제로 재설정하려면 다음 명령을 실행하십시오.
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
암호를 재설정하려면 컴퓨터 계정 암호를 재설정할 수 있는 권한이 있는 사용자 계정의 자격 증명을 입력하십시오. 사용자는 Active Directory에서 컴퓨터를 관리할 수 있는 권한을 위임받아야 합니다(Domain Admins 그룹 구성원을 사용할 수도 있음).
그런 다음 Test-ComputerSecureChannel을 다시 실행하여 True 를 반환하는지 확인하십시오. (The Secure channel between the local computer and the domain woshub.com is in good condition ).
따라서 다시 시작하거나 수동으로 도메인에 다시 가입하지 않고 컴퓨터 암호가 재설정되었습니다. 이제 도메인 계정을 사용하여 컴퓨터에 로그온할 수 있습니다.
또한 비밀번호를 강제로 재설정하려면 Reset-ComputerMachinePassword를 사용할 수 있습니다. cmdlet.
Reset-ComputerMachinePassword -Server mun-dc01.woshub.com -Credential woshub\adm_user1
mun-dc01.woshub.com 컴퓨터 암호를 변경할 가장 가까운 DC의 이름입니다.
가상 머신 스냅샷 또는 컴퓨터 복원 지점을 생성하기 전에 매번 컴퓨터 암호를 재설정하는 것이 좋습니다. 이전 컴퓨터 상태로 롤백하는 것이 더 쉬울 것입니다.
스냅샷에서 이전 VM 상태를 자주 복구해야 하는 개발 또는 테스트 환경이 있는 경우 GPO를 사용하여 이러한 컴퓨터의 도메인에서 암호 변경을 비활성화할 수 있습니다. 이를 수행하려면 도메인 구성원:컴퓨터 계정 비밀번호 변경 비활성화를 설정하세요. 정책은 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션에 있습니다. 테스트 컴퓨터가 있는 OU에 정책을 대상으로 지정하거나 GPO WMI 필터를 사용할 수 있습니다.
Get-ADComputer cmdlet(Windows PowerShell용 Active Directory 모듈에서)을 사용하여 AD에서 마지막 컴퓨터 암호 변경 날짜를 확인할 수 있습니다.
Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet
다음 명령을 사용하여 컴퓨터와 DC 사이에 보안 채널이 있는지 확인할 수도 있습니다.
nltest /sc_verify:woshub.com
다음 행은 신뢰가 성공적으로 복구되었음을 확인합니다.
Trusted DC Connection Status = 0 0x0 NERR_Success Trust Verification Status = 0 0x0 NERR_Success
Netdom을 사용하여 도메인 트러스트 복구
Windows 7/2008R2 및 PowerShell 3.0이 없는 이전 Windows 버전에서는 Test-ComputerSecureChannel 및 Reset-ComputerMachinePassword cmdlet을 사용하여 컴퓨터 암호를 재설정하고 도메인과의 신뢰 관계를 복구할 수 없습니다. 이 경우 netdom.exe를 사용하세요. 도메인 컨트롤러로 보안 채널을 복원하는 도구입니다.
넷돔 Windows Server 2008 이상에 포함되어 있으며 RSAT(Remote Server Administration Tools)를 통해 사용자 컴퓨터에 설치할 수 있습니다. 신뢰 관계를 복구하려면 로컬 관리자 자격 증명으로 로그온합니다(.\Administrator 입력). 로그온 화면에서) 다음 명령을 실행합니다.
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
<강한> 
The machine account password for the local machine has successfully reset.
- 서버 사용 가능한 도메인 컨트롤러의 이름입니다.
- 사용자D 도메인 관리자 권한이 있거나 컴퓨터 계정이 포함된 OU에 대한 권한을 위임받은 사용자의 이름입니다.
- 비밀번호D 사용자 비밀번호
Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd
명령을 실행한 후에는 컴퓨터를 재부팅할 필요가 없습니다. 로그오프한 후 도메인 계정을 사용하여 다시 로그온하기만 하면 됩니다.
보시다시피 컴퓨터와 도메인 간의 신뢰를 복구하는 것은 매우 쉽습니다.