Buscar

VMWare y AD: "La relación de confianza entre esta estación de trabajo y el dominio principal falló"

Al iniciar sesión en un equipo añadido al dominio, nos podemos encontrar con el siguiente error:

En castellano:

"La relación de confianza entre esta estación de trabajo y el dominio principal falló"

En inglés:

"The trust relationship between this workstation and the primary domain failed"

El problema es grave, ya que no es posible iniciar sesión con ningún usuario del dominio.

¿Cómo solucionamos problema?

Si buscamos en el technet de Microsoft, veremos como solucionar el problema:

  • Iniciar sesión como administrador local.
  • Configurar el equipo en un WORKGROUP.
  • Añadir de nuevo el equipo al dominio.

Problema resuelto.

Pero...

¿Por qué ocurre?

En resumen, sucede por que el password de equipo almacenado en el DC (Controlador de dominio), no coincide con el password almacenado en el equipo.

En un entorno de Active Directory, el administrador de sistemas acostumbra a tener controlado la expiración de passwords de usuarios, pero no la de los equipos.

La renovación de los passwords de equipo es un proceso transparente para el usuario y el administrador, ambos no realizan ninguna acción.

Por defecto, el valor de renovación del password de equipo se produce cada 30 días desde Windows 2000.

Es el servicio NETLOGON el encargado de realizar el proceso.

Si el proceso es transparente y automático y nos aparece el error ... ¿Por qué ocurre?

Por que hemos retrocedido en el tiempo un equipo añadido al dominio más de 30 días utilizando alguna de estas técnicas:

  • Para equipos físicos: Restore utilizando una imagen.
  • Para equipos virtuales (VDI o servidores miembro virtuales): "Revert to snapshot" o "Restore de la VM" utilizando el software de backups.

¿Cómo evitamos el problema?

Con una GPO de equipo, podemos desactivar la expiración del password de equipo, para equipos añadidos al dominio:

VMWare y AD: password de equipo

Si el DC está en inglés:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

  • Domain member: Disable machine account password changes
  • Domain member: Maximum machine account password age

Si el DC está en castellano:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad

  • Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo

  • Miembro de dominio: duración máxima de contraseña de cuenta de equipo

El tratarse de una GPO de equipo que modifica la seguridad, debemos aplicarla a nivel de dominio.

En la ayuda de cada GPO, encontramos la siguiente información:

Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo 

Determina si un miembro de dominio cambia periódicamente su contraseña de cuenta de equipo. Si esta configuración está habilitada, el miembro del dominio no intenta cambiar su contraseña de cuenta de equipo. Si está deshabilitada, el miembro de dominio intenta cambiar su contraseña de cuenta de equipo del modo especificado en la configuración de Miembro de dominio: duración máxima de contraseña de cuenta de equipo, cuyo valor predeterminado es de 30 días.

Valor predeterminado: deshabilitada. 

Notas

Esta configuración de seguridad no debe habilitarse. Las contraseñas de cuenta de equipo se usan para establecer canales de comunicación seguros entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Una vez establecido, el canal seguro se usa para transmitir información confidencial necesaria para tomar decisiones de autenticación y autorización.

Esta configuración no debe usarse para intentar compatibilizar escenarios de arranque dual que usen la misma cuenta de equipo. Si desea realizar un arranque dual de dos instalaciones unidas al mismo dominio, asigne un nombre de equipo distinto a cada instalación.

Miembro de dominio: duración máxima de contraseña de cuenta de equipo 

Esta configuración de seguridad determina la frecuencia con que un miembro del dominio intentará cambiar la contraseña de su cuenta de equipo.

Valor predeterminado: 30 días.

Importante

Esta configuración se aplica a equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad en esos equipos.

Más información en:

  • El libro: GPOIT - Group Policy Objects para administradores de IT, para el uso de las directivas de grupo.
  • El libro: ADIT - Active Directory para administradores de IT, sobre los passwords de equipo y otras consideraciones acerca de Active Directory en entorno virtualizado como la prevención de "USN Rollback".

4 comentarios:

  1. EXCELENTE EXPLICACION ! NI Microsoft lo pudo descifrar ! Gracias.

    ResponderEliminar
  2. Estoy con la duda con respecto a la GPO es necesario habilitar ambas? o solo disable machine account password age, debo habilitar ambas?

    ResponderEliminar
    Respuestas
    1. Efectivamente, si habilitas "Disable machine account password changes", no es necesario cambiar la configuración de "Maximum machine account password age".

      La otra posibilidad es no habilitar "Disable machine account password changes" y configurar un valor de "Maximum machine account password age" muy alto.

      Eliminar