Buscar

VMWare y AD: "La relación de confianza entre esta estación de trabajo y el dominio principal falló"

Al iniciar sesión en un equipo añadido al dominio, nos podemos encontrar con el siguiente error:

En castellano:

"La relación de confianza entre esta estación de trabajo y el dominio principal falló"

En inglés:

"The trust relationship between this workstation and the primary domain failed"

El problema es grave, ya que no es posible iniciar sesión con ningún usuario del dominio.

¿Cómo solucionamos problema?

Si buscamos en el technet de Microsoft, veremos como solucionar el problema:

  • Iniciar sesión como administrador local.
  • Configurar el equipo en un WORKGROUP.
  • Añadir de nuevo el equipo al dominio.

Problema resuelto.

Pero...

¿Por qué ocurre?

En resumen, sucede por que el password de equipo almacenado en el DC (Controlador de dominio), no coincide con el password almacenado en el equipo.

En un entorno de Active Directory, el administrador de sistemas acostumbra a tener controlado la expiración de passwords de usuarios, pero no la de los equipos.

La renovación de los passwords de equipo es un proceso transparente para el usuario y el administrador, ambos no realizan ninguna acción.

Por defecto, el valor de renovación del password de equipo se produce cada 30 días desde Windows 2000.

Es el servicio NETLOGON el encargado de realizar el proceso.

Si el proceso es transparente y automático y nos aparece el error ... ¿Por qué ocurre?

Por que hemos retrocedido en el tiempo un equipo añadido al dominio más de 30 días utilizando alguna de estas técnicas:

  • Para equipos físicos: Restore utilizando una imagen.
  • Para equipos virtuales (VDI o servidores miembro virtuales): "Revert to snapshot" o "Restore de la VM" utilizando el software de backups.

¿Cómo evitamos el problema?

Con una GPO de equipo, podemos desactivar la expiración del password de equipo, para equipos añadidos al dominio:

VMWare y AD: password de equipo

Si el DC está en inglés:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

  • Domain member: Disable machine account password changes
  • Domain member: Maximum machine account password age

Si el DC está en castellano:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad

  • Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo

  • Miembro de dominio: duración máxima de contraseña de cuenta de equipo

El tratarse de una GPO de equipo que modifica la seguridad, debemos aplicarla a nivel de dominio.

En la ayuda de cada GPO, encontramos la siguiente información:

Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo 

Determina si un miembro de dominio cambia periódicamente su contraseña de cuenta de equipo. Si esta configuración está habilitada, el miembro del dominio no intenta cambiar su contraseña de cuenta de equipo. Si está deshabilitada, el miembro de dominio intenta cambiar su contraseña de cuenta de equipo del modo especificado en la configuración de Miembro de dominio: duración máxima de contraseña de cuenta de equipo, cuyo valor predeterminado es de 30 días.

Valor predeterminado: deshabilitada. 

Notas

Esta configuración de seguridad no debe habilitarse. Las contraseñas de cuenta de equipo se usan para establecer canales de comunicación seguros entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Una vez establecido, el canal seguro se usa para transmitir información confidencial necesaria para tomar decisiones de autenticación y autorización.

Esta configuración no debe usarse para intentar compatibilizar escenarios de arranque dual que usen la misma cuenta de equipo. Si desea realizar un arranque dual de dos instalaciones unidas al mismo dominio, asigne un nombre de equipo distinto a cada instalación.

Miembro de dominio: duración máxima de contraseña de cuenta de equipo 

Esta configuración de seguridad determina la frecuencia con que un miembro del dominio intentará cambiar la contraseña de su cuenta de equipo.

Valor predeterminado: 30 días.

Importante

Esta configuración se aplica a equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad en esos equipos.

Más información en:

  • El libro: GPOIT - Group Policy Objects para administradores de IT, para el uso de las directivas de grupo.
  • El libro: ADIT - Active Directory para administradores de IT, sobre los passwords de equipo y otras consideraciones acerca de Active Directory en entorno virtualizado como la prevención de "USN Rollback".

25 comentarios:

  1. EXCELENTE EXPLICACION ! NI Microsoft lo pudo descifrar ! Gracias.

    ResponderEliminar
  2. Estoy con la duda con respecto a la GPO es necesario habilitar ambas? o solo disable machine account password age, debo habilitar ambas?

    ResponderEliminar
    Respuestas
    1. Efectivamente, si habilitas "Disable machine account password changes", no es necesario cambiar la configuración de "Maximum machine account password age".

      La otra posibilidad es no habilitar "Disable machine account password changes" y configurar un valor de "Maximum machine account password age" muy alto.

      Eliminar
  3. Buenas tardes Amigo tengo este problema, pero trato de ingresar incluso como usuario administrador con la contraseña en cero y ni asi puedo...

    ResponderEliminar
    Respuestas
    1. Hola Fernando,

      Gracias por participar en el blog.

      Si haces login con una cuenta local (no de dominio), deberías de poder entrar.

      En el nombre de usuario, deberías indicar que se trata de una cuenta local.

      Por ejemplo, si el usuario se llama Administrador y el equipo C1, indica en el nombre de usuario C1\Administrador.

      Si no conoces el nombre del equipo, puedes indicar .\Administrador.

      ¡Un saludo!

      Xavi.

      Eliminar
  4. Excelente, tal cual, se saca y se ingresa al dominio nuevamente y funciona, pero mi duda es por qué pasa esto si la configuración está tal cual como la explicas y solo ha pasado con 2 equipos del dominio?

    ResponderEliminar
    Respuestas
    1. Hola Cristian,

      Gracias por participar en el blog.

      Las causas al problema, pueden ser muy variopintas.

      Un par de ejemplos:

      - Problemas en la sincronización de la hora entre cliente y controlador de dominio.

      - Retroceder en el tiempo un equipo añadido al dominio desde una copia de seguridad.

      Yo empezaría repasando el visor de eventos en busca de pistas que te puedan indicar la causa justo antes de que se que empezase el error.

      ¡Un saludo!

      Xavi.

      Eliminar
  5. A mi me pasa algo parecido pero mas curioso. Sobre las 19h. el servidor deja de responder peticiones de la red. He comprobado y no hay ninguna tarea que pueda afectar a esto. Me paso con 4 maquinas que estaban en dominio. Las he tenido que acabar formateando para poder trabajar con normalidad. El tema es que tambien me pasa con una maquina que trabaja fuera de la oficina y se conecta por escritorio remoto.
    Alguien sabe cual puede ser la causa? o que puedo mirar. Muchas gracias

    ResponderEliminar
    Respuestas
    1. Las causas pueden ser varias.

      Cuando te encuentres con el error, puedes repasar la fecha y hora del sistema, repasar si encuentras alguna pista en el visor de eventos (eventvwr.msc), algún software que retroceda en el tiempo el equipo, etc...

      Un saludo,

      Xavi.

      Eliminar
  6. Excelente aportación hermano. Un saludo!

    ResponderEliminar
    Respuestas
    1. Gracias a ti Héctor. ¡Me alegro que te haya gustado!

      Un saludo,

      Xavi.

      Eliminar
  7. muy buena la explicación, mejor que la del admin de la empresa en la que trabajo que dice que es falla en el OS local o que el equipo permanece mucho tiempo sin conectarse a la red, pero sinceramente eso no me convenció mucho por que no es algo constante y no todos los equipos permanecen mucho tiempo sin estar en la red.

    ResponderEliminar
    Respuestas
    1. Gracias Alain por tu comentario.

      Un saludo,

      Xavi.

      Eliminar
  8. Gracias, por la Info. Pero no me queda claro a qué te refieres con " contraseña de cuenta de equipo" es la contraseña que uso para agregar un equipo al dominio. O es la contraseña de un usuario? Gracias y saludos.

    ResponderEliminar
    Respuestas
    1. Hola,

      La contraseña de la cuenta de equipo no es la contraseña que usas al añadir un equipo al dominio, ni tampoco es una contraseña de un usuario.

      En Active Directory, los objetos del tipo usuario, ya sabes como funcionan: tienen una contraseña que o bien el usuario puede cambiar o bien el administrador desde las herramientas administrativas tipo usuarios y equipos de AD.

      Los objetos del tipo equipo, también tienen una contraseña y esta es cambiada de forma automática, a diferencia de las contraseñas de usuarios, el administrador no establece la contraseña de equipo.

      Un saludo,

      Xavi.

      Eliminar
  9. Hi,
    Thank you for great effort..
    I got same "trust relation ship error",
    I noticed that it is happening after every 29 or 30 days.
    Same time my system notification has coming to change password..
    Event ID:5722 in Domain Controller
    Can we identify is it same problem?

    ResponderEliminar
    Respuestas
    1. Thank you very much for your comment.

      Indeed, it could be the same problem.

      Anyway, check out Microsoft KB810977

      In this KB, you will find information about the EventID: 5722

      Greetings,

      Xavi.

      Eliminar
  10. Hola, gracias por la información, todo super claro y bien explicado.
    ¿Hay alguna forma de volver a entrar al equipo si no se tiene la clave local?

    Gracias!. Saludos!

    ResponderEliminar
    Respuestas
    1. Sí, aquí tienes un método para realizar un reset del password de administrador del dominio:

      http://www.sysadmit.com/2016/01/windows-reset-password-administrador-dominio.html

      Para un password de administrador local, puedes seguir el mismo método.

      Solo en el paso final, deberás ejecutar (sin el /domain):

      Net User Administrador *

      En el caso de que la cuenta de administrador local esté deshabilitada, bastará con ejecutar el siguiente comando para activarla.

      Net User Administrador /Active:yes

      Un saludo,

      Xavi.

      Eliminar
  11. Hola, genial la explicación, en mí caso se vuelve a producir el mismo problema (una vez que quitamos de dominio y la volvemos a ingresar con otro nombre) digamos que pasan unos días y el problema vuelve a aparecer, tendrías alguna idea de que porque pasa eso?
    Saludos.

    ResponderEliminar
    Respuestas
    1. Igual tienes algún problema con la configuración de la hora, o bien "algo" que retrocede el estado de la máquina, etc...

      Puedes investigar el visor de eventos a ver si encuentras alguna pista.

      Un saludo,

      Xavi.

      Eliminar
  12. Buenas tardes.
    Pasa lo siguiente
    1. En los últimos días, 3 equipos han presentado el problema de, La relación de confianza entre esta estación de trabajo y el dominio principal, y lo que realizo son los paso de sacarlo del dominio al equipo y luego lo vuelvo a agregar.

    Mi escenario es el siguiente:
    1. tengo una policita de cambio de contraseña de administrador local la cual está por un script y se lo aplico a todos los equipos del dominio.

    Mi pregunta es la siguiente:

    ¿Tengo que crear una nueva política para rehabilitar las dos opciones que usted explica y luego aplicarlas a todos los equipos del dominio?

    ¿Si aplico esta política ya no tendré el problema de la relación de confianza entre esta estación de trabajo y el dominio principal?

    ¿Esto no afectara la política del cambio de contraseña que yo he creado anteriormente?

    Estas son las dos políticas que usted señala:
    Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo
    Miembro de dominio: duración máxima de contraseña de cuenta de equipo

    ResponderEliminar
    Respuestas
    1. Hola, gracias por participar en el blog.

      En respuesta a las preguntas que planteas:

      En primer lugar te aconsejaría que descubras el motivo de por que obtienes el error: "La relación de confianza..."

      Una vez descubras a que es debido, si puedes corregir el problema, listo.

      En caso contrario, puedes utilizar la GPO indicada en el post, pero es importante determinar el motivo.

      Sobre la GPO, al tratarse de establecer una configuración relacionada con las opciones de seguridad tiene que ir vinculada a nivel de dominio, si la vinculas a nivel de unidad organizativa, no tendrá efecto.

      La GPO que indica el post, no interfiere con la GPO relacionada con el cambio de contraseña de un usuario.

      La GPO del post se refiere a modificar la caducidad de la contraseña de equipo, no de usuario.

      Un saludo,

      Xavi.

      Eliminar