このワークステーションとプライマリドメインとの信頼関係に失敗しました原因 windows10

目次 Show

考えられる原因
対処方法
操作手順 Windows7の場合

AD に参加している PC にログインしようとすると、「このワークステーションとプライマリドメインとの信頼関係に失敗しました」という表示が出て、どうやってもログインできないことがあります。

そもそもの日本語がちょっと変なので、何を言っているのかわかり辛いですが、これは "The trust relationship between this workstation and the primary domain failed." を直訳したもののようです。

なんとなく AD の問題であって、こういうのはドメインからの一度該当のマシンを外して、ドメインに再参加すれば修正できるだろうというは分かります。実際に MS の公式な解説でもそのようなページも見つかります*1が、さらにいろいろと調べてみたらPowerShell を使うと意外と簡単に修復できることが分かりました。

† 確認方法

一番面倒なのは、何らかの方法で該当のマシンにログインする必要があることでしょうか。
ログインができたらコマンドプロンプトを起動して以下のコマンドを打ち込みます。

nltest /sc_query:example.jp

問題が発生している場合 0x5 ERROR_ACCESS_DENIED という戻り値が返ってくることが確認できます。
問題が解消している場合の戻り値は 0x0 NERR_Success です。

† 修正方法

修正は PowerShell を管理者権限で起動して実施します。
使うコマンドレットはTest-ComputerSecureChannel*2です。
具体的には以下のようなコマンドになります（DOMAIN_NAME, DOMAIN_ADMIN は自分のドメイン名とドメイン管理ユーザーに読み替えてください。）。

Test-ComputerSecureChannel -Repair -Credential DOMAIN_NAME\DOMAIN_ADMIN

上記の作業が完了したら、確認方法に記載してある nltest を使って、コマンドが 0x0 NERR_Success を返すことを確認します。

† エラーの発生はセキュアチャネルの破損

この現象の発生メカニズムについては「ドメインにログオンできない～セキュアチャネルの破損～」に公式の詳細な解説があります。
普段、あまり意識することがない AD に登録されているコンピューターアカウントのパスワードが影響しているようです。

先日、会社で使用しているWindows10のマシンが急にログインできなくなりました。

表示されたメッセージは、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」という内容。

最初はリモートデスクトップ接続だけ、このメッセージが表示されて、直にログインする場合は出なかったのですが、最終的に直接ログインする場合も表示されるようになり、ドメインユーザー全てがログインできなくなりました。

対処することができたので、メモを残します。

【症状】

症状は前述の通りです。
ドメインユーザーでログインしようとするとメッセージが表示されてログインすることができません。

【原因】

原因は、セキュアチャネルの破損が主な原因となります。
セキュアチャネルとは、ドメインサーバーとクライアントマシンが安全に通信する仕組みで、互いにアカウントとパスワードを保持するものです。

この仕組みのため、クライアントマシンがネットワークに接続していなくても、ユーザーはログインすることができます。

このクライアントマシン側のセキュアチャネルが何らかの理由で破損すると、ドメインサーバーとの同期が取れなくなり、最終的にログインが不可になってしまいます。

【対処法】

対処法ですが、ドメイン登録を一度解除し、再度ドメインに参加することでセキュアチャネルを正常な状態に戻すことができます。
もし、まだドメインユーザーでログインできる状態なら良いのですが、全ユーザーがロックされてしまった場合は、ローカルユーザーでログインする必要があります。

ローカルユーザーは対象のPCにのみ登録しているユーザーで、初期セットアップのときに1つは登録しているユーザーです。

私の場合は、ローカルユーザーのパスワードが不明だったのでかなり苦労しました。。。
せめてPC使用するメンバー（最低限管理者）でローカルユーザーのIDとパスワードを共有しておく必要があるなと思いました。

修復の方法ですが、

管理者権限のユーザーでログイン
「コントロールパネル」⇒「システム」⇒「システムの詳細設定」⇒「コンピューター名」を開きます
「変更」ボタンを押下
「所属するグループ」で”ドメイン”にチェックが入っていると思うので、”ワークグループ”にチェックを入れ、適当なグループ名を設定します（WORK_GROUPで良いと思います）
※この時、ドメイン名をメモしておきましょう
「OK」ボタンを押下して、ウィンドウを閉じていきます
再起動を要求されるので、PCを再起動します（いいえを押した場合は、後ほど再起動してください）
再起動したら、ローカルユーザーでログイン
2、3の手順を行い、4の手順で今度は”ドメイン”にチェックを入れて、メモしていたドメイン名を入力します
「OK」ボタンを押下します
ドメインのパスワードを求められるので入力します（分からない場合はドメインの管理者に確認を）
「○○へようこそ！」のようなメッセージが表示されれば作業完了です

これで再びドメインユーザーでログインできるようになります。

他にもコマンドで復旧するやり方があるようですが、玄人じゃないとミスる可能性があるので、このやり方が確実だと思います。
コマンドで復旧する場合はログインできるユーザーがいないとダメですしね。。。

ちなみに、ローカルユーザーでもログインできない場合は、完全に詰み状態のようです。＼(^o^)／
その場合は、Windowsを出荷状態に戻す作業で復活させられますよ。（データファイルは残りますが、アプリは要再インストール）

今回のマシンですが、Windows Updateを行った翌日に発生しました。
関連性のほどははっきりしませんが、一応記載しておきますね。

ちなみに、別件で明らかにWindows Updateが原因の障害（ログイン後に画面がブラックアウト）も発生したので、同Updateに起因する障害である確率は高いと思っています。
こちらの対処法も後日記事にします。

Mask_Siva

北の試される大地に生息しているSEです。
楽しみながらプログラムを作ったり、ゲームで遊んだりしています。

「コンピューターアカウント」のパスワード切れが原因です。
※コンピューターアカウントとユーザーアカウントは別のものです。

コンピューターアカウントのパスワードは、ドメインコントローラー（サーバー）とドメインメンバー（クライアント）が通信を行うときに使用されるものです。（通常、ユーザーは意識しません。）

このパスワードはサーバー側からクライアント側へ30日ごとに通知され、クライアントはその情報をローカルに保存します。

サーバー側には、現在のパスワードと１つ前に渡したパスワードを記録していて、このパスワードと一致しないクライアントとは通信できません。
（クライアントからログオンしようとすると「～このドメインにログオンできません。」と表示されてしまう。）

HD革命/WinProtectorを使用した場合を考えてみます。

ドメインに関する設定は行われている状態とします。→このときのパスワードをP1とします。

HD革命/WinProtectorを使用を続けて30日経過すると、新しいパスワードP2がサーバーから通知されます。

しかし、HD革命/WinProtectorで保護しているので、新しく通知されたパスワードP2はクライアントに保存されません(破棄される)

結果として、クライアントに保存されているパスワードはP1になりますが、サーバー側には、パスワードP1、P2の両方の情報を持っているのでサーバーとクライアントで通信可能です。

さらに30日が経過して、サーバーからさらに新しいパスワードP3が通知されます。

やはり、クライアント側はHD革命/WinProtectorで保護されているので、クライアントに保存されているパスワードはP1です。

サーバー側はパスワードP1の情報は無くなり、パスワードP2、P3の情報が保存されています。

結果、サーバーとクライアントに保存されているコンピューターアカウントのパスワード情報が一致しなくなり、ドメインにログオンできなくなります。

現象
考えられる原因
対処方法
- 操作手順 Windows7の場合

現象

【対象】Active Directory環境（ドメイン参加）のWindowsパソコン

【現象】
ユーザ名/パスワード入力後ログオンしようとすると、下記エラーが表示されログオンが出来ない
「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示される。

考えられる原因

クライアント側とサーバ側（ドメインコントローラ）で保持されるセキュアチャネルの情報が一致せずログオンに失敗します
多くは、クライアント側で保持されるセキュアチャネルの破損が原因として考えられます

※補足原因となる事例の一例
「スリープモードを有効にしていると同様の現象が起こる」という事例があります。
スリープモード有効時、スリープになった時点で、ネットワークのセッションが切断され復旧後も既存のネットワーク接続に支障が出る場合があります。
その場合、ネットワークデバイスの設定の中で[電力の節約のために、コンピューターでこのデバイスの電源をオフにできるようにする]という設定をオフにする、もしくはスリープモード自体を無効にするして安定稼働をした事例もあります

対処方法

セキュアチャネル破損時の対処は、ドメインの再参加作業が必要です
以下の操作を実施してください。再起動が合計2回必要な作業になります。

【事前確認】
ドメインからワークグループに変更する前に、必ずPCのローカル管理者の権限を持つローカルアカウントが有効でログオンできる状態になっている事を確認して作業を行います
※キャッシュログオンしたユーザが、コンピュータのAdministratorsに入っている場合、またはDomain Usersが入っている場合は、管理者ユーザの有効化、またはローカル管理者を新規に作成可能です。

操作手順 Windows7の場合

ローカルの管理者ユーザーでログオンします
※通常ドメインでログオンをしている場合、ユーザー名は[コンピュータ名ー￥ユーザー名]という形式で入力します
「コンピュータ」を右クリックし、「プロパティ」を開きます
※コントロールパネル内にある[システム]を開いても同様の画面になります
「設定の変更」を選択し、「変更」をクリックします
「ワークグループ」にチェックを入れて、任意の文字を入力します
※注元のドメインに記載されている内容は再利用しますので内容を控えます
認証画面が表示されますので、権限のあるユーザーのID、パスワードを入力します。
メッセージに従い設定を反映させクライアントPCを再起動します。
ローカルユーザの管理者でログインします
※ 手順1と同様の操作です
「コンピュータ」を右クリックし、「プロパティ」を開きます
※ 手順2と同様の操作です
「設定の変更」を選択し、「変更」をクリックします
※ 手順3と同様の操作です
「ドメイン」にチェックを入れて、当該のドメイン名を入力します
※ 手順4で控えたドメイン名を入力します
認証画面が表示されますので、権限のあるユーザーのID、パスワードを入力します
メッセージに従い設定を反映させクライアントPCを再起動します
再起動後、LANケーブルを抜いている場合は接続をしてから、ログオンが出来る事を確認します
ログオンが可能になりましたら操作は完了です