プライマリドメインとの信頼関係に失敗しました windows server

Windows Server 2012 R2のドメインコントローラー配下のメンバーサーバにて、”このワークステーションとプライマリ ドメインとの信頼関係に失敗しました”と表示される事があります。これはWindows Server 2016、Windows Server 2019でも発生しうる事象です。

基本的に、よく発生する現象ではないのですが、サーバーを仮想化した環境の場合、ある操作で発生する事があります。

よく発生する要因として、仮想マシンのバックアップ、スナップショットを取っておいて、そのバックアップ、スナップショットから仮想マシンの状態が古い状態になると、発生する場合があります。

例えば、VMwareの仮想環境で、1か月前に取得したスナップショットへ戻す場合などですね。

>>［Network］ → Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Windows OSの復元後、ドメイン・ログオンに失敗する現象を防ぐ

https://www.atmarkit.co.jp/fwin2k/win2ktips/1327discap/discap.html

ちなみにこの事象は、以下のようなコンピューターアカウントのパスワードの不一致によって発生すると思われます。

ユーザー自身とドメイン・ユーザー・アカウントの関係と同じく、ドメインに参加しているコンピュータにも「コンピュータ・アカウント」があり、その情報はドメイン・コントローラの持つデータベースに格納されている。そしてコンピュータ・アカウントにもパスワードがあり、ドメインとコンピュータの双方に保存されていて両者間の認証に利用される。
ただし、ユーザー・アカウントと違ってコンピュータ・アカウントのパスワードは自動で更新され、通常はユーザーの目に触れることはない。デフォルトの更新間隔である30日が経つと、コンピュータはドメイン・コントローラと通信しあって新たなパスワードを生成し、双方で更新・保存する。
ところが、ドメインとコンピュータの間で何らかの理由によりパスワードが食い違ってしまうと、そのコンピュータはドメインに正しく参加していないと見なされ、ドメインにログオンできなくなってしまう。

この状態から解決するには、ドメインからコンピューターを削除し、その後でコンピューターをドメインに再参加させます。

【手順】

①ローカル管理者アカウントを使用して、コンピューターにログオンします。

②「スタート」 ボタンをクリックし、「コンピューター」 を右クリックし、「プロパティ」 をクリックします。コンピューター名の横にある 「設定の変更」 をクリックします。

③「コンピューター名」 タブで、「変更」 をクリックします。

④「所属するグループ」 見出しの下で、「ワークグループ」 を選択し、ワークグループ名を入力して、「OK」 をクリックします。

⑤コンピューターを再起動するかどうかを確認するメッセージが表示されたら、「はい」 をクリックします。

⑥再起動後、再び、ローカル管理者アカウントを使用して、コンピューターにログオンします。

⑦「コンピューター名」 タブで、「変更」 をもう一度クリックします。

⑧「所属するグループ」 見出しの下で、「ドメイン」 を選択し、ドメイン名を入力します。 「OK」 をクリックし、ドメイン内でアクセス許可を持っているユーザーの資格情報を入力します。

⑨コンピューターを再起動するかどうかを確認するメッセージが表示されたら、「はい」 をクリックします。

⑩コンピューターを再起動します。

以前の職場では、仮想環境でなくても、物理マシンのWindows 10でわりと発生した事がありました。 意外と遭遇する事象ではありますが、サーバーによっては再ドメイン参加はリスクになる場合があるので、注意が必要ですね。基本的にセキュリティチャネルの破損した場合は、ドメイン再参加が手っ取り早く復旧出来ます。