Este es un tema que se repite, y no desde hace poco tiempo, con bastante frecuencia, vamos a tratar de que no suceda, y si sucediera cómo solucionarlo
¿Quién no ha recibido nunca cuando va a iniciar sesión, un mensaje que alerta que se ha roto la relación de confianza de la máquina con el Dominio?
Lo importante en realidad es que no suceda, así que primero vamos a conversar un poco sobre el tema
En un ambiente de Dominio Active Directory las máquinas, durante su arranque, se autentican/autentifican en el Dominio, casi como lo hace cualquier cuenta de usuario
Cada máquina usa como nombre de cuenta su propio nombre con el agregado de un signo “$” al final. Por ejemplo, una máquina de nombre SRV1, utiliza la cuenta SRV1$
El por qué usa este caracter diferenciador de cualquier otra cuenta, es una historia muy larga, pero los viejos Dominios con Windows NT no diferenciaban en su estructura (hoy diríamos Esquema) un usuario de una máquina
Así que este carácter era lo que usaba el sistema operativo para diferenciarlos
Esta contraseña de la cuenta de máquina periódicamente se cambia. A lo largo de las diferentes versiones de sistema operativo cambió varias veces, pero actualmente es de 30 días. O sea que cada ese período la máquina cambia su contraseña. Si puede “avisarle” al Controlador de Dominio entonces mejor, pero si no puede, también lo hace
Inclusive a partir de Windows Server 2008, para ayudar a paliar estos problemas, los Controladores de Dominio, no sólo mantienen la última versión de la contraseña, sino también la anterior
Pero de todas formas, a veces sucede el problema
Primero enumeremos algunas de las condiciones que pueden provocarla:
- Máquinas que hace más de 30 días estuvieron sin conectividad con un Controlador de Dominio de su Dominio. Puede ser porque estuvieron apagadas o fuera de la red
- Máquinas recuperadas desde una copia de seguridad (Backup) antiguo
- Máquinas con sistema operativo de escritorio recuperadas desde un punto de restauración
- Máquinas virtuales recuperadas desde un punto de restauración (“Snapshot”) del sistema de virtualización
- Máquinas con dirección de DNS incorrecta. Por ejemplo por no estar configuradas para usar *solamente* el o los servidores DNS que resuelven el Dominio. Nunca, nunca, nunca los del ISP o el «Router»
- Máquinas clonadas sin el correspondiente proceso de SYSPREP
Y seguramente podríamos comentar aún más
¿Y cómo lo soluciona la mayoría? Bueno la mayoría usa el procedimiento que yo llamo “cavernícola” (“Nearthental Process”) :-) que consiste en:
- Sacar la máquina del Dominio a Grupo de Trabajo
- Reiniciar
- Borrar la cuenta de máquina en el Dominio
- Volver a unir la máquina al Dominio
- Reinciar
Este, el más común, es el peor de todos los procedimientos, porque además del tiempo que lleva (2 reinicios) cuando se une nuevamente la máquina al Dominio se le asigna un nuevo SID (SID = “Security ID”)
Si entrar en detalles, el SID es análogo a un número de documento. El sistema muestra en la interfaz gráfica nombres de máquinas, usuarios y grupos, pero internamente utiliza sus correspondientes SIDs
Análogamente a un número de documento de persona, nunca ese número es reutilizado
Como consecuencia, la máquina, que es la misma, para el Domino es otra totalmente diferente, aunque se llame igual y esté configurada exactamente igual, y sea el mismo hardware, y sea …
Y por lo tanto si se están ejecutando servicios con la cuenta de máquina, o se ha agregado la máquina a algún grupo para darle ciertos privilegios, todos eso se pierde irremediablemente
Si quieren, algo un procedimiento un poco “menos malo” sería igual al anterior pero, en lugar de borrar la cuenta de máquina, darle con botón derecho a la cuenta de máquina y seleccionar “Reset account”
La única ventaja de este método, es que se mantiene el SID, pero es tedioso como el anterior
Si uno busca un poco en la Web hay muchísimas soluciones del más variado tipo: scripts VBS, NLTEST, NETDOM, Powershell, y seguramente más
Los scripts me parecen una solución complicada, salvo que lo tuvieran que ejecutar muy seguido, lo cual implicaría otro problema. Ver las causas posibles al principio de la nota, y qué hay que solucionar
El comando NLTEST estaba en versiones anteriores del sistema operativo, pero en Windows Server 2012 ya no está
Powershell, sinceramente no he podido probarlo pero aparentemente se solucionaría con “Test-ComputerSecureChannel -Repair”
[Agregado] Probado y también funciona sin reiniciar igual que NETDOM
Y todo esto, porque encontré que con NETDOM lo solucionaba muy fácilmente, y muy importante no había que reinciar
Una acotación a tener en cuenta, Microsoft tiene una “mala costumbre” a veces los modificadores de los comandos, cambian o directamente desaparecen. Lo que estoy mostrando es sobre un Windows Server 2012 R2. Si tiene otra versión, y la sintaxis le da error, revise la ayuda con «NETDOM /?»
Me puse con las máquinas de mi laboratorio VMware de pruebas, y recuperé dos máquinas virtuales con “Snapshots” lo más alejados posible en el tiempo para hacer que se produzca el problema. Fueron un Controlador de Dominio (DC1) y un servidor miembro (SRV1)
Creé un usuario nuevo en el Dominio, para asegurarme que no se usaran “cached credentials”, y traté de inciar sesión en SRV1. Acá está el resultado
Entonces inicié sesión con un administrador local del servidor
Inicié una línea de comandos (CMD.EXE) ejecutándola como administrador, y en la misma usé NETDOM con la siguiente sintaxis:
NETDOM RESETPWD /s:<NombreDC> /UserD:<DOMINIO\Administrador> /PasswordD:<Contraseña>
Y ahora lo interesante. Sin reiniciar el servidor pude inciar sesión con el usuario nuevo creado al principio, ya está solucionado el problema, sin cambio de SID y muy rápidamente
WindowServer 
Comentarios
Que bueno.
La de veces que me ha pasado y.siempre usaba el método cavernícola 8)
Es que el método cavernícola nunca falla Ja ja ja
Buenos días!.
Una consulta, este comando también soluciona este error: no logon servers available to service the logon request.
Saludos,
José
Hola José, no, ese mensaje no tiene relación
Una cosa es cuando se rompe la relación de confianza con el Dominio, para lo cual realmente el cliente contactó a un Controlador de Dominio, y otra diferente es cuando no encuentra un «logon server» que indica justamente eso, que no lo encuentra
Para ejecutar este comando en Windows 7 es necesario instalar algún paquete en especial porque dice que no lo encuentra.
Hola jorgus, tienes razón, se me pasó ese detalle
Prueba copiando el NETDOM.EXE desde un servidor, y no te olvides de ejecutar el comando «como administrador»
Si eso no funcionara, según leo pero no lo he probado, alcanza con instalar las RSAT (Remote Server Administration Tools) en el Win7
Y en los equipos Macintosh que se puede hacer, que no sea el metodo cavernicola.???
Hola anacia99, no tengo Macintosho para probar :-)
¿No funciona el procedimiento de los Windows?
NETDOM.EXE no es una herramienta que pueda correr en las Macintosh.
Si, sabía que NETDOM no es ejecutable en Macintosh, pero pensaba que se podía hacer remotamente (desde el DC), pero no, no admite ejecutarlo desde otra máquina
Así, que si no hay algo desde el lado de Macintosh, va a quedar, vestirse con una piel de animal, y agarrar el mazo :-D
Y la opcion de darle con botón derecho a la cuenta de máquina y seleccionar “Reset account” como es que funciona?? hay que sacar el equipo del dominio y volverlo a unir el equipo al dominio???
Esa opción hace el reset de la contraseña en el Controlador de Dominio, pero no en el cliente. Y por lo tanto no se sincronizan
Si quieres prueba para Macintosh, quizás este tipo de cliente use la contraseña por omisión (que está derivada del nombre de máquina) y funcione
Hola, una duda si restauramos el único controlador (por simplificar escenario y no meterse en líos con otros aspectos temporales como ) de un dominio a 50 días atrás nos veríamos obligados a hacer esto para TODOS los clientes?
Mi duda viene de saber si los PCs también guardan la contraseña anterior y prueban a usarla cuando falla la actual, si esto fuera así habría algunas máquinas que con la anterior entraría. En cambio si lo de almacenar la contraseña anterior solo lo hace el controlador en este escenario tendríamos todas las máquinas con este problema.
Hola Jesús, como comentario, está bien si quieres simplificar, pero tener un único Controlador de Dominio no es una buena idea ya que pierdes todo lo que es tolerancia a fallas
Respecto al tema contraseñas de máquina, te comento lo que he leído documentado, ya que no he podido hacer más investigación sobre el tema, el que guarda la versión actual y la anterior de la contraseña son sólo los Controladores de Dominio, las máquinas cliente no lo hacen, sólo conocen la contraseña actual
Saludos pongo a consideración el siguiente problema, actualmente tengo una red de mas de 290 pc motivo por el cual se decidió, cambiar de la red 192.168.0.0/24 a la red 172.16.0.0/22, tenemos una red con un servidor de dominio con Active directory con windows 2003, actualmente existen maquina que se salen del dominio ya aparecen unidas a otra redes ejemplo: red4 o red2 toman cualquier nombre. me podría ayudar con sus experiencias a identificar el error y las posibles soluciones.
Hola tenux, no hago soporte en el blog, estos comentarios son sobre la nota
Te sugiero pongas la pregunta en algún foro de soporte, como por ejemplo los de Technet en español (https://social.technet.microsoft.com/Forums/es-ES/home)
De todas formas dos sugerencias, primera podrías cambiar la máscara de subred a 255.255.0.0 y solucionas el problema fácilmente porque para la mayoría de las máquinas lo haría el DHCP
Y segundo, cuando preguntes trata de explicar a qué llamas «red4» o «red2» porque no se entiendo a qué redes te refieres :)
Respecto a la pregunta de por qué se salen del Dominio, en esta nota están listados justamente los motivos por los que suele suceder el problema
nada mas para reconfirmar, estas lineas de comandos las hago en mi AD??
NETDOM RESETPWD /s: /UserD: /PasswordD:
Hola Alba
es el nombre del Controlador de Dominio donde se conectará para resolver el problema
/UserD: /PasswordD: son las credenciales de la cuenta de usuario (administrador) que tiene el privilegio necesario
Debes reemplazar lo que está entre «» por tus propios valores
Gracias Guillermo.. lo que describe usted es exactamente lo que me sucede, pero hay algo adicional en esta situacion.. en este tipo de problema tambien hago lo siguiente: elimino el nombre de la maquina en «COMPUTERS», elimino el registro de la maquina en mi DNS del AD y reseteo la clave del usuario, pero al momento que reinicio la pc y pongo la clave, la maquina ya no se agrega al objeto COMPUTERS y tampoco a mi zona DNS, no voy a tener problemas?? esto lo hice para NO hacer el metodo cavernicola y funcionó, ya no me salio el mensaje «»…. relacion de confianza…!! esto recien lo apliqué hoy, pero cuando ingreso al AD veo que ya no aparece el nombre de la computadora y tampoco en mi zona DNS… tendre problemas??
Estas confundiendo dos cosas diferentes :)
Una es la cuenta de máquina, que es la que se sale del Dominio, y otra totalmente independiente como es la de usuario
Ambos tienen cuenta en el Dominio, y contraseña que cambian periódicamente
Cuando la máquina se sale del Dominio, el problema está en la cuenta de máquina, sin ninguna relación con cuentas de usuario
Si borras la cuenta en «Computers» ya no hay forma de solucionar el problema salvo que se vuelva a crear una cuenta de máquina
Lo *único* que hay que hacer es el comando NETDOM …
y entonces porque funciono?? pero gracias x su explicacion… el comando NETDOM lo ejecuto del lado del cliente o del servidor??
Si la cuenta de máquina no aparece en Active Directory, y tampoco se registra en el DNS, entonces eso no funcionó
El comando se ejecuta en el cliente
Pero si ya se ha borrado la cuenta de Active Directory entonces no este no va a funcionar
El NETDOM hay que ejecutarlo con la cuenta original creada, lo que hace es «resetear» la contraseña de la cuenta de máquina, y por lo tanto si no existe a cuenta de máquina en el Dominio, no lo podrá hacer
Hola Guillermo una consulta, puedo utilizar ese comando en una pc Cliente con windows 7 sin perder los archivos en esa pc cliente que no se puede conectar al dominio??
Si, por supuesto David, con Netdom o con PowerShell
No tiene relación con archivos, el que se conecta al Dominio para acceder a archivos es la cuenta de usuario
Guillermo otra consulta, cual seria la forma correcta de unir al dominio una maquina formateada?? porque veo que esto sucede cuando se formatea una pc y se vuelve a poner el mismo nombre, hay que realizar primero algo previo en el AD?? y tengo otra consulta, que significa cuando en la cuenta de la maquina aparece una «flechita hacia abajo»?? y cual es la solucion??
Hola Alba, antes de unir la máquina nuevamente con el mismo nombre hay que «resetear» la cuenta de máquina, en realidad la contraseña de la cuenta de la misma
Con botón derecho sobre la cuenta de máquina aparece la opción
De esta forma se mantiene el SID del Dominio de la cuenta de máquina, importante si tiene asignado algún privilegio
Cuando tiene una «flechita hacia abajo» eso indica que la cuenta está deshabilitada
Estimado Guillermo,
Entiendo que si formatie la maquina y no hice el resetear cuenta se creó otro SID con el mismo nombre de maquina? y si eso fuese así, como corregir ese error? o como eliminar los SID que no son validos o saber cuantos existen por cada objeto con el mismo nombre. Gracias
Hola Marlon, vamos por partes :)
La máquina tiene un SID propio, este se crea durante la instalación
Cuando se une la máquina al Dominio, se crea un SID de la cuenta de la máquina en el Dominio
Para poder unir la «nueva» máquina con el mismo nombre, al Dominio, hay dos posibilidades:
1.- Borraste la cuenta en el Dominio –> se crea un nuevo SID en el Dominio
2.- Hiciste un «Reset Account» –> en ese caso se mantiene el SID en el Dominio
¿Fui claro?
Guillermo,
Disculpa pero mi duda es : si al formatear la maquina y quererla unir nuevamente al dominio no borre la cuenta ni hice el reset account, solo la volví a unir con el mismo nombre.Que sucede en ese caso ?
Hola Marlon, si no haz borrado ni reseteado la cuenta de máquina en el Dominio, lo raro es que te haya dejado unirla nuevamente :)
No puedo afirmarlo 100% pero esto seguro que mantuvo el SID del Dominio porque se dió cuenta por el SID de máquina que fue una reinstalación
Para poder verificarlo habría que poder observar el SID anterior en el Dominio
gracias guillermo, disculpe lo moleste.. pero justamente estoy atravesando inconvenientes y este foro me cae de pelicula.. por favor si molesta que siga preguntando me indica.. tengo otra consulta.. que sucede si estoy poniendo un servidor a un dominio con nombre de maquina nueva y ésta no se registra en el objeto computer??? y vuelvo e intento con diferentes nombres y no se registra en AD.. que tengo que hacer??? disculpe.
¿Tiene configurada para usar como DNS *únicamente* al Controlador de Dominio?
¿Pones el nombre del Dominio en formato NombreDominio.sufijo?
¿Qué error da al tratar de unirla al Dominio?
Si tengo configurada para usar como DNS unicamente mi controlador de dominio.
Si pongo el nombre del dominio correctamente que es hospital.gye,
el error que me da con todo nombre que ponga en el event viewer me muestra
.. «The session setup from the computer HASRV27 failed to authenticate. The
following error occurred: Access is denied.» y esto sucede con todo nombre que le ponga al server…
USER ACTION
If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn’t require any action at this time. If this is a Read-Only Domain Controller and ‘HAGYESRV27$’ is a legitimate machine account for the computer ‘HAGYESRV27’ then ‘HAGYESRV27’ should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller capable of servicing the request (for example a writable domain controller). Otherwise, the following steps may be taken to resolve this problem… etc etc etc..
Ya no se que hacer… solo se me ocurre cambiar de ip al server, amarrarla al dominio con otro usuario que no sea administrador sino Domain Admins o formatear… que me aconseja usted que es el experto..??
En la máquina en cuestión hay que iniciar sesión con administrador local, no hay alternativa, pero cuando pide credenciales para unir al Dominio, hay que poner una cuenta del Dominio que tenga privilegio para unir máquinas al Dominio
Un Administrador de Dominio no tiene límites en la cantidad de máquinas a agregar, en cambio si es un usuario, por omisión, tienen un límite máximo de 10, que sospecho que es lo que está causando el problema
Únela, y cuando pida contraseña pon las credenciales de un Domain Admin
Si con lo anterior no se solucionara, en lugar de usar estos comentarios pon el tema en los foros de Technet por ejemplo, yo también estoy por ahí, y muchos más (https://social.technet.microsoft.com/Forums/es-ES/home)
Buenas tardes, una consulta, cuando aplico la solución en este caso un servidor miembro, me sale lo siguiente:
«No se pudo restablecer la contraseña de cuenta de equipo para el equipo local.
Error de inicio de sesión: el nombre de cuenta destino es incorrecto.
El comando no se pudo completar correctamente.»
A que se debe este problema es un servidor miembro MS Windows server 2008R2.
La solución la apliqué en una PC cliente y no hubo problema…
Hola Pierre, a partir de ese mensaje yo tampoco sé el motivo :)
En la nota hay varios métodos, prueba con alguno de los otros, y si ninguna solucionara el problema quedará solamente la «opción cavernícola» :D
Buenas tardes si lo hago con el NETDOM ¿tendria problemas al hacerlo sobre maquinas que tienen alojadas maquinas en hyperv?
Hola Bryan, no debería haber ningún problema por lo que yo entiendo
Buenos días Guillermo disculpa la molestia, actualmente estoy trabajando en una empresa y soy nuevo en el mundo de los servidores, acabo de reinstalar el windows server en un servidor que tenia el WS en evalution este servidor tenia un Dominio y algunos usuarios registrados lo que pasa es que no realizamos un backup de los usuarios y pensábamos que al instalar el AD con el mismo nombre de dominio no habría problemas y los usuarios ingresarían normalmente con sus cuentas pero por mas que haigamos vuelto a crear esos usuarios con las mismas contraseñas y cuando un usuario intenta logearse le sale este error: «The trust relationship between this workstation and the primary domain failed» y tambien «The security database on the server does not have a computer account for this workstation trust relationship»
he tratado de resolverlo con el comando NETDOM RESET y no funciona, quisiera saber si al RESETEAR LA CUENTA como cavernicola se perdería información de perfiles y configuraciones que tiene cada usuario en su escritorio y pc, la verdad es que no quiero perder información ya que tengo servidores enlazados a ese dominio, por favor alguna idea de solución amigo?
en definición se volvió a reinstalar el WS 2012 y crear el mismo nombre de DOMINIO sin realizar backup de los usuarios y busco una solución para no perder los perfiles de los usuarios que están en el dominio antiguo pero el nombre de dominio es el mismo. espero tu apoyo estimado Guillermo.
Hola Bryan, las noticias son malas, el sistema no trabaja como piensas
Aunque la interfaz gráfica muestre nombres, internamente utiliza SIDs, que son identificadores de seguridad análogos a un número de documento de identidad de una persona
Por lo tanto aunque todo se llame igual, es otro Dominio diferente
La única posibilidad que tienes es que los usuarios copien toda su información fuera de su perfil. Sacar las máquinas a grupo de trabajo, y volverlas a unir al Dominio
Luego con el usuario del nuevo Dominio los usuarios pueden recuperar sus datos, pero aunque se llamen igual son otros, así que si haz dado permisos a los usuarios anteriores, toca hacer el trabajo nuevamente
Gracias Guillermo, quiere decir que si o si tengo que volver a unir al dominio a los usuarios, con eso perderé toda la información cierto de los usuarios? hay alguna manera de clonar o duplicar el SIDs?
¿Quieres tener un documento de identidad falso??? ja ja ja
No, no se puede, por eso puse lo de sacar la información que tengan los usuarios a otra carpeta y que puedan acceder luego para recuperarla
ese comando también funciona cuando me aparece el siguiente mensaje???:
La base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación.
Agradecere tu respuesta amigo.
Hola Luis, todo dependerá si la máquina tiene la cuenta creada en el Domino, o no, revisa eso
Si no existe la cuenta de máquina no lo solucionará
Sr. Guillermo, en mi caso no boraron al usuario como usted lo pone de ejemplo, en mi caso cambiaron la configuracion de Business Network a Home y al reiniciar la computadora ya no aparece el usuario y tampoco la informacion. Aplica hacer esto para recuperar la informacion?
Uso S.O. Windows 7 ultimate
Hola Jesus, no, esto no tiene relación con el tema
Gracias Sr. Guillermo, hay alguna forma de volver a ver la informacion?, la empresa dueña del dominio es una empresa en banca rota y no hay manera de solicitar su ayuda y yo cuento con el password y el dominio y el IP. Me recuperaron informacion pero no se recuperaron todos los archivos y para mi seria mejor volver a entrar y hacer un backup de la info. Saludos!!
Hola Jesus, si el usuario del Dominio ha iniciado sesión anteriormente, hay «cacheada» localmente su contraseña en su perfil, y por lo tanto puedes iniciar sesión con ese usuario y sacar toda la información que tengas
Si diera problema, simplemente desconecta el cable de red para iniciar sesión
Todo lo anterior suponiendo que en el Dominio, no hay cambiado los valores por omisión para que quede localmente copia del perfil
Gracias de Nuevo Sr. Guillermo, soy un usuario afectado pero que conoce muy poco de este tema, si esta usted disponible yo le pagaria para que me ayudara a resolver mi problema y como estamos muy distantes quizas pudiera ser de forma remota. Le dejo mi contacto para que me avise si puede sacarme de mi problema: ………@hotmail.com.
Nota: Yo soy el usuario y he usado el mismo equipo por 3 años y los ultimos 10 meses han sido sin conexion a la red de la empresa que manejaba el dominio.
En estos dias por accidente me hicieron la desconexion desde mi propio equipo del dominio de la empresa y desde ahi es que perdi toda la informacion ya que al reiniciar la computadora el usuario que trabajaba con el dominio borrado ya no me aparece como opcion para iniciar.
Le agradecere mucho si toma mi caso y me puede ayudar y de verdad que garantizo el pago por su servicio.
Saludos!!!
Hola Jesus, si han sacado la máquina del Dominio ya no hay solución. Sólo queda una posibilidad, y es que con usuario local con privilegios de administrador, darte permisos y tomar propiedad del perfil del usuario del Dominio que quedó localmente, y trates de sacar la información, aunque hay alguna que no podrás como por ejemplo si hay certificados digitales
He editado tu mensaje para que no sea visible tu dirección de correo, por sinó el «spam» te tapará :)
Y por otro lado, agradezco el ofrecimiento, pero con el cambio que han hecho al sacar la máquina del Dominio ya no hay mucho que se pueda hacer :(
Buenos días, primero disculparme por mis pobres conocimientos informáticos. El tema es que he trabajado con un ordenador personal para una multinacional en los últimos años, con administracion del dispositivo por su parte, con el paso del tiempo por motivos de seguridad por parte de la empresa me han enviado un nuevo PC de empresa con sus niveles de seguridad actualizados, el antiguo PC me lo he quedado para uso particular.
Así pués lo han sacado del dominio (según me comentan) , pero para entrar en el mismo me pide usuario y contraseña, sobre el dominio en el que estaba, pongo el usuario y contraseña que utilizaba hasta ahora y entro sin problemas. Pero al intentar decargar, instalar o incluso actualizar Windows (Windows 7 profesional) me solicita las credenciales del administrador del dominio en cuestión.
Hay alguna manera para poder, estando fuera del dominio, restaurar Windows sin perdida de datos y que no me solicite las credenciales y poder hacer uso del PC sin problemas o simplementepoder poder hacer uso del mismo al 100%. Muchas gracias!!!
Hola Esteban, si en la empresa te han dado el uso de la máquina, yo supongo que no tendrán problemas si les pides que te den nombre de usuario y contraseña de un usuario local. Sería la opción más sencilla y rápida, ya que no tiene mucho sentido darte una equipamiento y luego limitarte el uso
Si lo anterior no fuera posible, hay otra opción: la siguiente nota del enlace es para Vista, pero creo que funciona exactamente igual en W7
Recuperar la Contraseña en Vista | WindowServer:
https://windowserver.wordpress.com/2011/02/26/recuperar-la-contrasea-en-vista/
Algo a revisar, por omisión, la cuenta original Administrador está deshabilitada, deberías habilitarla además, o simplemente crear otra cuenta que sea administrador local
Buenos días !! Muchas gracias por tu respuesta, pruebo y te cuento. Saudos
Guillermo tengo un Windows server 2000 y de buenas a primeras a algunos usuarios le aparece este mesaje:
“The security database on the server does not have a computer account for this workstation trust relationship”
Ya con algunos usuarios se utilizo el metodo cavernicola, y por otro lado reinicie el servidor de dominio tratando de solucionarlo masivamente, sin embargo he tenido que estar asociando nuevamente uno a uno los usuarios al dominio; mi pregunta es, por que se presento esta situación? o como podría prevenir que suceda nuevamente! De antemano muchas gracias!!
Hola Antonio, en la nota dice cuáles son las causas más comunes que provocan el problema
Pero el mensaje de error que pones da para pensar en otra cosa diferente
¿Se reinstaló o recuperó de copia de seguridad al Controlador de Dominio?
¿Existe la posibilidad que alguien haya borrado las cuentas de máquina en el AD? ¿cuando da ese error haz controlado que la cuenta de máquina exista en AD?
Gracias Guillermo, revisando el registro de eventos encontre que Symantec hizo una restore!! Esto propicio la falla!!
Las máquinas que forman parte de un Dominio, se autentican, muy parecido a un usuario, y cambian la contraseña automáticamente por omisión cada 30 días. Si se recuperó una copia de seguridad se des-sincronizan las contraseñas
hola amigo por lo que yo tengo entendido al perder la relacionde confianza con el AD es claro que ya no dejara firmarse
el metodo que aun seguimos realizando es el siguente
eliminamos la maquina (S/N) del repositorio del AD eso desde la consola de administracion
despues de unos minutos se vuelve a meter al dominio del AD
como podemos dar solucion a este detalle ya que a mi modo de ver es perder tiempo.
Saludos!!!
Hola Marcos, en la nota están detalladas cuáles son las causas más comunes por las que se presenta el problema, así que la mejor solución pasar por solucionar, o reconfigurar de acuerdo a cuál sea la causa. Eso deberías saberlo tú :)
Y además en la nota, están dos formas mucho más sencillas y rápidas para no tener que hacer lo que mencionas, tanto con NETDOM como con PowerShell
hola guillermo tengo un server 2012 r2 con un dc y tres maquinas con wind7 se conectaban con usuarios normales al dominio
de unos dias para aca no deja conectar con esos usuarios normales tan solo con el usuario administrador
ese tema lo he solucionado formateando esas estaciones ..pero logicamente no es una solucion he usado el metodo cavernicola de desconectar las maquinas del dominio y en una ocasion funciono pero sigue el mismo problema solo se conectan al dominio con el usuario administrador.
el comando NETDOM me podria servir para esta situacion?
Hola Diego, no creo que se pueda solucionar con NETDOM porque primero hay que averiguar la causa
Por favor pon la pregunta en algún foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
En estos comentarios oriento cuando puedo, pero son sobre el artículo y no para soporte
Hola Guillermo, tengo un Dominio en un server 2003 con más de 300 equipos conectados al dominio, tuve que restaurar una copia de C y del estado del Sistema porque el NTDS.dit estaba corrupto y no había manera de repararlo, el problema es que no había copias recientes y la única copia disponible es de hace 4 meses. Después de restaurar la copia el servidor funciona correctamente, el AD está correcto, todo funciona perfecto en el servidor, pero los clientes no se pueden loguear en el dominio, en los equipos con Windows 7 el error es el de la relación de confianza y en los que tienen Windows XP el error es que «el controlador de dominio está bloqueado o no disponible» (este error es el mismo error que la relación de confianza pero en Windows XP). Se que esto se soluciona volviendo a meterlos el dominio, ya que me ha pasado siempre que restauro una copia de seguridad del estado del sistema en un servidor y la copia tiene mas de 1 mes de antigüedad (que gracias a tu excelente explicación ahora entiendo porque pasa esto justo cuando la copia tiene mas de 1 mes) pero ¿con alguna de las herramientas que has indicado, o haciendo el «reset acount» a la cuenta del equipo se podria solucionar este problema desde el Servidor sin tener que pasar por los 300 equipos y sin que perdiesen su SID?
Saludos¡¡¡
Hola Antonio, quizás primero te convenga solucionar un tema base: siempre es conveniente tener por lo menos dos Controladores de Dominio por Dominio, de esa forma ante un imprevisto no se produce interrupción de servicio. Si no hay presupuesto para un hardware servidor, se puede tener sobre una PC «bien armada», el sistema se encarga de repartir la carga
Sobre el tema de la pérdida de confianza, ¿¿¿W2003??? :D ya no me acuerdo qué era eso :D
En la nota nombra NLTEST y NETDOM, estos utilitarios en algún momento estaban incluidos en el propio sistema operativo del servidor, y en otros eran parte del «Resource Kit», sinceramente no lo recuerdo ya
Además, su sintaxis variaba de acuerdo a la versión de sistema operativo, pero revisa si los tienes y la sintaxis con (/?). Creo recordar que con NLTEST se podía hacer remotamente
Hola Guillermo tengo una consulta tengo un controlador de dominio windows server 2008, y cuando las contraseñas de los usuarios caducan, les pide que cambien la contraseña, el problema es que en la mayoría de equipos cuando intenta cambiar la contraseñas les da el siguiente mensaje: «la base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación». pero son 1200 usuarios aprox. hay alguna forma de poder arreglar este error sin necesidad de ir equipo por equipo?
Hola Jacky, hay dos posibilidades, una que se haya reinstalado alguna máquina o servidor pensando que poniéndolo el mismo nombre y dirección IP el sistema no se iba a dar cuenta del cambio, lo cual es incorrecto
O la segunda, algunos de los motivos que nombra la nota, y está rota la relación de confianza. Esto lo puedes verificar fácilmente desde PowerShell, ejecutado como administrador con «Test-ComputerSecureChannel»
Y una tercera, que ahora recuerdo, si han clonado las máquinas sin usar SYSPREP
Hola Guillermo tengo una consulta el pc con windows 10 con el que trabajo lo saque del dominio con el metodo arcairco y no tenia activado el usuario administrador local, al reiniciar el equipo solo aparece el nombre del usuario del dominio y el cursor para digitar la contraseña dígito la contraseña y me dice » la contraseña no es correcta. inténtelo de nuevo» he intentado otras contraseas y nada al presionar crtl alt supr no me da opción para escoger otro usuario la pregunta es como ingreso nuevamente ese PC al dominio si no puedo logonearme.
Por más que sacaras la máquina del Dominio siempre está el usuario local creado durante la instalación, debs usar la sintaxis «.\NombreUsuario»
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Guillermo, gracias, encontré la solución :)
Quisiera saber que fue de la vida de BRYAN ALVINO, el que reinstalo windows server sin sacar backup, no quisiera estar en sus zapatos :c
Seguramente aprendió del error, comenzar todo desde cero, y migrar la información que pueda
Hola Mi nombre es Daniel, mis feliitaciones por el excelente trabajo que realizan.
Tengo una consulta actualmente tuvimos u problema de electricidad con nuestros storages y estropearon algunas maquinas virtuales incluyendo la de active directory. Restauramos un VM a la fecha del 06/06/2016 completa y no queremos que el personal de soporte tecnico vaya uno por uno a los puestos a ingresar al dominio esos equipos. y que todo siga marchando con normalidad a excepcion de los nuevos usuarios que se tienen que agregar.
Hola Daniel, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Felicitaciones! Muy buena nota. Solo le cambiaría el título, ya que por lo que veo, es de server a server. Me gustaría saber como hacer esto mismo desde una workstation y sin utilizar RSAT. Se podrá de alguna forma? Saludos!
Hola Maximiliando ¡me alegro te sirva la nota! pero no es sólo server a server :)
Por supuesto que los Controladores de Dominio deben ser servidores, pero la máquina que ha roto la relación de confianza puede ser servidor o cliente, yo lo hago con servidores sólo porque es lo que tengo más a mano :)
Buenos dias, tengo una red de aproximadamente 100 pcs, y se me esta presentando el problema que estas se estan «cambiando de red», explico:
si colocas el cursor o puntero en la imagen que aparece en la parte derecha de abajo (una pc), normalmente aparece el nombre de la red XXXXXX.local, actualmente la mayoria aparece red1, red2, red3, hasta ahora llegando hasta la red6, y no reconoce los demas dispositivos de la red, tales como impresoras, anteriormente las baja de dominio y los volvia a subir y problema resuelto, actualmente al tratarla de subir me aparece una caja de texto que dice que no reconoce el dhcp, y que el dominio no es valido,
Que solucion podria darme al respecto.
Hola Julián, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Para que puedan ayudarte, además de los síntomas, proporciona datos, por ejemplo cómo se asigna la configuración IP y quién es el DHCP. Recuerda que todas las máquinas deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS
Hola buenas noches Sr. Guillermo, soy nuevo en el tema de administrar controladores de dominio, tengo una duda, si saco la maquina del controlador de dominio, el usuario que se habia creado en mi maquina de trabajo, y si uno nuevamente la maquina al dominio, pierdo el perfil que o al unir la maquina nuevamente, me carga el perfil de controlador de dominio sin problemas?
Hola James, hay conceptos fundamentales de ambiente de Dominio que hace difícil comprender la pregunta, porque «no se saca una máquina del controlador de dominio», en todo caso se saca del Dominio, y son cosas diferentes «Dominio» y «Controlador de Dominio». Un concepto que debes tener muy claro es que una cosa son los usuarios locales, y otro los usuarios del Dominio. Son diferentes aunque se llamen igual, y en ese caso son perfiles diferentes
Si me permites, te recomiendo leas y comprendas los conceptos básicos ya que te facilitarán mucho la administración
Algo muy muy reducido, pero que puede ayudarte lo puedes encontrar en:
Comprender Active Directory | WindowServer:
https://windowserver.wordpress.com/2011/05/05/comprender-active-directory/
Y en referencia a la pregunta:
Copiar Perfil de Usuario Local a Usuario de Dominio | WindowServer:
https://windowserver.wordpress.com/2016/01/26/copiar-perfil-de-usuario-local-a-usuario-de-dominio/
Hola como estas? Si pierde la relacion de confianza un windows 7 en vez del SRV1 de tu ejemplo, se hace el netdom en el w7? Y los datos de userD se usa el mismo administrador de dominio o el usuario que se logueaba en ese w7? Gracias!
Hola Pablo, no recuerdo si en W7 está NETDOM, pero siempre se puede hacer por PowerShell
hola Guillermo,
consulta y como es el codigo en PowerShell?
El comando está en la nota :) justo arriba del «[Agregado]»
Es “Test-ComputerSecureChannel -Repair”
Hola excelente información gracias por compartir quisiera saber si esto es aplicable a la situación que tengo en el momento tengo un servidor con windows server 2012 R2 y uno de los equipos del dominio tuvo un problema con el disco duro por lo cual el disco tuvo que cambiarse trate de ingresar el equipo nuevamente en el dominio con la nueva ip pero me surge la duda debo borrar el usuario que estaba asociado a ese equipo en windows server y crearlo de nuevo desde cero o solo cambiándole la ip podría ingresar normal con las políticas que tenia antes porque intente solo modificando el usuario cambiando la ip de antes por la nueva pero el equipo no entra en el dominio ni nada
Te agradecería mucho tu ayuda muchas gracias
La asociación de una máquina con un Dominio está basada en SID y en cierta forma por el nombre, y no por su dirección IP ni por el nombre del usuario que la unió
Si se ha reinstalado la máquina hay que volver a unirla al Dominio, y si mantienen el mismo nombre de máquina entonces hay que primero borrar la cuenta de máquina en el Dominio, o con botón derecho sobre la misma ejecutar un «Reset Account»
Help: Necesito cambiar mediante gpo la contraseña del usuario Administrador local de todos mis equipos en mi Dominio.
Hola Gustavo, no, no ayudo justo para eso, debes buscar tú mismo
En Google «administradores locales site:windowserver.wordpress.com»
O directamente https://www.google.com.ar/search?dcr=0&ei=EECYWqeqEI3a5gLjq5TACQ&q=cambiar+contrase%C3%B1a+de+administrador+local+por+gpo&oq=administradores+locales+site%3Awindowserver.wordpress.com&gs_l=psy-ab.1.0.0i71k1l2.0.0.0.42836.0.0.0.0.0.0.0.0..0.0….0…1c..64.psy-ab..0.0.0….0.jYBDd9wfMrE
Hola buenos días. Siempre en lindo repasar artículos como estos publicados. Si uno esta entro de ambientes muy segur izados. Que chequeo se podrían realizar para adelantarnos a que la maquina cliente no pueda informar de su nueva Clave? Y otra mas. En la cuenta de una maquina, el valor PwdLastSet, correspondería a la fecha que una maquina registro su clave y a partir de ese momento dispone de 30 días mas para informar la nueva? Gracias
Hola Jorge, primero que nada cuidado con el tema de la frecuencia de cambio de contraseña de máquina; en algún momento fue de 60 días, en otro fue 14 y últimamente si no me he enterado quedó en 30 días
Entiendo que no se puede hacer nada por adelantado, la única posibilidad que veo sería filtrar los eventos de seguridad por el evento «no pude cambiar la contraseña» pero te dejo que investigues cuál es el número. Si buscas en la web están los documentos con IDs de seguridad, pero cambian de acuerdo a la versión del sistema operativo, no en todos se mantiene
Además y para complicarte aún más :D creo que fue a partir de W2008 o W2012 que la documentación decía que el DC guarda las dos últimas contraseñas de las cuentas de máquina, para evitar problemas si se recuperaba un estado anterior
buenas tardes amigo. muy buena pagina.. te felilcito.. tengo una problema. una pc de recursos humanos (bajo dominio)…tiene ese problema que se describe aca. como entro en la cuenta como usuario local..? el usuario es maria y el nombre del equipo es RRHH
Yo intento entrando para hacer el procedimiento aqui descrito dandole : otro usuario: RRHH\maria y su respectiva contraseña y nada que entro..estoy haciendo algo mal?
porfavor y gracias
tambien serviria esto? En el Servidor. Ir a Usuarios y Equipos de Active Directory, rama Computers.
Busca el equipo que no entra, y con el botón derecho, “restablecer la cuenta”. Reinicias el PC y pruebas..
Uní ambas preguntas en una
Si no está creado el usuario local María entonces no hay forma de iniciar sesión localmente
Debes iniciar sesión con un usuario que exista localmente en la máquina, por ejemplo la cuenta de administrador
Buenas! Consulta, si tengo un controlador de dominio en Samba, y los equipos de la red con Windows, a que se debe que todos los win7 al ingresar al dominio sale el famoso «relacion de confianza entre la estacion de trabajo y el dominio » esto no nos pasa con los equipos que tenemos Windows XP
Hola Matías, no lo sé, hay muchas causas posibles. Debería recurrir a un foro de soporte, estos son comentarios sobre la nota y ayudo sólo cuando puedo orientar. Cuando se rompe la relación de confianza que nombras es porque no están sincronizadas las contraseñas de la cuenta de máquina que permiten la autenticación
hola Guillermo, muy bueno tu foro tengo una pregunta en mi caso a pasado que la maquina de un usuario se daña el disco duro por lo que no se pudo sacar del dominio como se hace para meterla al dominio y conservar el SID o en estos casos si hay que eliminar la maquina del ou computer y meterla al dominio??
tambien esta el caso que la meten al dominio y le ponen otro nombre pero es necesario dejar el mismo que tenia desde ya muchas gracias
Hola Baruc, esto no es un foro, son comentarios sobre la nota, y respondo si puedo orientar
Para conservar el SID de la máquina no hay que borrar la cuenta en Dominio, simplemente con botón derecho hacerle un «Reset Account», y luego reinstalarla con el mismo nombre
listo, entendido muchas gracias
Hola, el comando en windows 10 no funciona porque netdom no existe….. como lo podria resolver?? he visto por ahi que con powershell… pero no estoy muy seguro
En la misma nota está explicado, también se puede con PowerShell
ok, perdona! no lo habia visto…. ;)
Mil gracias
No hay problema Rufi :)