www.it-connect.fr
Windows : ¿cómo solucionar el error de relación de aprobación? ¡Aquí está cómo!
Table of Contents
I. Introducción
Para los administradores de estaciones de trabajo Windows con máquinas integradas en un dominio de Active Directory, el mensaje de error "La relación de aprobación entre esta estación de trabajo y el dominio principal ha fallado" es un clásico. Es el tipo de error que todos cometemos al menos una vez, ¡aunque nos gustaría prescindir de él! Hay varias formas de salir de este lío... En particular, manualmente a través de la interfaz gráfica, pero también en la línea de comandos.
En este tutorial, voy a responder a una pregunta sencilla: ¿cómo corrijo el error "Ha fallado la relación de confianza entre esta estación de trabajo y el dominio primario"? En una máquina inglesa, el mensaje de error correspondiente es: " Falló la relación de confianza entre esta estación de trabajo y el dominio primario".
II. El principio de las contraseñas "informáticas
Cuando una máquina Windows se integra en un dominio de Active Directory, se crea en el directorio un objeto perteneciente a la clase"ordenador". Este objeto es una cuenta de equipo para la máquina en cuestión. Además del nombre, se asocia una contraseña a esta cuenta: esta contraseña es conocida tanto por la máquina Windows como por el Directorio Activo. Por defecto, esta contraseña es válida durante 30 días. Transcurridos 30 días, se renueva automáticamente, sin ninguna acción por su parte.
Modificando una directiva de grupo de su entorno, por ejemplo, la GPO nativa "Default Domain Policy", puede encontrar el ajuste "Domain member: maximum password age for computer account", que muestra que el valor por defecto es de 30 días.
Cuando se produce este mensaje de error, es como si la confianza entre las dos partes hubiera desaparecido de repente. En muchos casos, esto se debe a que la contraseña del ordenador local (la máquina Windows integrada en el AD) no coincide con la contraseña almacenada en el Directorio Activo. En otras palabras, la renovación de la contraseña no ha ido como estaba previsto...
La renovación de la contraseña es iniciada por la máquina Windows, utilizando el servicio Netlogon. Esto se hace al arrancar o al autenticarse en el controlador de dominio. La contraseña se almacena en el Registro de Windows en "HKLM\SECURITY\Policy\Secrets" en el Registro de Windows. El Directorio Activo también almacena este nuevo secreto. En la gran mayoría de los casos, este proceso se realiza correctamente: afortunadamente, de lo contrario cada 30 días sería un infierno.
A veces, esta operación falla y se produce el error "La relación de aprobación entre esta estación de trabajo y el dominio principal ha fallado ". A veces, en la misma máquina, este error se repite con bastante regularidad. Creo que pueden ocurrir varios errores, varios casos diferentes, para llegar a este mensaje. Por ejemplo, si la contraseña se actualiza en el Directorio Activo pero no en la base de datos local, se llega a un secreto diferente. Esto también puede ocurrir si el objeto correspondiente a este ordenador se elimina del Directorio Activo.
Eso es todo, ahora vamos a tomar un vistazo a algunos métodos basados en PowerShell para corregir este error. En caso de que un método no funcione, puede probar con otro.
III. Solución de problemas - "La relación de aprobación entre esta estación de trabajo y el dominio principal ha fallado"
A. El método manual
El método manual es familiar para muchos administradores de sistemas. Funciona, pero no es práctico, ya que requiere desconectar la máquina de la red. Consiste en realizar las siguientes acciones, teniendo en cuenta que el objetivo es sacar la máquina del dominio y reintegrarla:
1 - Desconectar el ordenador de la red
2 - Inicie sesión como administrador local
3 - Eliminar el ordenador del dominio
Remove-Computer -UnjoinDomaincredential IT-ConnectAdmin -PassThru -Verbose -Restart
4 - Restablecer objeto ordenador en Active Directory
5 - Reiniciar el ordenador
6 - Vuelva a conectar el cable de red
7 - Añadir el ordenador al dominio
Add-Computer -DomainName it-connect.local -Restart
La principal desventaja de este método es que requiere una presencia física, ya que la máquina debe estar desconectada de la red. Para eliminar la máquina del dominio y añadirla de nuevo, puede utilizar la GUI de Windows o los comandos de PowerShell"Eliminar-ordenador" y"Añadir-ordenador".
B. El método PowerShell: Test-ComputerSecureChannel
Desde hace varios años, es posible corregir este error con PowerShell. Esto es una gran noticia, porque significa que puedes hacerlo de forma remota, lo que es mucho más conveniente. El comando Test-ComputerSecureChannel existe desde Windows 10, y sigue estando disponible en Windows 11. Personalmente, recomiendo este método.
En una máquina donde la relación de aprobación está rota, simplemente inicie sesión y ejecute este comando en una consola PowerShell:
Test-ComputerSecureChannel
También es posible apuntar a un controlador de dominio específico, como con los comandos del módulo Active Directory. Por ejemplo:
Test-ComputerSecureChannel -Server "SRV-ADDS.it-connect.local"
Este comando simplemente devuelve "true" o "false" para indicar el estado de la relación de aprobación entre el ordenador y el directorio (con el parámetro -Verbose ). En caso de error en la relación de aprobación, el comando devolverá "false". Por lo tanto, tendrá que añadir el parámetro -Repair, que repara la relación de aprobación y los identificadores.
Test-ComputerSecureChannel -Repair -Credential florian@it-connect.local
También podemos hacer :
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
La cuenta de usuario puede ser una cuenta de Administrador, o simplemente una cuenta con derecho a añadir máquinas al dominio de Active Directory.
Como esto es PowerShell, también puedes actuar remotamente sobre una o más máquinas con Invoke-Command. He aquí un ejemplo:
Invocar-Comando -ComputerName PC-01 -ScriptBlock { Test-ComputerSecureChannel }
Nota: tanto si se utiliza este método como el siguiente, si el objeto ordenador no existe en Active Directory, es mejor crearlo primero. Utilizando la consola"Usuarios y equipos de Active Directory" (u otro método), haga clic con el botón derecho del ratón en"Nuevo" y luego en "Equipo". Asígnele el mismo nombre.
C. El método PowerShell bis: Reset-ComputerMachinePassword
Cuando se produce el error, hay un segundo comando de PowerShell que puede ayudarte: Reset-ComputerMachinePassword, disponible con Windows PowerShell 5.1. Este comando restablece la contraseña de la cuenta de equipo de la máquina local.
De nuevo, este comando se ejecuta desde el ordenador donde se encuentra el error.
A continuación se explica cómo utilizar este comando:
Reset-ComputerMachinePassword -Credential florian@it-connect.local
También puede especificar el nombre del controlador de dominio de destino:
Reset-ComputerMachinePassword -Credential florian@it-connect.local -Server "SRV-ADDS.it-connect.local"
La operación será automática, por lo que no dependerá de usted establecer la contraseña. Este método también le permite corregir el error de aprobación.
D. El método netdom
Netdom existe desde hace mucho tiempo en Windows, incluso antes de que apareciera PowerShell. También se puede utilizar para restablecer las contraseñas de cuentas de equipo desde la línea de comandos.
He aquí un ejemplo en el que me pongo en contacto con el controlador de dominio "SRV-ADDS", utilizando la cuenta "florian" y sin especificar la contraseña en texto claro (de ahí el "*").
netdom resetpwd /s:SRV-ADDS /ud:florian /pd:*
IV. Conclusión
¡Ahora hemos venido a ver diferentes formas de corregir el error "La relación de aprobación entre esta estación de trabajo y el dominio principal ha fallado" en tus máquinas Windows! Con PowerShell para máquinas recientes, y con netdom (o el método manual) para máquinas con sistemas más antiguos, ¡porque todos sabemos que todavía hay algunas en circulación!
Si conoce otro método, ¡háganoslo saber con un comentario! 🙂
