概述

如果您试图还原虚拟机或物理机 该工作站和主域之间的信任关系失败，或者 服务器上的安全数据库没有此工作站信任关系的计算机帐户，我不建议使用重新加域来解决问题，因为它在分离和重新加域之后可能会发生其他意外的问题。今天我将记录如何在不退域和重新加域的情况下修复它。

修复过程

1. 取消虚拟机网络连接或拔掉物理机以太网电缆。
2. 用域管理员凭证或本地管理员登录计算机。
3. 重新连接虚拟机网络或插入以太网电缆。
4. 打开 PowerShell 并以管理员身份运行。

• 在用户访问控制页面上单击"是"。

• 按以下方式运行 PowerShell , 然后输入域管理员用户密码,单击"确定"。

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

除此之外还可以使用

Test-ComputerSecureChannel -Repair -Credential woshub\administrator -Verbose

检查信任是否已成功恢复。

Test-ComputerSecureChannel

以确保它返回：True. The Secure channel between the local computer and the domain nnkin.com is in good condition.

退出本地用户并尝试使用域用户再次登录。

为什么出现这种情况？

当计算机加入Active Directory域时，会为其创建一个单独的计算机帐户。域中的每台计算机都有自己的密码，用于对域进行身份验证并与域控制器建立可信连接。默认情况下，此密码每 30 天自动更改一次，并存储在计算机本地（在注册表项下HKLM\SECURITY\Policy\Secrets\$machine.ACC）和AD中。如果计算机发送到域控制器的密码哈希与AD中计算机的帐户密码不匹配，则它将无法与DC建立安全连接，并将返回信任关系错误。

导致信任关系失败错误的最常见原因：

1. 计算机已从AD 中更改计算机密码之前创建的旧还原点或快照（如果是虚拟机）还原。这意味着快照中的计算机密码与 AD 计算机对象密码不同。
2. 计算机已在未使用 Sysprep 工具的情况下克隆。
3. 已在AD中创建了同名的新计算机对象，或者有人重置了域中的计算机帐户。
4. 域中的计算机帐户已被管理员禁用。
5. 计算机上的本地系统时间不正确或Windows时间同步失败。