The trust relationship between this workstation and the primary domain failed

The trust relationship between this workstation and the primary domain failed เครื่องหลุดโดเมน ปัญหาสุดคลาสสิคจดเป็นคำพูดติดปาก อยู่ดี ๆ มันเป็นอย่างนี้ได้อย่างไร อันที่จริงสาเหตุนี้เกิดขึ้นได้จากหลายปัจจัย แต่ผลกระทบนั้นส่วนตัวผมเองคาดว่าเกิดขึ้นเพียงอย่างเดียว ไม่ว่าเหตุผลนั้นจะมาจากอะไรก็เถอะ ซึ่งสุดท้ายผลลัพธ์มันก็คือทำให้เครื่อง Client นั้นไม่สามารถ Logon เข้าระบบโดยบัญชีผู้ใช้งานใน Active Directory ได้

เคยทราบไหมครับว่านอกจาก User Account บน Active Directory ที่จะต้องมี Password ประจำตัวแล้ว ยังมี Computer Account Object อีกที่ก็มี Password เหมือนกัน แต่เราไม่ได้สนใจมันเลยใช่ไหม เพราะปกติเรา Logon ด้วย User Account ไม่ได้ Logon ด้วย Computer Account กันซักหน่อย แต่รู้หรือไม่ว่า กระบวนการของ Computer Account นั้นก็จะมี Password ในการยืนยันตัวตนของมันเหมือนกัน โดยที่จะมีรอบการเปลี่ยน Password อัตโนมัติอยู่แล้วทุกเดือนเพื่อความปลอดภัยของตัวระบบ แต่เรามักไม่ได้ไปยุ่งเกี่ยวกับมันเลย จึงทำให้มันถูกลืม พอลืมมันนานเข้า มันก็ประชดจนหลุดโดเมนไปซะนี่ เอ้ย ไม่ใช่ละ

อันที่จริงคือ นอกจากปัจจัยอะไรอื่น ๆ เช่น การปิดเครื่องคอมพิวเตอร์ทิ้งไว้เป็นเวลานาน, มีปัญหาด้านการเชื่อมต่อ หรือ Protocol อะไรทั้งหลายแหล่จนเป็นสาเหตุให้ Computer Client ของเราเนี่ย ไม่สามารถ Update Password ของ Computer Account กลับขึ้นไปบน Active Directory ได้ เมื่อ Computer Account ไม่สามารถยืนยันตัวตนได้ เหมือน User Account ที่ใส่รหัสผ่านผิด มันก็จึงทำให้เราไม่สามารถ Logon Domain ได้ แม้เราจะพิมพ์รหัสผ่านของ User Account ถูกต้องแล้วก็ตาม แต่การยืนยันตัวตนของ Computer Account นั้นยังไม่ถูกต้อง

วิธีแก้ไขที่ได้ยินกันบ่อยนั่นก็คือ การ Disjoin Domain ก่อน แล้วทำการ Rejoin Domain ใหม่อีกครั้ง ซึ่งก็อาจจะช่วยแก้ไขปัญหาได้ แต่ผมก็หวั่น ๆ กับมันว่ามันไปเปลี่ยนอะไรบน Active Directory บ้าง ซึ่งบางครั้งเราจะไม่สามารถ Join Domain กลับเข้าไปใหม่ได้เพราะมี Computer Object ของเก่าที่มีชื่อเดียวกันค้างอยู่ในระบบ บางทีก็แก้ปัญหาโดยการไปลบ Computer Object นั้นออก แล้วจึง Rejoin กลับเข้าไปใหม่ ซึ่งมันก็ทำให้รหัสประจำตัวของ Computer Object เปลี่ยนไปอีก ส่งผลต่อ Security อื่น ๆ ที่เราได้กำหนดไว้ ถ้าเป็นองค์กรเล็ก ๆ ไม่ซับซ้อนก็คงจะทำเช่นนี้ได้ แต่ถ้าเป็นองค์กรใหญ่ ๆ ที่ซ่อนเงื่อนล่ะก็อาจถึงกับแน่นอก

จากปัญหาที่ว่าไปคือ Computer Account นั้นไม่มีการ Update Password กลับขึ้นไปบน Active Directory ทำให้ไม่สามารถ Logon Domain ได้นั้น เราก็ต้องจัดการ Update Password ให้กับ Computer Account นั้นใหม่ ซึ่งวิธีการทำมีดังนี้

เมื่อ Logon ไม่ได้ จะพบกับข้อความว่า The trust relationship between this workstation and the primary domain failed

ให้สลับมา Logon ด้วย Local Administrator โดยใส่ .\Administrator ถ้าหากไม่ได้ใช้ชื่อ Administrator ก็เปลี่ยนเป็น Username อื่นที่มีสิทธิ์เป็น Admin ของเครื่องเอาเอง

จากนั้นคลิก Run as administrator ที่ Command Prompt แล้วพิมพ์ภาษาเทพลงไป

netdom.exe resetpwd /s:dc-1 /ud:domain\administrator /pd:*

/s: คือ ชื่อเครื่อง Domain Controller
/ud: คือ ชื่อผู้ใช้งานในระบบ Active Directory ที่มีสิทธิ์ในการเปลี่ยนรหัสผ่านใด ๆ  ซึ่งโดยส่วนมากก็คือเหล่า Admin Domain นั่นแหล่ะ
/pd: คือ รหัสผ่านใหม่ของ Computer Account โดยจะกำหนดอะไรก็ได้ลงไป เดี๋ยวหลังจากนี้มันก็จะเข้าสู่กระบวนการ Update Password ของมันเองภายหลัง

เมื่อกด Enter มันก็จะบอกให้เราพิมพ์ Password ของ /ud ซึ่งถ้าเราใช้ administrator เราก็พิมพ์รหัสผ่านของ User Account นี้ลงไป โดยขณะพิมพ์นั้น Cursor จะไม่ขยับและจะไม่มีอะไรขึ้นมาบนหน้าจอ พิมพ์ให้ถูกแล้วกด Enter อีกที

เสร็จแล้วก็ Restart 1 รอบ, ลอง Logon Domain กันได้เลย