The trust relationship between this domain and the primary domain failed

"The trust relationship between this domain and the primary domain failed"

"Bu iş istasyonu ile birinci etki alanı arasındaki güven ilişkisi başarısız"



 

---

HIZLI ÇÖZÜM:

Downloads Script link: http://siberblog.org/wp-content/uploads/2012/12/netdom_trust_script.rar

Scriptin kullanımı (Youtube Video):
YouTube

---

 

Bu problemle ilgili 3 adet yazımız bulunmaktadır.

1- Problemin kaynağı ve çözüm yöntemleri: (Bu yazı)

2- DC üzerinde problemli makinelerin tespiti: http://siberblog.org/index.php/active-directory-analysis-the-trust-relationship-between-this-domain-and-the-primary-domain-failed/ yazımızı inceleyin.

3- Computer Accountlar için Password değişim politikasının iptali için: http://siberblog.org/index.php/active-directory-machine-account-password-changes-policy/ yazımızı inceleyin.

Problemin kaynağı ve çözüm yöntemleri:


Kullanıcı hesapları gibi pc'lerin de hesaplarının da şifreleri ve bu şifrelerinde zaman aşımı vardır. Problemimiz etki alanında (active directory) makine hesabına ait kayıtlı şifre ile pc&sunucu'da kayıtlı şifrenin eşleşmemesidir.

Etki alanınız (active directory) üzerinden bu problemle karşı karşıya olan  pc&sunucuların tespiti ve daha ayrıntılı bilgi için http://siberblog.org/index.php/active-directory-analysis-the-trust-relationship-between-this-domain-and-the-primary-domain-failed/ yazımızı okuyabilirsiniz.

[adsenseyu2]

Oturum açmak için:

- Lokal kullanıcılar ile oturum açılabilir.

- Etki alanı kullanıcıları ile oturum açmak için ağ kablosu çıkarılır veya farklı bir şekilde pc&sunucunun etki alanına erişimi engellenir ve etki alanı kullanıcısı ile oturum açılır. Yalnız oturum açacak etki alanı kullanıcının burada daha önce logon olan son 10 kullanıcıdan biri olması gerekmektedir. Çünkü herhangi bir politika değişikliği yapılmamış ise logon olan etki alanı kullanıcılarına (son 10 tanesine) ait şifreler registerda saklanır. (Bu işlem her logon esnasında tekrarlanmalıdır.)

 

Problem neden kaynaklanmaktadır?

Varsayılan olarak etki alanı üyesi her pc&sunucu şifresi netlogon servisi tarafından 30 günde bir otomatik olarak değiştirilir.



1.Durum: Birden fazla DC'niz var ise ve bunlar arasında replikasyon sorunları var ise olabilir.

2.Durum: Etki alanı (active directory) 'de yaşanan bir problem sebebiyle yedekten dönme işlemi yapılmış olabilir.

3.Durum: Pc&sunucunuz'da yaşanan bir problem sebebiyle yedekten dönme işlemi yapılmış olabilir.

3.Durum: Her iki durumda da yedekten dönme zamanı, şifre değişim zamanına denk gelmiş olan makine hesapları problemden etkilenecektir.

4.Durum: DC üzeriden veya RSAT üzerinden makine hesabı resetlenmiş olabilir.



 

Çözüm şifrenin hem etki alanında (computer account) hemde pc&sunucu tarafında güncellenmesidir. 

Çözüm1: Benim son çare olarak önerdiğim bu yöntem birçok sitede önerilen yöntemdir. Bu çözüm yönteminde problem ile karşılaşılan pc&sunucu lokal admin kullanıcı ile domainden çıkarılır, pc&sunucu baştan başlatılır ve tekrar domaine alınır.

Bu çözüm etki alanını yedekten dönülmüş ve sorunlu pc&sunucu yedek alma tarihinden  sonra domaine dahil edilmiş ise bu mecburi yapılması gereken bir işlemdir.

Not: Bu işlem sonrası kullanıcının profilinin zarar görme ve yeniden etki alanına dahil olma esnasında, farklı bir kullanıcı profili oluşturma ihtimali göz önünde bulundurulmalıdır. Domainden çıkarılan pc&sunucunun adı (hostname) değiştirilmemelidir. Değiştirilir ise kullanıcı profili büyük ihtimal ile değişecektir. Pc&sunucu adı değişmeden tekrar alınır ise vista sonrası işletim sistemlerinde genellikle önceki profil zarar görmeden kullanılabilmektedir.

 

Çözüm2: Şifre değişim için "netdom.exe" uygulamasını kullanacağız Yalnız sunucu ve pc'lerde durum farklıdır.

a) Sunucularda oturum açılan yerde aşağıdaki komut çalıştırılır.

netdom.exe resetpwd /s:[etkialani] /ud:[user] /pd:[password]

[etkialan] = Etki alanı (active directory) adınız veya IP adresi Ör: "Test.com" veya "192.168.100.1"

[user] = Etki alanı (active directory) yetkili bir kullanıcı. Ör: "sisyon" veya "Administrator"

[password] = Kullanıcıya ait şifre. Ör: "Aa12345" veya "*"

NOT1: [password] alanına "*" yazarak şifrenizi güvenli (görünmez) şekilde girebilirsiniz.

NOT2: "/ud:[user] /pd:[password]" alanı yazılmaz ise aktif kullanıcı bilgileri ile işlem yapılır.



NOT: "The command completed successfully." 'den önceki satırda "Access Denied..." veya "Erişim engellendi..." mesajı ile karşılaşırsanız kullanıcınızın yetkisini kontrol etmelisiniz. Yetki işlemi için http://siberblog.org/index.php/active-directory-delegate-control-password-reset-permission/ inceleyebilirsiniz.  

Referans: http://mnuzuner.blogspot.com/2012/09/the-trust-relationship-between-this.html

b) Pc'lerde "netdom.exe" varsayılan olarak yoktur, sadece sunucularda ve RSAT yüklü pc'lerde vardır. Şifre değişimi için gerekli olan "netdom.exe" komut dosyasını buradan (netdom_trust_script) indirebilirsiniz. İndirdiğiniz rar dosya paketini uygun bir yere açın,  "Cmd.exe" 'yi çalıştırın,  "netdom.exe" 'nin bulunduğu klasörde gidin ve Çözüm2'yi uygulayın.



NOT: "The command completed successfully." 'den önceki satırda "Access Denied..." veya "Erişim engellendi..." mesajı ile karşılaşırsanız kullanıcınızın yetkisini kontrol etmelisiniz. Yetki işlemi için http://siberblog.org/index.php/active-directory-delegate-control-password-reset-permission/ inceleyebilirsiniz.

 

Çözüm3: Script kullanarak çözüm.

Gerekli script ve "netdom.exe" 'yi buradan (netdom_trust_script) indirin. Rar dosya paketinde bulunan dosyaları uygun bir yere çıkarın.

Adım 1: Problemli sunucu ve pc'de sayfa başında "Oturum açmak için:" başlığında anlatıldığı gibi oturum açın.

Adım 2: Etki alanı (active directory) sunucusuna ulaştığınıza emin olun.



Adım 3: "trust.bat" dosyasını yetki kullanıcı olarak çalıştırın ve ekrandaki uyarılara göz atın.



Adım 4:

- Etki alanı (active directory) adınız veya IP adresini girin ve entera basın. Ör: "Test.com" veya "192.168.100.1"

- Etki alanı (active directory) yetkili bir kullanıcı adı girin ve entera basın. Ör: "sisyon" veya "Administrator"

- Etki alanına (active directory) ait yetkili kullanıcı adını girin ve entera basın. Ör: "sisyon"

- Kullanıcıya ait şifre girin ve entera basın. Ör: "Aa12345"

NOT : Şifrenin görülmeden girilmesini istiyorsanız rar paketteki "Trust2.bat" scriptini kullanabilirsiniz.

Ekranda "The command completed successfully." yazısını gördükten sonra herhangi bir tuşa basarak scripti sonlandırabiliriz.

NOT1: "The command completed successfully." 'den önceki satırda "Access Denied..." veya "Erişim engellendi..." mesajı ile karşılaşırsanız kullanıcınızın yetkisini kontrol etmelisiniz. Yetki işlemi için http://siberblog.org/index.php/active-directory-delegate-control-password-reset-permission/ inceleyebilirsiniz.

NOT2: Bu işlemler 64 bit Windows 7 pc ile yapılmıştır. Diğer windows versiyonlarında farklılık gösterebilir.

[adsenseyu2]

"TrustVista.bat" script içeriği:

***************************************************************

@echo off
color 2
title The trust relationship between this domain and the primary domain failed

Echo Bu script
Echo "The trust relationship between this domain and the primary domain failed"
Echo "Bu is istasyonu ile birinci etki alani arasindaki guven iliskisi basarisiz"
Echo hatasini gidermek icin yazilmistir.
Echo.
Echo.
Echo Referans1: http://siberblog.org/index.php/the-trust-relationship-between-this-domain-and-the-primary-domain-failed/
Echo Referans2: http://siberblog.org/index.php/active-directory-analysis-the-trust-relationship-between-this-domain-and-the-primary-domain-failed/
Echo.

Echo.
Echo GEREKLI HATIRLATMALAR
Echo 1. Script yonetici hesabi ile calistirilmali
Echo 2. Kullanilan Domain kullanicisi gerekli yetkiye ("Domain Computers" ) sahip olmali
Echo 3. Scriptin calistirilacagi pc veya sunucunun etki alanina erisebilir olmasi
Echo.

set choice=""
set domain=""
set user=""
set pass=""

:Tekrar1
set /p choice=Domain name (Test.com) :
if %choice%=="" ( echo Bos gecilemez.
goto Tekrar1 )
set domain=%choice%
set choice=""

:Tekrar2
set /p choice=Username name (sisyon) :
if %choice%=="" ( echo Bos gecilemez.
goto Tekrar2 )
set user=%choice%
set choice=""

:Tekrar3
set /p choice=Password (Aa12345) :
if %choice%=="" ( echo Bos gecilemez.
goto Tekrar3 )
set pass=%choice%
set choice=""

Echo.

netdom.exe resetpwd /s:%domain% /ud:%user% /pd:%pass%

Echo.

pause

***************************************************************

Downloads

Script link: http://siberblog.org/wp-content/uploads/2012/12/netdom_trust_script.rar

NOT: Rar paket içinde Windows XP, 2003, Vista ve 7 için "netdom.exe" bulunmaktadır. Sadece scripti lokal admin yetkisi ile çalıştırmanız yeterlidir.

 

Netdom.exe:

Windows XP: http://www.microsoft.com/en-us/download/details.aspx?id=18546 veya http://ftp.utc.edu/ftp/pub/windows/patches/winxp/windowsxp-kb838079-supporttools-enu.exe

Windows Server 2003 CD-ROM'undaki Support\Tools klasöründe yer alır. Bu araçları yüklemek için Support\Tools klasöründeki Suptools.msi dosyasını sağ tıklatın ve sonra Yükle ' yi tıklatın.

Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1): http://www.microsoft.com/en-us/download/details.aspx?id=7887

[adsenseyu2]

Referans:

http://support.microsoft.com/kb/325850

http://support.microsoft.com/default.aspx?scid=kb;EN-US;260575

http://blogs.msdn.com/b/john_daskalakis/archive/2010/02/01/9956266.aspx