GPO: Evitar problema "La relación de confianza entre esta estación de trabajo y el dominio principal falló" | Algo de Linux

lunes, 5 de junio de 2017

GPO: Evitar problema "La relación de confianza entre esta estación de trabajo y el dominio principal falló"

Si gestionáis un dominio de Windows, seguro que en más de una ocasión, a algún usuario se le ha mostrado el siguiente mensaje al tratar de iniciar sesión en el dominio:
"La relación de confianza entre esta estación de trabajo y el dominio principal falló"

Después de este mensaje ningún usuario del dominio puede iniciar sesión y la única solución es iniciar sesión con un administrador local de la máquina, añadir la máquina a un grupo de trabajo para sacarla del dominio (lo que nos obligará a reiniciar), para posteriormente volver a iniciar sesión con el administrador local y añadir la máquina al dominio (lo que nos volverá a obligar a reiniciar de nuevo).

Este problema puede deberse a que:
  • La password del equipo almacenada en el controlador de dominio no coincide con la password almacenada en el equipo porque se ha renovado.
  • La password del equipo ha expirado porque ha alcanzado su duración máxima (por defecto el tiempo máximo es de 30 días).
Como la renovación de las passwords de los equipos es un proceso que se realiza automáticamente y de forma transparente para el usuario, es probable que algún problema con la fecha y la hora del equipo haya motivado el error y habría que investigarlo.

Lo ideal es detectar cuál es exactamente el problema para resolverlo, pero, mientras tanto, podemos evitar que suceda este problema bajando la seguridad mediante la modificación de las siguientes directivas:
  • Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo.
  • Miembro de dominio: duración máxima de contraseña de cuenta de equipo. En esta directiva podemos establecer un valor entre 0 y 999 días. El valor por defecto es 30. Establecer un valor de 0, signfica que los equipos no cambien sus contraseñas. 
Ambas directivas se encuentran en:
Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Opciones de seguridad


Publicado por primera vez en http://enavas.blogspot.com.es