Home > Active Directory > Risoluzione problema trust relationship e rejoin (non drammatico) a un dominio

Risoluzione problema trust relationship e rejoin (non drammatico) a un dominio

22 gennaio 2015

Error: The trust relationship between this workstation and the primary domain failed, o in altri termini la relazione di trust tra questa workstation e il dominio primario non e’ riuscita.

Forse la situazione più noiosa che possa capitare a qualsiasi sistemista, soprattutto in domini con un certo numero di utenti e macchine presenti nella Active Directory. Ad esempio a me è capitato qualche mese fa, a seguito di una sciagurata avventura col passaggio da Win2012 Server for Evaluation a Win2012 Server Standard definitivo. Per motivi che non sto a spiegare, avevo dovuto far lavorare come Primary Domain Controller la macchina server con la licenza provvisoria. Ma, accidenti a M$, nel momento in cui mi arrivò la licenza definitiva, per attivarla era necessario abbassare il livello di funzionalità del PDC. OK, avevo creato un secondo server virtuale, ma qualcosa è andato storto nella migrazione dei ruoli FSMO, ergo: ho dovuto ricostruire l’intera foresta. Benchè conoscessi perfettamente tutte le password degli utenti, come prevedevo, dopo due o 3 login, le macchine hanno iniziato a manifestare il problema di cui sopra. Naturalmente, anche qui come prevedevo (Murphy è un mio storico amico), a nulla sono valse le procedure di reset-account nella AD. L’unica soluzione sarebbe stata, appunto il de-join e re-join di tutte le macchine del dominio.

Cosa non da poco, come tutti sanno, in quanto purtroppo le informazioni memorizzate nel profilo utente sono parecchie e imprevedibili. Quindi, alla ricreazione manuale dell’utente, benché con lo stesso nome, si ha un’unica certezza: non tutto funzionerà come prima!

Ecco che per caso, scopro, in un forum nemmeno tanto in evidenza, questa interessantissima utility: User Profile Wizard.

Come si fa?

1) Intanto si individua esattamente il profilo dell’utente di dominio corrotto non in grado di stabilire la relazione di trust (in modo da poterlo riconoscerlo successivamente).

2) Si de-joina la macchina dal dominio. Riavviare ed accedere come Amministratore di Macchina locale.

3) Si re-joina la macchina al dominio. Riavviare ed accedere come Amministratore di dominio.

4) Lanciare la utility: al secondo step, inserire il nome del dominio e l’utente

profwiz2

Al terzo passaggio, selezionare esattamente il nome del profilo da migrare che era stato individuato al punto 1.

profwiz3

Terminare la procedura, attendendo la migrazione, che sarà tanto lunga quanto è “carico di dati” il profilo utente. Riavviare e loggarsi finalmente con il profilo utente abituale.

Les jeux sont faits. Tranne le passwords degli account di posta elettronica che vengono richieste alla prima ricezione o invio.

Nota: questa procedura è stata testata sotto Win7 Pro client e Win2012 Server Standard. I client XP Pro avevano un workaround simpatico che era lo swap delle cartelle utente una volta re-joinato. Questa caratteristica non è stata ovviamente mantenuta in Win7.

Categorie:Active Directory Tag:
I commenti sono chiusi.