Cómo solucionar el error de «Error en la relación de confianza entre la estación de trabajo y el dominio principal» que a veces se produce en equipos y servidores con validación en dominio Active Directory de Windows.
- Error en la la relación de confianza entre la estación de trabajo y el dominio principal.
- Revisar equipo en Controlador de Dominio.
- Solución a «Error en la relación de confianza entre la estación de trabajo y el dominio principal».
Error en la la relación de confianza entre la estación de trabajo y el dominio principal
El error que se produce en determinadas circunstancias, cuando intentamos iniciar sesión en un equipo/servidor que pertenece a un dominio Windows (Active Directory/Directorio Activo):
En el Visor de sucesos de Windows puede que aparezca este error:
Error al procesar la directiva de grupo. Windows no pudo autenticarse en el servicio de Active Directory en un controlador de dominio (error en la llamada a la función LDAP Bind). Busque el código y la descripción del error en la pestaña de detalles.
También puede darse este error:
Con el texto: La base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación de trabajo.
Puede ser debido a varias causas:
- Que el equipo cliente perteneciente al dominio haya cambiado su GUID (Globally Unique Identifier, o IUG Identificador Único Global).
- El equipo cliente se ha quitado del dominio.
- Se han perdido/cambiado las credenciales de validación en el dominio.
- El objeto se ha eliminado de la base de datos de LDAP de Active Directory.
- El equipo cliente ha permanecido durante un largo período de tiempo sin conexión con el controlador de dominio.
Revisar equipo en Controlador de Dominio
Antes de realizar cualquier acción conviene revisar si el equipo que da el error existe en el dominio Active Directory y en qué estado está. Para ello accederemos al Controlador de Dominio y abriremos «Usuarios y equipos de Active Directory». En «Computers» buscaremos el equipo que da el error de relación de confianza. A veces se ha deshabilitado y es suficiente con habilitarlo:
Si aparece y está habilitado podemos pulsar con el botón derecho del ratón y en el menú emergente elegir «Propiedades» para revisarlo:
Si con lo anterior no solucionamos el problema lo intentaremos con las instrucciones que comentamos a continuación.
Solución a «Error en la relación de confianza entre la estación de trabajo y el dominio principal»
Antes de aplicar esta solución conviene revisar concienzudamente el Visor de Sucesos del equipo cliente y también el del Controlador de Dominio, por si podemos obtener un error concreto y así poder actuar en consecuencia.
Una forma fácil y rápida de solucionar este error es sacando del dominio el equipo cliente donde se produce el error y volviéndolo a meter. Para ello seguiremos los siguientes pasos.
Sacar al equipo del dominio
En primer lugar iniciaremos sesión en el equipo que nos da el error. Puesto que no nos dejará acceder con un usuario del dominio, iniciaremos sesión en local (introduciendo @ al final de nombre no validará en el dominio e iniciará con usuario local o bien con administrador@nombre_equipo o también nombre_equipo\administrador):
A continuación accederemos a las Propiedades del Sistema, desde el Panel de Control, Sistema:
Pulsaremos en «Cambiar configuración»:
Pulsaremos en «Cambiar» en la pestaña «Nombre de equipo»:
Marcaremos «Grupo de trabajo» e introduciremos el nombre del grupo de trabajo al que se agregará el equipo. Será temporal, porque tras el reinicio volveremos a agregarlo al dominio, por ejemplo «GRUPO». Y pulsaremos «Aceptar»:
A continuación nos advertirá de un detalle muy importante. Al abandonar el dominio, para acceder al equipo, necesitaremos conocer la contraseña de un usuario administrador local:
Con el texto: Cambios en el dominio o el nombre del equipo. Después de abandonar el dominio, deberá conocer la contraseña de la cuenta de administrador local para iniciar sesión en el equipo.
Por lo tanto, antes de reiniciar, conviene asegurarnos de que conocemos la contraseña de un usuario administrador local.
Si todo es correcto nos mostrará el mensaje:
Y nos indicará que para aplicar los cambios se debe reiniciar el equipo:
Aceptaremos y nos pedirá reiniciar ahora o hacerlo más tarde. Pulsaremos en «Reiniciar más tarde»:
Y nos aseguraremos de que conocemos la contraseña de algún usuario administrador local del equipo (Desde el «Panel de Control», «Herramientas administrativas», «Administración de equipos». En «Usuarios y grupos locales», en «Usuarios», pulsaremos con el botón derecho del ratón sobre el usuario administrador y elegiremos «Establecer contraseña»:
Si no hemos iniciado sesión con el usuario administrador local, puede que nos muestre la siguiente advertencia, si estamos de acuerdo pulsaremos «Continuar»:
Con el texto: Es posible que si restablece esta contraseña se produzca una pérdida de información irreversible. Por razones de seguridad, Windows protege cierta información haciendo que no se pueda obtener acceso a ella si se restablece la contraseña de usuario. Esta pérdida de información se producirá la próxima ver que cierre la sesión. Debe usar este comando solo si un usuario ha olvidado su contraseña y no tiene un disco para restablecer contraseña. Si este usuario ha creado este disco, entonces debe usarlo para restablecer la contraseña. Si el usuario sabe la contraseña y quiera cambiarla, debe iniciar sesión y, a continuación, presionar CTRL+ALT+SUPR y hacer clic en Cambiar contraseña.
Estableceremos una contraseña para el usuario administrador local, nos volverá a avisar de que el usuario perderá acceso a todos sus archivos cifrados, contraseñas almacenadas y certificados de seguridad personales. Si estamos de acuerdo pulsaremos «Aceptar»:
Nos indicará que la contraseña ha cambiado:
Ahora podremos reiniciar el equipo para aplicar los cambios y sacarlo del dominio:
Tras el reinicio del equipo es recomendable acceder al controlador de dominio y comprobar que el equipo ha desaparecido de Computers en «Usuarios y equipos de Active Directory». Si sigue apareciendo recomendamos eliminarlo. Y si tenemos más de un controlador de dominio esperar a que se repliquen o eliminarlo manualmente en todos los controladores:
Agregar el equipo al dominio
Tras el reinicio del equipo con problemas y tras limpiar el Active Directory de cualquier alusión a él, iniciaremos sesión con el usuario local (no nos dará otra posibilidad porque el equipo ya no pertenece a un dominio) y volveremos a acceder a la ventana de Sistema, pulsando en «Cambiar configuración»:
Pulsaremos «Cambiar» en «Nombre de equipo»:
En este caso, para agregarlo al dominio, marcaremos «Dominio» en «Miembro del» e introduciremos el nombre del dominio de Active Directory. Pulsaremos «Aceptar»:
Es muy probable que nos solicite credenciales de un usuario administrador del dominio, para poder agregar el equipo al dominio, las introduciremos:
Si todo es correcto agregará el equipo al dominio y mostrará el mensaje:
Nos avisará de que debemos reiniciar el equipo para que se apliquen los cambios. Pulsaremos «Aceptar»:
Pulsaremos en «Reiniciar ahora»:
Con esto debería quedar arreglado el problema. Iniciaremos sesión con un usuario del dominio y comprobaremos que está resuelto.