Cómo solucionar el error de «Error en la relación de confianza entre la estación de trabajo y el dominio principal» que a veces se produce en equipos y servidores con validación en dominio Active Directory de Windows.

Error en la la relación de confianza entre la estación de trabajo y el dominio principal

El error que se produce en determinadas circunstancias, cuando intentamos iniciar sesión en un equipo/servidor que pertenece a un dominio Windows (Active Directory/Directorio Activo):

Error La relación de confianza entre la estación de trabajo y el dominio principal

En el Visor de sucesos de Windows puede que aparezca este error:

Error al procesar la directiva de grupo. Windows no pudo autenticarse en el servicio de Active Directory en un controlador de dominio (error en la llamada a la función LDAP Bind). Busque el código y la descripción del error en la pestaña de detalles.

Error La relación de confianza entre la estación de trabajo y el dominio principal

También puede darse este error:

Con el texto: La base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación de trabajo.

Puede ser debido a varias causas:

  • Que el equipo cliente perteneciente al dominio haya cambiado su GUID (Globally Unique Identifier, o IUG Identificador Único Global).
  • El equipo cliente se ha quitado del dominio.
  • Se han perdido/cambiado las credenciales de validación en el dominio.
  • El objeto se ha eliminado de la base de datos de LDAP de Active Directory.
  • El equipo cliente ha permanecido durante un largo período de tiempo sin conexión con el controlador de dominio.

Revisar equipo en Controlador de Dominio

Antes de realizar cualquier acción conviene revisar si el equipo que da el error existe en el dominio Active Directory y en qué estado está. Para ello accederemos al Controlador de Dominio y abriremos «Usuarios y equipos de Active Directory». En «Computers» buscaremos el equipo que da el error de relación de confianza. A veces se ha deshabilitado y es suficiente con habilitarlo:

Revisar equipo en Controlador de Dominio

Si aparece y está habilitado podemos pulsar con el botón derecho del ratón y en el menú emergente elegir «Propiedades» para revisarlo:

Revisar equipo en Controlador de Dominio

Si con lo anterior no solucionamos el problema lo intentaremos con las instrucciones que comentamos a continuación.

Solución a «Error en la relación de confianza entre la estación de trabajo y el dominio principal»

Antes de aplicar esta solución conviene revisar concienzudamente el Visor de Sucesos del equipo cliente y también el del Controlador de Dominio, por si podemos obtener un error concreto y así poder actuar en consecuencia.

Una forma fácil y rápida de solucionar este error es sacando del dominio el equipo cliente donde se produce el error y volviéndolo a meter. Para ello seguiremos los siguientes pasos.

Sacar al equipo del dominio

En primer lugar iniciaremos sesión en el equipo que nos da el error. Puesto que no nos dejará acceder con un usuario del dominio, iniciaremos sesión en local (introduciendo @ al final de nombre no validará en el dominio e iniciará con usuario local o bien con administrador@nombre_equipo o también nombre_equipo\administrador):

Sacar al equipo del dominio

A continuación accederemos a las Propiedades del Sistema, desde el Panel de Control, Sistema:

Sacar al equipo del dominio

Pulsaremos en «Cambiar configuración»:

Sacar al equipo del dominio

Pulsaremos en «Cambiar» en la pestaña «Nombre de equipo»:

Sacar al equipo del dominio

Marcaremos «Grupo de trabajo» e introduciremos el nombre del grupo de trabajo al que se agregará el equipo. Será temporal, porque tras el reinicio volveremos a agregarlo al dominio, por ejemplo «GRUPO». Y pulsaremos «Aceptar»:

Sacar al equipo del dominio

A continuación nos advertirá de un detalle muy importante. Al abandonar el dominio, para acceder al equipo, necesitaremos conocer la contraseña de un usuario administrador local:

Sacar al equipo del dominio

Con el texto: Cambios en el dominio o el nombre del equipo. Después de abandonar el dominio, deberá conocer la contraseña de la cuenta de administrador local para iniciar sesión en el equipo.

Por lo tanto, antes de reiniciar, conviene asegurarnos de que conocemos la contraseña de un usuario administrador local.

Si todo es correcto nos mostrará el mensaje:

Sacar al equipo del dominio

Y nos indicará que para aplicar los cambios se debe reiniciar el equipo:

Sacar al equipo del dominio

Aceptaremos y nos pedirá reiniciar ahora o hacerlo más tarde. Pulsaremos en «Reiniciar más tarde»:

Sacar al equipo del dominio

Y nos aseguraremos de que conocemos la contraseña de algún usuario administrador local del equipo (Desde el «Panel de Control», «Herramientas administrativas», «Administración de equipos». En «Usuarios y grupos locales», en «Usuarios», pulsaremos con el botón derecho del ratón sobre el usuario administrador y elegiremos «Establecer contraseña»:

Sacar al equipo del dominio

Si no hemos iniciado sesión con el usuario administrador local, puede que nos muestre la siguiente advertencia, si estamos de acuerdo pulsaremos «Continuar»:

Sacar al equipo del dominio

Con el texto: Es posible que si restablece esta contraseña se produzca una pérdida de información irreversible. Por razones de seguridad, Windows protege cierta información haciendo que no se pueda obtener acceso a ella si se restablece la contraseña de usuario. Esta pérdida de información se producirá la próxima ver que cierre la sesión. Debe usar este comando solo si un usuario ha olvidado su contraseña y no tiene un disco para restablecer contraseña. Si este usuario ha creado este disco, entonces debe usarlo para restablecer la contraseña. Si el usuario sabe la contraseña y quiera cambiarla, debe iniciar sesión y, a continuación, presionar CTRL+ALT+SUPR y hacer clic en Cambiar contraseña.

Estableceremos una contraseña para el usuario administrador local, nos volverá a avisar de que el usuario perderá acceso a todos sus archivos cifrados, contraseñas almacenadas y certificados de seguridad personales. Si estamos de acuerdo pulsaremos «Aceptar»:

Sacar al equipo del dominio

Nos indicará que la contraseña ha cambiado:

Sacar al equipo del dominio

Ahora podremos reiniciar el equipo para aplicar los cambios y sacarlo del dominio:

Sacar al equipo del dominio

Tras el reinicio del equipo es recomendable acceder al controlador de dominio y comprobar que el equipo ha desaparecido de Computers en «Usuarios y equipos de Active Directory». Si sigue apareciendo recomendamos eliminarlo. Y si tenemos más de un controlador de dominio esperar a que se repliquen o eliminarlo manualmente en todos los controladores:

Sacar al equipo del dominio

Agregar el equipo al dominio

Tras el reinicio del equipo con problemas y tras limpiar el Active Directory de cualquier alusión a él, iniciaremos sesión con el usuario local (no nos dará otra posibilidad porque el equipo ya no pertenece a un dominio) y volveremos a acceder a la ventana de Sistema, pulsando en «Cambiar configuración»:

Agregar el equipo al dominio

Pulsaremos «Cambiar» en «Nombre de equipo»:

Agregar el equipo al dominio

En este caso, para agregarlo al dominio, marcaremos «Dominio» en «Miembro del» e introduciremos el nombre del dominio de Active Directory. Pulsaremos «Aceptar»:

Agregar el equipo al dominio

Es muy probable que nos solicite credenciales de un usuario administrador del dominio, para poder agregar el equipo al dominio, las introduciremos:

Agregar el equipo al dominio

Si todo es correcto agregará el equipo al dominio y mostrará el mensaje:

Agregar el equipo al dominio

Nos avisará de que debemos reiniciar el equipo para que se apliquen los cambios. Pulsaremos «Aceptar»:

Agregar el equipo al dominio

Pulsaremos en «Reiniciar ahora»:

Agregar el equipo al dominio

Con esto debería quedar arreglado el problema. Iniciaremos sesión con un usuario del dominio y comprobaremos que está resuelto.