The security database on the server does not have a computer account for this workstation trust relationship

Словил ошибку на сервере Windows Server 2012 R2 при попытке войти в доменную учётную запись.

The security database on the server does not have a computer account for this workstation trust relationship

На сервере под сервисной доменной учёткой запущена важная служба. Сервер выключать и перезагружать нельзя.

Войти на сервер можно под локальной учётной записью, у меня есть пароль от неё. Успешно вхожу. Путаюсь запустить что-нибудь от имени своей доменной учётной записи, например, PowerShell. Тоже получаю ошибку:

No valid certificates were found on this smart card

Please try another smart card or contact your administrator

The security database on the server does not have a computer account for this workstation trust relationship

Эй, я и есть администратор!

Сеть работает, контроллер домена с сервера пингуется. Лезем в домен и смотрим учётную запись сервера, с ней явно что-то не так.

Учётную запись сервера могли удалить в домене

Её могли удалить. Выводим сервер из домена и снова вводим.

Учётную запись сервера могли заблокировать в домене

Как раз в моём случае это и случилось. Разблокируем учётную запись сервера в домене.

Под текущей учётной записью на сервере вход по RDP так и не выполняется, хотя под другими учётками удалённый доступ заработал. Просто сбрасываю пароль учётной записи в домене на тот же что и был, — всё начинает работать нормально.

Перезагрузка сервера не потребовалась.

Учётная запись сервера могла быть повреждена

Удаляем учётную запись сервера в домене. Выводим сервер из домена и снова вводим.

У учетной записи сервера в домене может отсутствовать запись SPN (Service Principal Name)

В этом случае необходимо добавить две SPN записи в указанный атрибут в формате:

HOST/SERVERNAME
HOST/SERVERNAME.domain.local

Другой сервер в домене имеет запись SPN, совпадающую с проблемным сервером

Все хосты с нужным SPN можно найти командой:

setspn -q HOST/SERVERNAME

Также для поиска конфликтующих серверов нужно воспользоваться командой:

ldifde -f C:\DuplicateSPN.txt -d DC=domain,DC=local -l serviceprincipalname -r (serviceprincipalname=*)

В файл DuplicateSPN.txt выгрузится список значений поля servicePrincipalName для всех компьютеров домена. Находим там дубликаты, лишние учетные записи в домене удаляем.