Словил ошибку на сервере Windows Server 2012 R2 при попытке войти в доменную учётную запись.
The security database on the server does not have a computer account for this workstation trust relationship
На сервере под сервисной доменной учёткой запущена важная служба. Сервер выключать и перезагружать нельзя.
Войти на сервер можно под локальной учётной записью, у меня есть пароль от неё. Успешно вхожу. Путаюсь запустить что-нибудь от имени своей доменной учётной записи, например, PowerShell. Тоже получаю ошибку:
No valid certificates were found on this smart card
Please try another smart card or contact your administrator
The security database on the server does not have a computer account for this workstation trust relationship
Эй, я и есть администратор!
Сеть работает, контроллер домена с сервера пингуется. Лезем в домен и смотрим учётную запись сервера, с ней явно что-то не так.
Учётную запись сервера могли удалить в домене
Её могли удалить. Выводим сервер из домена и снова вводим.
Учётную запись сервера могли заблокировать в домене
Как раз в моём случае это и случилось. Разблокируем учётную запись сервера в домене.
Под текущей учётной записью на сервере вход по RDP так и не выполняется, хотя под другими учётками удалённый доступ заработал. Просто сбрасываю пароль учётной записи в домене на тот же что и был, — всё начинает работать нормально.
Перезагрузка сервера не потребовалась.
Учётная запись сервера могла быть повреждена
Удаляем учётную запись сервера в домене. Выводим сервер из домена и снова вводим.
У учетной записи сервера в домене может отсутствовать запись SPN (Service Principal Name)
В этом случае необходимо добавить две SPN записи в указанный атрибут в формате:
HOST/SERVERNAME HOST/SERVERNAME.domain.local
Другой сервер в домене имеет запись SPN, совпадающую с проблемным сервером
Все хосты с нужным SPN можно найти командой:
setspn -q HOST/SERVERNAME
Также для поиска конфликтующих серверов нужно воспользоваться командой:
ldifde -f C:\DuplicateSPN.txt -d DC=domain,DC=local -l serviceprincipalname -r (serviceprincipalname=*)
В файл DuplicateSPN.txt выгрузится список значений поля servicePrincipalName для всех компьютеров домена. Находим там дубликаты, лишние учетные записи в домене удаляем.
