Etki Alanı Güven İlişkisi Nedir?
Windows ağlarında, bir bilgisayar etki alanına (domain) katıldığında, bilgisayar ile etki alanı denetleyicisi arasında karşılıklı bir güven ilişkisi kurulur. Bu ilişki, makine hesabı parolası olarak bilinen gizli bir paylaşılan anahtar üzerinden sağlanır. Bu parola:
- Bilgisayarın yerel kayıtlarında saklanır
- Etki alanı denetleyicisinde de aynı parolanın bir kopyası tutulur
- Her 30 günde bir otomatik olarak yenilenir
Güven İlişkisi Neden Bozulur?
Güven ilişkisinin bozulmasının birkaç yaygın nedeni vardır:
- Bilgisayar uzun süre etki alanından ayrı kaldığında (30+ gün)
- Sistem geri yükleme işlemi yapıldığında
- Etki alanı denetleyicisinde bilgisayar hesabı sıfırlandığında
- Sanal makine klonlaması sırasında bilgisayar SID'leri çakıştığında
Active Directory ortamında sıkça karşılaşılan “The trust relationship between this workstation and the primary domain failed” (Bu iş istasyonu ve birincil etki alanı arasındaki güven ilişkisi başarısız oldu) hatası genellikle bilgisayarın Active Directory ile senkronizasyon sorunu yaşamasından kaynaklanır. Bu sorun özellikle DC (Domain Controller) ve bilgisayar arasındaki parola güncellemelerinin eksik kalması durumunda ortaya çıkar. Bu sorunu çözmek için kullanabileceğiniz 3 etkili yöntem bulunmaktadır: Bu yöntem en basit ve hızlı çözüm yoludur: 1. Yerel yönetici olarak oturum açın 2. PowerShell’de şu komutu çalıştırın: powershell Test-ComputerSecureChannel -Repair -Credential DomainName\Administrator 3. Bilgisayarı yeniden başlatın 2. PowerShell ile Bilgisayar Parolasını Sıfırlama 1. Yerel yönetici olarak giriş yapın 2. PowerShell’de şu komutu kullanın: powershell Reset-ComputerMachinePassword -Server DomainServer -Credential DomainName\Administrator 3. İşlem sonrası bilgisayarı yeniden başlatın Son çare olarak bu yöntemi kullanabilirsiniz: 1. Yerel yönetici olarak oturum açın 2. Etki alanından çıkmak için: cmd djoin /leave 3. Yeniden başlatın ve etki alanına katılmak için: cmd djoin /domain DomainName /user:DomainAdminUser /passwordD * 4. Son bir yeniden başlatma yaparak işlemi tamamlayın. Her yöntemi sırasıyla denemenizi ve hangisinin işe yaradığını not etmenizi öneririm. Ayrıca, bu işlemleri yapmadan önce önemli verilerinizi yedeklemeyi unutmayın. Active Directory’de güven ilişkisi hatalarının ortaya çıkmasının birkaç temel sebebi vardır: 1. Senkronizasyon Sorunları - Bilgisayar ve Domain Controller arasındaki parola güncellemelerinin başarısız olması - Ağ bağlantı kesintileri nedeniyle senkronizasyonun tamamlanamaması - Domain Controller’a uzun süre erişilememesi 2. Sistem Değişiklikleri - Bilgisayarın saatinin Domain Controller ile uyumsuz olması - Sistem adının değiştirilmesi - Windows işletim sisteminde yapılan büyük güncellemeler - Sistem geri yükleme işlemleri sonrası oluşan tutarsızlıklar 3. Ağ ve DNS Sorunları - DNS kayıtlarının bozulması veya güncel olmaması - Ağ güvenlik duvarı ayarlarının Domain Controller ile iletişimi engellemesi - DHCP sorunları nedeniyle IP adresi çakışmaları 4. Güvenlik Politikaları - Group Policy değişiklikleri - Güvenlik güncellemeleri sonrası oluşan uyumsuzluklar - Hesap kilitlemeleri veya parola politikası değişiklikleri 5. Donanım Sorunları - Bilgisayarın aniden kapanması veya elektrik kesintileri - Disk sorunları nedeniyle sistem dosyalarının bozulması - RAM sorunları nedeniyle sistem kararsızlığı 6. İnsan Kaynaklı Hatalar - Yanlış sistem yapılandırmaları - Yetkisiz sistem değişiklikleri - Domain yapılandırmasında yapılan hatalar Önleyici Tedbirler: 1. Düzenli sistem yedeklemeleri alınması 2. Ağ altyapısının düzenli kontrolü 3. Güvenlik güncellemelerinin zamanında yapılması 4. Domain Controller’ların düzenli bakımı 5. Sistem saatlerinin senkronize tutulması 6. Güvenlik politikalarının düzenli gözden geçirilmesi Bu sorunların çoğu, proaktif sistem yönetimi ve düzenli bakım ile önlenebilir. Sorun oluştuğunda ise, root cause analysis (kök neden analizi) yapılarak benzer sorunların tekrar etmesi engellenebilir. Kurumsal ağlarda sıkça karşılaşılan "The trust relationship between this workstation and the primary domain failed" hatası, sistem yöneticilerinin en çok zamanını alan sorunlardan biridir. Bu yazıda, Windows etki alanı güven ilişkisi nedir, neden bozulur ve nasıl düzeltilir konularını ele alacağız.
Sorunu Tespit Etme ve Çözme
Görselde görüldüğü gibi, oturum açma ekranında "The trust relationship between this workstation and the primary domain failed" hatası alındığında çözüm için iki yöntem bulunmaktadır:
1. PowerShell ile Hızlı Çözüm
Görselin alt kısmında gösterilen komut, güven ilişkisini onarmak için en hızlı yöntemdir:
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
Bu komutu çalıştırmak için etki alanı yönetici yetkilerine sahip olmanız gerekir. Komut, bilgisayar hesabı ile etki alanı arasındaki güven ilişkisini yeniden oluşturur.
2. Makine Hesabı Şifresi Mekanizması
Görselde Registry Editor kısmında gösterilen
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\$MACHINE.ACC anahtarı, bilgisayarın etki alanı ile paylaştığı şifre bilgilerini içerir:
CurrVal: Geçerli makine hesabı şifresiOldVal: Önceki makine hesabı şifresi
Windows, iki şifre değerini de saklar çünkü etki alanı denetleyicileri arasında replikasyon gecikmesi olabilir. Bu sayede, bir denetleyicinin henüz yeni şifreyi almaması durumunda eski şifre ile kimlik doğrulama yapılabilir.
Sorunu Önlemek İçin İpuçları
- Uzaktan çalışan dizüstü bilgisayarları VPN üzerinden düzenli olarak etki alanına bağlayın
- Sistem geri yükleme işlemlerinden önce bilgisayarı etki alanından çıkarın
- Sanal makine şablonları oluşturmadan önce Sysprep kullanın
- Planlı bakım dönemlerinde
netdom resetpwd komutu ile şifreleri yenileyin
Sonuç
Etki alanı güven ilişkisi sorunları, Windows ağ ortamlarında sık karşılaşılan ancak anlaşılması ve çözülmesi kolay problemlerdir. Yukarıdaki yöntemler kullanılarak, kullanıcıların iş akışını en az kesinti ile sürdürmelerine yardımcı olunabilir. Siz de bu tür sorunlarla karşılaşıyor musunuz? Yorumlarda deneyimlerinizi paylaşabilirsiniz.
Not: Bu blog yazısı, Windows etki alanı yönetimi konusunda temel bilgilere sahip BT profesyonelleri için hazırlanmıştır.
