Contact
Line : comsiam
Trust Relationship Error คือปัญหาที่พบบ่อยมากในระบบ Active Directory โดยเฉพาะองค์กรที่ใช้ Domain มานาน หรือมีการ Clone VM, Restore Snapshot หรือใช้งาน Laptop นอกบริษัทบ่อย
Error นี้มักขึ้นว่า:
The trust relationship between this workstation and the primary domain failedเมื่อเกิดปัญหานี้:
- User Login ไม่ได้
- เครื่อง Join Domain เหมือนเสีย
- ใช้ Domain Account ไม่ได้
- GPO ไม่ทำงาน
หลายองค์กรตกใจคิดว่า Active Directory พัง แต่จริงๆ แล้วส่วนใหญ่แก้ได้ไม่ยาก หากเข้าใจสาเหตุ ซึ่งทีม comsiam เจอปัญหานี้บ่อยมากในระบบ Windows Domain จริง
บทความนี้จะสอนการวิเคราะห์และแก้ Trust Relationship Error บน Windows Server 2025 แบบละเอียด พร้อมแนวทางป้องกันในองค์กร
① Trust Relationship Error คืออะไร
คือปัญหาที่:
Computer กับ Domain
ไม่เชื่อใจกันแล้ว
พูดง่ายๆ:
Password ระหว่างเครื่องกับ AD ไม่ตรงกัน
② ทำไมถึงเกิด Error นี้
สาเหตุยอดนิยม:
- Restore VM Snapshot
- Clone เครื่อง
- Password Machine Account ไม่ Sync
- Computer หลุดจาก Domain
- AD Replication Error
③ Machine Account คืออะไร
ทุก Computer ที่ Join Domain
จะมี Account อยู่ใน AD
เช่น:
PC-ACCOUNT$เครื่องกับ Domain จะใช้ Password ลับคุยกัน
④ อาการที่พบบ่อย
เช่น:
- Login Domain ไม่ได้
- ขึ้น Trust Relationship Error
- GPO ไม่ทำงาน
- หา DC ไม่เจอ
⑤ วิธี Login เข้าเครื่องก่อนแก้
ใช้ Local Account:
.\administratorหรือ:
COMPUTERNAME\administrator⑥ วิธีตรวจว่าเครื่องยังเห็น Domain ไหม
ใช้ CMD:
nltest /sc_verify:company.localหาก Fail:
Trust มีปัญหา
⑦ วิธีตรวจ DNS ก่อน
ใช้:
ipconfig /allตรวจว่า DNS ชี้:
Domain Controller
ห้ามใช้:
- 8.8.8.8
- Router DNS
⑧ วิธี Ping Domain Controller
ใช้:
ping dc01.company.local⑨ วิธี Reset Secure Channel
ใช้ PowerShell แบบ Admin:
Test-ComputerSecureChannel -Repair -Credential company\administratorวิธีนี้นิยมมาก
⑩ หาก Repair สำเร็จ
จะขึ้น:
Trueจากนั้น Restart เครื่อง
⑪ วิธีแก้แบบ Remove Domain แล้ว Join ใหม่
หาก Repair ไม่ได้
ให้:
- Remove จาก Domain
- Restart
- Join Domain ใหม่
⑫ วิธี Remove จาก Domain
เปิด:
System Propertiesเลือก:
WorkgroupRestart เครื่อง
⑬ วิธี Join Domain ใหม่
กลับเข้า:
company.localใส่ Account Domain Admin
⑭ วิธีตรวจใน Active Directory
เปิด:
Active Directory Users and Computersดูว่า:
Computer Object ยังอยู่ไหม
⑮ วิธี Reset Computer Account ใน AD
คลิกขวา Computer
เลือก:
Reset Account⑯ วิธีใช้ PowerShell Reset Machine Password
ใช้:
Reset-ComputerMachinePassword⑰ วิธีตรวจ Replication
ใช้:
repadmin /replsummaryหาก AD Replication เสีย:
Trust อาจพังได้
⑱ วิธีตรวจ Time Sync
Kerberos ไวต่อเวลา
ใช้:
w32tm /query /status⑲ วิธีตรวจ Event Viewer
เปิด:
Event Viewerดู:
- System
- Netlogon
- Kerberos
⑳ Event ที่พบบ่อย
เช่น:
- Netlogon Error
- Kerberos Error
- Secure Channel Error
㉑ สาเหตุยอดนิยมใน VM
พบบ่อยมาก:
- Restore Snapshot เก่า
- Clone VM
- Copy VM
เพราะ Machine Password ไม่ตรงกับ AD แล้ว
㉒ วิธีป้องกันใน VM
แนะนำ:
- อย่า Snapshot DC มั่วๆ
- อย่า Clone เครื่อง Join Domain แล้ว
- ใช้ Sysprep ก่อน Clone
㉓ ปัญหาที่พบบ่อย
Join Domain ไม่ได้
สาเหตุ:
DNS ผิด
Repair ไม่ผ่าน
สาเหตุ:
Replication Error
Login ช้า
สาเหตุ:
หา DC ไม่เจอ
㉔ แนวทางป้องกัน Trust Error
แนะนำ:
- ใช้ DNS ถูกต้อง
- มี 2 DC ขึ้นไป
- Sync เวลา
- หลีกเลี่ยง Snapshot เก่า
หลายองค์กร Clone เครื่องโดยไม่ Sysprep จน Trust เสียทั้งระบบ ซึ่งทีม comsiam เจอบ่อยมาก
㉕ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ใช้ DNS ภายนอก
- Clone เครื่อง Join Domain แล้ว
- Restore Snapshot เก่า
- Ignore Replication Error
㉖ Trust Relationship กับ Secure Channel ต่างกันยังไง
จริงๆ เกี่ยวข้องกัน
Trust Error ส่วนใหญ่:
เกิดจาก Secure Channel พัง
㉗ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- Repair Secure Channel ก่อน
- หากไม่หาย → Join Domain ใหม่
- ตรวจ DNS และ Replication เสมอ
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉘ สรุป
Trust Relationship Error บน Windows Server 2025 เป็นปัญหาที่เกิดจาก Machine Account กับ Active Directory ไม่ Sync กันแล้ว
สาเหตุหลัก:
- DNS ผิด
- Snapshot/Clone
- Replication Error
- Secure Channel เสีย
หากเข้าใจสาเหตุและแก้ถูกจุด ส่วนใหญ่สามารถแก้ได้เร็วโดยไม่ต้อง Format เครื่องใหม่
