Domainden Düşen Bilgisayarlar İçin Çözümler (Secure Channel Issues)
Bilgisayarlar Domainden Neden Düşer? (Why do Computers Lose Domain Trust?)
Active Directory yapısında istemci makineler ile Domain Controller (DC) arasındaki Secure Channel (Güvenli Kanal) iletişimi koptuğunda, kullanıcılar “The trust relationship between this workstation and the primary domain failed” hatasıyla karşılaşır.
Başlıca Nedenler (Common Causes):
- Zaman Senkronizasyonu (Time Sync): İstemci ve DC arasındaki saat farkı 5 dakikadan fazlaysa Kerberos doğrulaması başarısız olur.
- SID Çakışmaları:
Sysprepuygulanmamış klonlanmış makinelerin aynı SID’e sahip olması. - Makine Parolası Senkronizasyonu: Bilgisayarın AD üzerindeki parolasının (varsayılan 30 günde bir değişir) istemci tarafında güncellenememesi.
- DNS Sorunları: İstemcinin DC’yi (SRV kayıtlarını) çözememesi.
Soruna Ait Hata Örnekleri (Error Visuals)
Çözüm Yöntemleri (Step-by-Step Solutions)
[!IMPORTANT]
- İşlemlere başlamadan önce istemci makinenin DC’ye fiziksel olarak erişebildiğinden ve doğru DNS adreslerini aldığından emin olun.
- Kritik: Güven ilişkisi koptuğu için domain hesaplarıyla oturum açamayabilirsiniz. Bu adımları uygulamak için bilgisayarda Yerel Yönetici (Local Administrator) hesabıyla oturum açmanız gerekmektedir.
[!TIP] İşlemlere başlamadan önce DNS önbelleğini temizlemek çözüm sürecini hızlandırabilir:
ipconfig /flushdns
1. Yöntem: Bilgisayar Hesabını AD Üzerinden Sıfırlama
En basit yöntemdir. ADUC (Active Directory Users and Computers) konsolunda ilgili bilgisayar nesnesine sağ tıklayıp “Reset Account” dedikten sonra istemci makineyi yeniden başlatın.
2. Yöntem: PowerShell ile Hızlı Onarım (Rejoin Gerektirmez)
Bu yöntem sunucuyu domainden çıkarıp almadan (reboot gerektirmeden) güven ilişkisini onarır.
1
2
3
4
5
# 1. Mevcut durumu test edin (False dönüyorsa sorun vardır)
Test-ComputerSecureChannel -Verbose
# 2. Güveni onarın (Kimlik bilgisi soracaktır)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
[!TIP] Eğer PowerShell erişiminiz yoksa CMD üzerinden şu komutu kullanabilirsiniz:
nltest /sc_verify:domain_adinizi_yaziniz
3. Yöntem: PowerShell ile Makine Parolası Sıfırlama
Eğer yukarıdaki komut yetersiz kalırsa makine parolasını manuel olarak tetikleyebilirsiniz:
1
2
3
$cred = Get-Credential
Reset-ComputerMachinePassword -Credential $cred
Restart-Computer
4. Yöntem: Klasik Yöntem (Domainden Çıkar / Tekrar Dahil Et)
Diğer tüm yöntemler başarısız olursa izlenecek kesin çözümdür:
- Bilgisayarı Workgroup‘a çekin ve yeniden başlatın.
- AD üzerinden eski bilgisayar nesnesini silin (isteğe bağlı).
- Bilgisayarı tekrar Domain‘e dahil edin ve yeniden başlatın.
Ekstra: Uzaktan Onarım (Remote Repair)
[!NOTE] Uzaktan onarım komutunun çalışması için hedef bilgisayarda WinRM servisinin açık olması ve güvenlik duvarının izin vermesi gerekmektedir.
1
2
$cred = Get-Credential
Invoke-Command -ComputerName "SORUNLU-PC-ADI" -ScriptBlock {Test-ComputerSecureChannel -Repair -Credential $using:cred}
Saygılarımla / Thank you.