اگر بعد از به‌روزرسانی ویندوز، سیستم شما دیگر به شبکه Domain متصل نمی‌شود، احتمالاً علت آن یکی از سه مورد زیر است: اختلال در احراز هویت Kerberos، خرابی تنظیمات DNS یا از بین رفتن Trust بین سیستم و Domain Controller.
در بیشتر موارد، با اجرای دستورهای ساده‌ای مثل klist purge، بررسی تنظیمات DNS و اتصال مجدد سیستم به Domain، می‌توان این مشکل را در کمتر از چند دقیقه رفع کرد.

در هفته‌های اخیر، بسیاری از کاربران سازمانی پس از نصب به‌روزرسانی‌های ویندوز 10 و 11 گزارش داده‌اند که هنگام ورود به شبکه یا Domain با خطاهایی مانند “The trust relationship between this workstation and the primary domain failed” یا “Cannot connect to domain controller” مواجه می‌شوند.
این خطا معمولاً به‌دلیل تغییر در پروتکل‌های امنیتی ویندوز یا Credentialهای ذخیره‌شده رخ می‌دهد.

به همین دلیل، آشنایی با روش‌های عیب‌یابی این خطا برای مدیران و کارشناسان IT ضروری است.
در این مقاله از وب‌سایت کامکو به‌عنوان ارائه‌دهنده تخصصی پشتیبانی شبکه، به‌صورت مرحله‌به‌مرحله بررسی می‌کنیم که چرا پس از آپدیت ویندوز سیستم از Domain جدا می‌شود،
و چطور می‌توان بدون از دست رفتن اطلاعات کاربران، اتصال ایمن را مجدداً برقرار کرد.

دلایل اصلی عدم اتصال به Domain پس از به‌روزرسانی ویندوز

در محیط‌های سازمانی که از Active Directory برای مدیریت کاربران استفاده می‌شود،
به‌روزرسانی‌های امنیتی ویندوز می‌توانند تغییراتی در نحوه احراز هویت یا ارتباط سیستم‌ها با Domain Controller ایجاد کنند.
در ادامه، مهم‌ترین دلایل این خطا را بررسی می‌کنیم:

---

۱. اختلال در احراز هویت Kerberos (Kerberos Authentication Failure)

پروتکل Kerberos، اساس ورود امن کاربران به دامنه است. پس از برخی آپدیت‌های ویندوز (به‌ویژه در ویندوز 11)،
مایکروسافت ساختار Ticket Granting Ticket (TGT) را تغییر داده که باعث می‌شود برخی سیستم‌ها نتوانند با DC ارتباط بگیرند.
اگر در Event Viewer → System پیام‌هایی مانند “The Kerberos client received a KRB_AP_ERR_MODIFIED error” مشاهده می‌کنید،
مشکل از Kerberos است.
راه‌حل سریع: اجرای دستور زیر در Command Prompt با دسترسی Administrator:

klist purge

و سپس ورود مجدد کاربر به دامنه.

---

۲. از بین رفتن Trust بین سیستم و Domain Controller

در برخی آپدیت‌ها، شناسه امنیتی سیستم (Machine SID) یا Credential داخلی در مسیر C:\Windows\Security
به‌صورت خودکار بازنویسی می‌شود. در نتیجه سیستم دیگر مورد اعتماد Domain Controller نیست.
کاربر در زمان ورود با پیام معروف “The trust relationship between this workstation and the primary domain failed” روبه‌رو می‌شود.
راه‌حل سریع: اجرای دستور زیر در PowerShell:

Test-ComputerSecureChannel -Repair -Credential domain\admin

این دستور بدون نیاز به خارج کردن سیستم از دامنه، Trust را بازسازی می‌کند.

---

۳. خطای DNS و Resolve نشدن نام دامنه (DNS Misconfiguration)

در بسیاری از سازمان‌ها، به‌روزرسانی‌های ویندوز باعث بازنشانی تنظیمات DNS به حالت پیش‌فرض می‌شود
و سیستم دیگر نمی‌تواند آدرس Domain Controller را Resolve کند.
اگر اجرای دستور ping domain.local یا nslookup domain.local خطا داد،
مشکل از DNS است.
راه‌حل سریع: تنظیم دستی DNS Server روی IP سرور Domain Controller و اجرای:

ipconfig /flushdns
ipconfig /registerdns

---

۴. تغییر در Policyهای امنیتی (GPO Conflict)

آپدیت‌های امنیتی جدید ممکن است برخی Group Policyها را بازنویسی کنند —
به‌خصوص Policyهایی که مربوط به Network Logon، Encryption، یا SMB Signing هستند.
این موضوع می‌تواند باعث رد شدن اعتبار کاربر توسط Domain Controller شود.
راه‌حل سریع: اجرای دستور زیر برای بازسازی Policyها:

gpupdate /force

---

۵. Credential Cache قدیمی در سیستم

اگر ویندوز بعد از آپدیت، هنوز از Credentialهای قدیمی کاربر استفاده کند،
احتمالاً در ورود به Domain خطا خواهد داد. معمولاً در مسیر زیر فایل‌های Credential کش شده‌اند:
Control Panel → Credential Manager → Windows Credentials
راه‌حل سریع: حذف Credentialهای قدیمی و ورود مجدد با حساب کاربری دامنه.

---

“After installing certain Windows updates, devices may lose their trust relationship with the domain due to changes in Kerberos authentication behavior.”
— Microsoft Learn, Windows Release Health (2024)

ترجمه فارسی:
«پس از نصب برخی از به‌روزرسانی‌های ویندوز، ممکن است دستگاه‌ها به دلیل تغییر در نحوه عملکرد احراز هویت Kerberos، ارتباط اعتماد خود با دامنه را از دست بدهند.»
— منبع: learn.microsoft.com/windows/release-health

روش‌های رفع خطا و اتصال مجدد به Domain

بعد از آپدیت ویندوز، معمولاً یکی از تنظیمات مهم شبکه یا سیستم احراز هویت تغییر می‌کند.
بنابراین قبل از انجام هر اقدام پیچیده، بهتر است مراحل زیر را به‌ترتیب اجرا کنید تا اتصال به دامنه (Domain) دوباره برقرار شود.

---

مرحله ۱: بررسی اتصال شبکه و DNS

اول مطمئن شوید سیستم شما به سرور Domain Controller وصل است:

1. کلید Windows + R را بزنید، عبارت cmd را تایپ کنید.
2. در Command Prompt بنویسید: ping yourdomain.local اگر جواب نمی‌دهد، احتمالاً DNS درست تنظیم نشده است.

راه‌حل سریع:
وارد تنظیمات شبکه شوید و آدرس DNS را روی IP سرور دامین (مثلاً 192.168.1.10) تنظیم کنید.
سپس دستور زیر را اجرا کنید:

ipconfig /flushdns
ipconfig /registerdns

---

مرحله ۲: بررسی هماهنگی ساعت سیستم با Domain

اختلاف زمانی بین سیستم و Domain Controller باعث خطای Kerberos می‌شود.

راه‌حل سریع:
در Command Prompt بنویسید:

w32tm /resync

اگر خطا داد:

net stop w32time
w32tm /config /syncfromflags:DOMHIER /update
net start w32time
w32tm /resync

حالا سیستم را دوباره امتحان کنید.

---

مرحله ۳: پاک‌سازی اطلاعات قدیمی احراز هویت (Kerberos Ticket)

ویندوز گاهی از اطلاعات کش‌شده قدیمی استفاده می‌کند و ورود به Domain را مسدود می‌کند.

راه‌حل سریع:

klist purge

سپس سیستم را Log off کنید و دوباره وارد شوید.

---

مرحله ۴: به‌روزرسانی سیاست‌های امنیتی (Group Policy)

اگر تنظیمات امنیتی شرکت تغییر کرده باشد، باید Policy جدید را از Domain بگیرید.

راه‌حل سریع:

gpupdate /force

بعد از اجرای این دستور، چند ثانیه صبر کنید و سیستم را ری‌استارت کنید.

---

مرحله ۵: بررسی و ترمیم ارتباط اعتماد (Trust) با Domain

اگر ویندوز پیام “The trust relationship between this workstation and the primary domain failed” را نشان می‌دهد،
باید ارتباط اعتماد بین سیستم و دامنه را بازسازی کنید.

روش سریع (بدون نیاز به خروج از Domain):
در PowerShell با دسترسی Administrator بنویسید:

Test-ComputerSecureChannel -Repair -Credential domain\admin

به‌جای domain\admin نام کاربری ادمین دامنه خودتان را وارد کنید.

اگر این دستور موفقیت‌آمیز بود، مشکل رفع می‌شود.

---

مرحله ۶: خروج و ورود مجدد به Domain (اگر مراحل قبل جواب نداد)

اگر هنوز خطا باقی مانده است، سیستم را از دامنه خارج کنید و دوباره Join کنید:

1. وارد مسیر زیر شوید:
   Control Panel → System → Advanced system settings → Computer Name → Change
2. گزینه Workgroup را انتخاب کنید و OK بزنید (سیستم ری‌استارت می‌شود).
3. بعد از بالا آمدن، دوباره در همان مسیر، گزینه Domain را انتخاب کنید و نام دامنه را وارد کنید.

نکته:
قبل از این کار، در سرور Domain Controller، کامپیوتر مربوطه را از قسمت
Active Directory Users and Computers → Computers انتخاب و گزینه Reset Account را بزنید.

---

مرحله ۷: بررسی لاگ‌ها برای تشخیص خطا

اگر هنوز اتصال برقرار نشده:

1. وارد Event Viewer → Windows Logs → System شوید.
2. به دنبال خطاهای مربوط به Kerberos، Netlogon یا DNS بگردید.

دستورات مفید برای بررسی:

nltest /dsgetdc:yourdomain.local
nltest /sc_query:yourdomain.local

---

مرحله ۸: نکات پیشگیرانه برای دفعات بعد

• همیشه قبل از نصب آپدیت‌های مهم، از سیستم‌ها Snapshot بگیرید.
• زمان و DNS کلاینت‌ها را با سرور دامین هماهنگ نگه دارید.
• پالیسی‌های امنیتی جدید (GPO) را ابتدا روی یک OU آزمایشی تست کنید.
• از ابزارهای مانیتورینگ شبکه برای بررسی سلامت Domain استفاده کنید.

---

توصیه کارشناسی کامکو:
اگر سازمان شما چند سرور Domain دارد (Multi-DC Environment)، حتماً بررسی کنید که ارتباط بین DCها نیز برقرار باشد، چون گاهی مشکل از Sync بین Domain Controllerهاست، نه از سیستم کاربران.

جدول خلاصه عیب‌یابی سریع

مرحله	علت احتمالی	نشانه‌ها یا خطاها	دستور یا راه‌حل سریع	سطح انجام‌دهنده
1	تنظیمات اشتباه DNS	عدم شناسایی دامنه، خطای “Cannot find domain”	ipconfig /flushdns ipconfig /registerdns	کاربر / پشتیبان شبکه
2	عدم هماهنگی زمان با Domain	خطای Kerberos Authentication Failed	w32tm /resync	کاربر / مدیر شبکه
3	کش احراز هویت (Kerberos Ticket) قدیمی	ورود ناموفق با رمز درست	klist purge سپس Log off / Log on	کاربر
4	Policyهای اعمال‌نشده	خطا در Group Policy یا محدودیت دسترسی	gpupdate /force	کاربر / IT
5	از بین رفتن ارتباط اعتماد (Trust Relationship)	خطای “The trust relationship failed”	Test-ComputerSecureChannel -Repair -Credential domain\admin	مدیر شبکه
6	Credentialهای منقضی یا ناهماهنگ	ورود مکرر ناموفق بدون پیام خاص	حذف Credentialهای قدیمی از مسیر: Control Panel → Credential Manager	کاربر
7	نیاز به خروج و Join مجدد به Domain	هیچ‌یک از مراحل قبلی جواب نداد	خروج از Domain → ورود مجدد با حساب admin	مدیر شبکه
8	Conflict در Group Policy یا Security Policy	خطای Event ID 1058 یا 1097	بررسی با rsop.msc و اعمال مجدد Policy	مدیر IT
9	ناسازگاری نسخه Kerberos یا آپدیت امنیتی	خطای ورود بعد از آپدیت ویندوز	بررسی نسخه آپدیت و اجرای netdom resetpwd	مدیر شبکه
10	مشکل در Sync بین Domain Controllerها	کاربر فقط روی برخی سیستم‌ها نمی‌تواند Login کند	بررسی Replication با repadmin /showrepl	ادمین شبکه

جمع‌بندی

قطع ارتباط سیستم‌ها با شبکه Domain پس از به‌روزرسانی ویندوز یکی از رایج‌ترین مشکلات در سازمان‌هاست؛
مشکلی که معمولاً به دلیل تغییر در تنظیمات DNS، خطا در احراز هویت Kerberos، یا از بین رفتن ارتباط اعتماد (Trust) بین سیستم و Domain Controller ایجاد می‌شود.

با اجرای چند مرحله ساده مانند تنظیم مجدد DNS، همگام‌سازی زمان با سرور دامین، پاک‌سازی Kerberos Ticket و ترمیم Secure Channel می‌توان در بیشتر مواقع، اتصال سیستم به دامنه را بدون نیاز به خروج و ورود مجدد برطرف کرد.

با این حال، در برخی محیط‌های سازمانی که ساختار Active Directory پیچیده‌تر است،
ممکن است لازم باشد تنظیمات Group Policy، Credential Cache و Replication بین Domain Controllerها نیز بررسی شود.

اگر سازمان شما با چنین خطاهایی مواجه است، استفاده از تیم‌های حرفه‌ای پشتیبانی شبکه می‌تواند از بروز اختلال‌های گسترده جلوگیری کند.
تیم فنی کامکو با تجربه بالا در حوزه خدمات شبکه در تهران، آماده پشتیبانی، عیب‌یابی و رفع مشکلات مربوط به Domain، Active Directory و امنیت شبکه سازمانی شماست.