У меня проблема с ПК с Windows 7, который был членом домена. Когда я пытаюсь войти на этот компьютер с учетными данными домена, я получаю сообщение, подобное
The trust relationship between this workstation and the primary domain could not be established.
Теперь мне нужно восстановить членство ПК в домене. Но так как я не могу войти в систему, я не могу изменить ни имя компьютера, ни членство в домене.
- Как я могу доверять ПК и домену?
- Могу ли я добавить или обновить членство с консоли контроллеров домена?
Редактировать :
На компьютере нет активных локальных учетных записей, которые я мог бы использовать для входа в систему.
windows
domain
active-directory
арфист
источник
источник
Ответы:
Этот трюк приходит через мою исследовательскую группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и / или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые функции. Курс повышения квалификации тоже весело.
Время от времени компьютер «выходит из домена». Симптомами могут быть то, что компьютер не может войти в систему при подключении к сети, сообщение о том, что срок действия учетной записи компьютера истек, сертификат домена недействителен и т. Д. Все это происходит из-за одной и той же проблемы, а именно, что безопасный канал между компьютером и домен хранится. (это технический термин. Улыбнитесь)
Классический способ решить эту проблему - присоединиться к домену. Это довольно болезненно, потому что для этого требуется несколько перезагрузок, а профиль пользователя не всегда повторно подключается. Эве. Кроме того, если у вас был этот компьютер в каких-либо группах или ему были назначены определенные разрешения, они пропали, потому что теперь у вашего компьютера новый SID, поэтому AD больше не видит его как ту же машину. Вы должны будете воссоздать все эти вещи из отличной документации, которую вы держали. У тебя отличная документация. Двойная овца
Вместо этого мы можем просто сбросить безопасный канал. Есть несколько способов сделать это:
Затем повторно присоединитесь, не отсоединяя компьютер от домена.
Требуется перезагрузка.
dsmod computer "ComputerDN" -reset
Затем повторно присоедините компьютер, не присоединяя его к домену.
Требуется перезагрузка.
netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
Учетная запись, учетные данные которой вы указали, должна входить в группу локальных администраторов.
Не возвращайся. Нет перезагрузки.
nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Нет присоединиться. Нет перезагрузки.
источник
Перестаньте бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам нужно будет либо войти с включенной локальной учетной записью, либо использовать загрузочный компакт-диск, чтобы включить его.
Попробуйте удалить компьютер из Active Directory - пользователи и компьютеры. Это должно быть в Администрировании на вашем сервере. Откройте подразделение (подразделение), в котором находится компьютер. Найдите компьютер, щелкните по нему правой кнопкой мыши и нажмите «Удалить».
Возможно, не повредит быть терпеливым и просто позволить репликации делать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (без сайтов и только два DC), вы можете использовать
repadmin /replicate
для принудительной репликации. Дайте это прочитать, прежде чем сделать это.Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо форсируйте его.
Если он все еще скулит на вас,
netdom /remove
попробуйте ( man-страница здесь ) и посмотрите, получится ли это с вашего домена. Если у вас есть проблемы с этим, взгляните на этот вопрос . Это другой сценарий, но по сути та же концепция: пытаться удалить компьютер из домена, когда он не может связаться с DC.источник
Возможно, вам придется войти, используя учетные данные, которые являются локальными для этого компьютера. Когда ОС была впервые установлена, была настроена локальная учетная запись.
Войдите в систему с этой учетной записью, используя имя компьютера в качестве домена (например, MYCOMP \ JSmith). Обычно учетная запись администратора локального компьютера присутствует, но по умолчанию отключена.
После того как вы вошли в систему как локальный пользователь, вы сможете выйти и снова присоединиться к домену.
источник
Начиная с Server 2008 R2, задача очень проста. Теперь мы можем использовать
Test-ComputerSecureChannel
командлет.Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
Добавьте
-Repair
параметр для выполнения фактического ремонта; используйте учетные данные для учетной записи, которая авторизована для подключения компьютеров к домену.Ссылка:
https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel
http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined
-- РЕДАКТИРОВАТЬ--
Если для этого нет учетных записей локальных администраторов, вы можете создать их (или включить отключенную встроенную учетную запись администратора) с помощью известного хакера Sticky Keys .
copy C:\Windows\System32\sethc.exe C:\
Это создаст копию sethc.exe для восстановления позже.copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
перезагрузите компьютер и запустите экземпляр Windows, для которого у вас нет пароля администратора.net user [username] [password]
Если вы не знаете свое имя пользователя, просто введитеnet user
список доступных имен пользователей.Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля для существующей учетной записи, введите следующую команду:
net user administrator /active:yes
,Если вы хотите создать новую учетную запись и добавить ее в локальную группу администраторов, последовательность команд :
net user /add [username] [password]
net localgroup administrators [username] /add
источник
$credential = Get-Credential
нажмите Enter , введите пароль при появлении приглашения, затемTest-ComputerSecureChannel -Credential $credential -Repair -Verbose
мы сделали то, что сделали и работали для нас (в основном то, что вы описали, но немного нюансировалось для тех, кому трудно следовать). Отличный трюк на sethc.exe и получение локальной учетной записи администратора снова.Добавлять ПК можно только тогда, когда у вас есть права администратора на ПК и право менять контроллер домена.
Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов выполнения этой задачи является использование установочного DVD и использование консоли восстановления. Это позволяет вам восстановить полный контроль.
источник
Единственное решение, если у вас есть проблема PC / Server Trust (после сброса, воссоздать на DC и т. Д.), Чтобы решить ее без какого-либо восстановления!
Отключите все NICS, чтобы он не мог проверить доверительные отношения с DC входа в систему. Затем войдите в систему, используя ранее зарегистрированную учетную запись домена уровня администратора (должна находиться в локальных группах администраторов ПК), в которую входили ранее, т. Е. Чтобы использовать кэшированные учетные данные. Моя проблема заключалась в том, что я переместил виртуальную машину W7 из prod в тестовую лабораторию и ожидал, что доверие будет нарушено, однако не из-за того, что я не смог войти в систему с локальными учетными записями администратора / пользователя или даже с кэшированными учетными данными «старых доменов».
Отключите работу сетевых карт и кэшированных учетных данных, после чего вы сможете снова присоединиться к домену
netdom join
.Если у вас закончились попытки кэширования учетных данных (зависит от локальной политики ОС / объекта групповой политики - до 50), выполните восстановление системы за предыдущие дни, это тоже будет работать.
источник
Сначала попытайтесь войти в систему с правами администратора (имя компьютера \ администратор), затем присоедините домен к WorkGroup, затем перезагрузите компьютер. Теперь ваш компьютер находится в WorkGrup как локальная учетная запись. Теперь попробуйте снова присоединиться к домену. (Щелкните правой кнопкой мыши Мой компьютер-> Свойства-> Изменить-> Doamin-> Ex Fu-com.com -> Затем он будет в качестве пароля администратора для Сервера, затем введите имя пользователя в качестве администратора и затем пароль. затем перезагрузите компьютер. Теперь ваш компьютер находится в домене, попробуйте войти в систему с вашим именем пользователя и паролем.
источник
Отключите сетевой кабель и войдите на соответствующую рабочую станцию (кэшированные учетные данные позволят это сделать). После этого снова подключите сетевой кабель.
Загрузите пакет средств удаленного администрирования сервера (RSAT) от Microsoft здесь: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (выберите правильную 32-разрядную или 64-разрядную версию в соответствии с к операционной системе рабочей станции, а не к серверу.)
Установите скачанный пакет. У нас были проблемы с этим, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию после настройки чистой загрузки, которую можно отменить после этого процесса.
Установка RSAT автоматически не делает его доступным для использования. Перейдите в Панель управления -> Программы -> Добавить / Удалить компоненты Windows и найдите Инструменты администратора удаленного сервера. Разверните это и перейдите к AD / AS / Command line и включите это.
Откройте командное окно от имени администратора и введите эту команду:
NETDOM.EXE resetpwd / s: (сервер) / ud: (имя пользователя) / pd: *
Где (сервер) - это имя Netbios сервера домена, а (имя пользователя) - учетная запись уязвимой рабочей станции в формате ДОМЕН \ Имя пользователя.
Вот и все. После этого на рабочей станции все нормализовалось.
источник
У меня было такое, и что работало для меня, это войти в систему с учетной записью администратора и повторно добавить в рабочую группу, а затем повторно добавить в домен после этого.
источник
There are no active local accounts on the machine that I could use to logon.
Этот ответ также похож на принятый ответ.Если у вас установлено антивирусное программное обеспечение, выполните следующие действия ...
Пуск ==> выполнить ==> ncpa.cpl ==> нажать Alt+ Nкнопку ==> Расширенные настройки ==> вкладка « Порядок поставщиков» ==> нажать кнопку вверх, чтобы открыть сеть Microsoft Windows .
Сделайте это на клиенте и контроллере домена (DC).
источник