Повторное присоединение компьютера к домену

18

У меня проблема с ПК с Windows 7, который был членом домена. Когда я пытаюсь войти на этот компьютер с учетными данными домена, я получаю сообщение, подобное

The trust relationship between this workstation and the primary domain could not be established.

Теперь мне нужно восстановить членство ПК в домене. Но так как я не могу войти в систему, я не могу изменить ни имя компьютера, ни членство в домене.

  • Как я могу доверять ПК и домену?
  • Могу ли я добавить или обновить членство с консоли контроллеров домена?

Редактировать :

На компьютере нет активных локальных учетных записей, которые я мог бы использовать для входа в систему.

арфист
источник
Есть ли у вас доступ к AD UC?
Таннер Фолкнер,
Доступ к чему? Я предполагаю: AD = активный каталог UC = ?? Но: да, у меня есть административные права на домен.
Harper

Ответы:

9

Этот трюк приходит через мою исследовательскую группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и / или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые функции. Курс повышения квалификации тоже весело.

Время от времени компьютер «выходит из домена». Симптомами могут быть то, что компьютер не может войти в систему при подключении к сети, сообщение о том, что срок действия учетной записи компьютера истек, сертификат домена недействителен и т. Д. Все это происходит из-за одной и той же проблемы, а именно, что безопасный канал между компьютером и домен хранится. (это технический термин. Улыбнитесь)

Классический способ решить эту проблему - присоединиться к домену. Это довольно болезненно, потому что для этого требуется несколько перезагрузок, а профиль пользователя не всегда повторно подключается. Эве. Кроме того, если у вас был этот компьютер в каких-либо группах или ему были назначены определенные разрешения, они пропали, потому что теперь у вашего компьютера новый SID, поэтому AD больше не видит его как ту же машину. Вы должны будете воссоздать все эти вещи из отличной документации, которую вы держали. У тебя отличная документация. Двойная овца

Вместо этого мы можем просто сбросить безопасный канал. Есть несколько способов сделать это:

  1. В AD щелкните правой кнопкой мыши компьютер и выберите «Сбросить учетную запись».
    Затем повторно присоединитесь, не отсоединяя компьютер от домена.
    Требуется перезагрузка.
  2. В командной строке с повышенными правами введите: dsmod computer "ComputerDN" -reset
    Затем повторно присоедините компьютер, не присоединяя его к домену.
    Требуется перезагрузка.
  3. В командной строке с повышенными привилегиями введите: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Учетная запись, учетные данные которой вы указали, должна входить в группу локальных администраторов.
    Не возвращайся. Нет перезагрузки.
  4. В командной строке поднятия введите: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Нет присоединиться. Нет перезагрузки.
Ахмед Раза
источник
6

Перестаньте бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам нужно будет либо войти с включенной локальной учетной записью, либо использовать загрузочный компакт-диск, чтобы включить его.

Попробуйте удалить компьютер из Active Directory - пользователи и компьютеры. Это должно быть в Администрировании на вашем сервере. Откройте подразделение (подразделение), в котором находится компьютер. Найдите компьютер, щелкните по нему правой кнопкой мыши и нажмите «Удалить».

введите описание изображения здесь

Возможно, не повредит быть терпеливым и просто позволить репликации делать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (без сайтов и только два DC), вы можете использовать repadmin /replicateдля принудительной репликации. Дайте это прочитать, прежде чем сделать это.

Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо форсируйте его.

Если он все еще скулит на вас, netdom /removeпопробуйте ( man-страница здесь ) и посмотрите, получится ли это с вашего домена. Если у вас есть проблемы с этим, взгляните на этот вопрос . Это другой сценарий, но по сути та же концепция: пытаться удалить компьютер из домена, когда он не может связаться с DC.

Таннер Фолкнер
источник
1
Это удалит компьютер из домена, не так ли? Как использовать аутентификацию домена для входа на ПК, когда он больше не является членом домена? Я не могу добавить это с ADUC?
Арфист
Ты прав. У меня еще не было кофе ...
Таннер Фолкнер,
4

Возможно, вам придется войти, используя учетные данные, которые являются локальными для этого компьютера. Когда ОС была впервые установлена, была настроена локальная учетная запись.

Войдите в систему с этой учетной записью, используя имя компьютера в качестве домена (например, MYCOMP \ JSmith). Обычно учетная запись администратора локального компьютера присутствует, но по умолчанию отключена.

После того как вы вошли в систему как локальный пользователь, вы сможете выйти и снова присоединиться к домену.

Rich G
источник
Выход и повторный вход в домен является предпочтительным решением этой проблемы. Однако иногда это просто не работает, и вам также необходимо изменить имя компьютера, если Active Directory по каким-либо причинам не понимает это изменение.
Ли Харрисон
4

Начиная с Server 2008 R2, задача очень проста. Теперь мы можем использовать Test-ComputerSecureChannelкомандлет.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Скриншот

Добавьте -Repairпараметр для выполнения фактического ремонта; используйте учетные данные для учетной записи, которая авторизована для подключения компьютеров к домену.

Ссылка:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- РЕДАКТИРОВАТЬ--

Если для этого нет учетных записей локальных администраторов, вы можете создать их (или включить отключенную встроенную учетную запись администратора) с помощью известного хакера Sticky Keys .

Чтобы сбросить забытый пароль администратора, выполните следующие действия: ^

  1. Загрузитесь с Windows PE или Windows RE и получите доступ к командной строке.
  2. Найдите букву диска раздела, где установлена ​​Windows. В Vista и Windows XP обычно это C :, в Windows 7 это D: в большинстве случаев, потому что первый раздел содержит Восстановление запуска. Чтобы найти букву диска, введите C: (или D: соответственно) и найдите папку Windows. Обратите внимание, что Windows PE (RE) обычно находится в X :. В целях этой демонстрации мы будем предполагать, что Windows установлена ​​на диске C:
  3. Введите следующую команду: copy C:\Windows\System32\sethc.exe C:\Это создаст копию sethc.exe для восстановления позже.
  4. Введите эту команду, чтобы заменить sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeперезагрузите компьютер и запустите экземпляр Windows, для которого у вас нет пароля администратора.
  5. После того, как вы увидите экран входа в систему, нажмите клавишу SHIFT пять раз.
  6. Вы должны увидеть командную строку, в которой вы можете ввести следующую команду для сброса пароля Windows: net user [username] [password] Если вы не знаете свое имя пользователя, просто введите net userсписок доступных имен пользователей.
  7. Теперь вы можете войти с новым паролем.

Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля для существующей учетной записи, введите следующую команду:

  1. net user administrator /active:yes,

Если вы хотите создать новую учетную запись и добавить ее в локальную группу администраторов, последовательность команд :

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
источник
Отличный источник информации здесь! $credential = Get-Credentialнажмите Enter , введите пароль при появлении приглашения, затем Test-ComputerSecureChannel -Credential $credential -Repair -Verboseмы сделали то, что сделали и работали для нас (в основном то, что вы описали, но немного нюансировалось для тех, кому трудно следовать). Отличный трюк на sethc.exe и получение локальной учетной записи администратора снова.
vapcguy
1
@vapcguy - Все эти годы, и они до сих пор не исправили это. Это немного сбивает с толку, зная, что установка Windows может быть легко взломана.
InteXX
InteXX - Да, но приятно, когда вы теряете пароль для учетной записи локального администратора - или никогда не получаете его, потому что уходящие подрядчики хотят быть @ # &% !, lol
vapcguy
1
Каждый меч имеет два ребра :-)
InteXX
2

Добавлять ПК можно только тогда, когда у вас есть права администратора на ПК и право менять контроллер домена.

Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов выполнения этой задачи является использование установочного DVD и использование консоли восстановления. Это позволяет вам восстановить полный контроль.

арфист
источник
1

Единственное решение, если у вас есть проблема PC / Server Trust (после сброса, воссоздать на DC и т. Д.), Чтобы решить ее без какого-либо восстановления!

Отключите все NICS, чтобы он не мог проверить доверительные отношения с DC входа в систему. Затем войдите в систему, используя ранее зарегистрированную учетную запись домена уровня администратора (должна находиться в локальных группах администраторов ПК), в которую входили ранее, т. Е. Чтобы использовать кэшированные учетные данные. Моя проблема заключалась в том, что я переместил виртуальную машину W7 из prod в тестовую лабораторию и ожидал, что доверие будет нарушено, однако не из-за того, что я не смог войти в систему с локальными учетными записями администратора / пользователя или даже с кэшированными учетными данными «старых доменов».

Отключите работу сетевых карт и кэшированных учетных данных, после чего вы сможете снова присоединиться к домену netdom join.

Если у вас закончились попытки кэширования учетных данных (зависит от локальной политики ОС / объекта групповой политики - до 50), выполните восстановление системы за предыдущие дни, это тоже будет работать.

рег один
источник
0

Сначала попытайтесь войти в систему с правами администратора (имя компьютера \ администратор), затем присоедините домен к WorkGroup, затем перезагрузите компьютер. Теперь ваш компьютер находится в WorkGrup как локальная учетная запись. Теперь попробуйте снова присоединиться к домену. (Щелкните правой кнопкой мыши Мой компьютер-> Свойства-> Изменить-> Doamin-> Ex Fu-com.com -> Затем он будет в качестве пароля администратора для Сервера, затем введите имя пользователя в качестве администратора и затем пароль. затем перезагрузите компьютер. Теперь ваш компьютер находится в домене, попробуйте войти в систему с вашим именем пользователя и паролем.

Ахмед Раза
источник
1
Пожалуйста, прочитайте перед публикацией. Последнее предложение (после редактирования ) показывает, что я не могу использовать локальные учетные записи.
Харпер
0
  1. Отключите сетевой кабель и войдите на соответствующую рабочую станцию ​​(кэшированные учетные данные позволят это сделать). После этого снова подключите сетевой кабель.

  2. Загрузите пакет средств удаленного администрирования сервера (RSAT) от Microsoft здесь: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (выберите правильную 32-разрядную или 64-разрядную версию в соответствии с к операционной системе рабочей станции, а не к серверу.)

  3. Установите скачанный пакет. У нас были проблемы с этим, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию ​​после настройки чистой загрузки, которую можно отменить после этого процесса.

  4. Установка RSAT автоматически не делает его доступным для использования. Перейдите в Панель управления -> Программы -> Добавить / Удалить компоненты Windows и найдите Инструменты администратора удаленного сервера. Разверните это и перейдите к AD / AS / Command line и включите это.

  5. Откройте командное окно от имени администратора и введите эту команду:

NETDOM.EXE resetpwd / s: (сервер) / ud: (имя пользователя) / pd: *

Где (сервер) - это имя Netbios сервера домена, а (имя пользователя) - учетная запись уязвимой рабочей станции в формате ДОМЕН \ Имя пользователя.

Вот и все. После этого на рабочей станции все нормализовалось.

user473120
источник
-3

У меня было такое, и что работало для меня, это войти в систему с учетной записью администратора и повторно добавить в рабочую группу, а затем повторно добавить в домен после этого.

Крис
источник
There are no active local accounts on the machine that I could use to logon.Этот ответ также похож на принятый ответ.
Студия Rsya
-3

Если у вас установлено антивирусное программное обеспечение, выполните следующие действия ...

Пуск ==> выполнить ==> ncpa.cpl ==> нажать Alt+ Nкнопку ==> Расширенные настройки ==> вкладка « Порядок поставщиков» ==> нажать кнопку вверх, чтобы открыть сеть Microsoft Windows .

Сделайте это на клиенте и контроллере домена (DC).

халид хан
источник
4
Почему? Как это исправляет доверительные отношения между клиентом и контроллером домена?
CVn