Ponowne dołączanie komputera do domeny

18

Mam problem z komputerem z systemem Windows 7, który był członkiem domeny. Kiedy próbuję zalogować się na tym komputerze przy użyciu poświadczeń domeny, pojawia się komunikat podobny do

The trust relationship between this workstation and the primary domain could not be established.

Teraz muszę przywrócić członkostwo komputera w domenie. Ale ponieważ nie mogę się zalogować, nie mogę zmienić nazwy komputera ani członkostwa w domenie.

  • Jak mogę ponownie zaufać komputerowi i domenie?
  • Czy mogę dodać lub odnowić członkostwo z konsoli kontrolerów domeny?

Edytuj :

Na komputerze nie ma aktywnych kont lokalnych, których mógłbym użyć do zalogowania się.

harfiarka
źródło
Czy masz dostęp do AD UC?
Tanner Faulkner
Dostęp do czego? Zakładam: AD = active directory UC = ?? Ale: Tak, mam prawa administracyjne do domeny.
harper

Odpowiedzi:

9

Ta sztuczka odbywa się za pośrednictwem mojej grupy analitycznej Active Directory. Sugeruję, aby każdy dołączył do grupy użytkowników i / lub grupy analitycznej. Nie chodzi o to, że nie znamy reklam, tylko o to, że zapominamy lub brakuje nam nowych funkcji. Kurs odświeżający jest również zabawny.

Czasami komputer „odłącza się” od domeny. Symptomy mogą być takie, że komputer nie może się zalogować po podłączeniu do sieci, komunikat, że wygasło konto komputera, certyfikat domeny jest nieprawidłowy itp. Wszystkie one wynikają z tego samego problemu i to znaczy, że bezpieczny kanał między komputerem i domena jest zamknięta. (to termin techniczny. Uśmiech)

Klasycznym sposobem rozwiązania tego problemu jest odłączenie i ponowne dołączenie do domeny. Jest to trochę uciążliwe, ponieważ wymaga kilku ponownych uruchomień, a profil użytkownika nie zawsze jest ponownie łączony. Owca. Co więcej, jeśli miałeś ten komputer w dowolnej grupie lub przypisałeś mu określone uprawnienia, to już ich nie ma, ponieważ teraz twój komputer ma nowy identyfikator SID, więc AD nie widzi go już jako tego samego komputera. Będziesz musiał odtworzyć wszystkie te rzeczy z doskonałej dokumentacji, którą przechowujesz. Twoja doskonała dokumentacja. Podwójna owca

Zamiast tego możemy po prostu zresetować bezpieczny kanał. Można to zrobić na kilka sposobów:

  1. W AD kliknij prawym przyciskiem myszy komputer i wybierz Resetuj konto.
    Następnie dołącz ponownie bez odłączania komputera od domeny.
    Wymagany restart.
  2. W wierszu polecenia z podwyższonym poziomem uprawnień: dsmod computer "ComputerDN" -reset
    Następnie przyłącz się ponownie bez odłączania komputera od domeny.
    Wymagany restart.
  3. W wierszu polecenia z podwyższonym poziomem uprawnień: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Konto, którego dane logowania zostały podane, musi należeć do grupy Administratorzy lokalni.
    Nie dołączaj ponownie. Bez ponownego uruchamiania.
  4. W wierszu polecenia z podwyższonym poziomem uprawnień wpisz: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Nie dołączaj ponownie. Bez ponownego uruchamiania.
Ahmed Raza
źródło
6

Przestań walczyć z tym problemem po stronie klienta. Jeśli nie możesz zalogować się do domeny, musisz zalogować się przy użyciu włączonego konta lokalnego lub użyć rozruchowego dysku CD, aby je włączyć.

Spróbuj usunąć urządzenie z użytkowników i komputerów usługi Active Directory. Powinien znajdować się w Narzędziach administracyjnych na twoim serwerze. Otwórz jednostkę organizacyjną (jednostkę organizacyjną), która zawiera komputer. Znajdź komputer, kliknij go prawym przyciskiem myszy i naciśnij klawisz Delete.

wprowadź opis zdjęcia tutaj

Być może cierpienie nie zaszkodzi i po prostu pozwól replikacji zrobić to samo, w zależności od liczby posiadanych kontrolerów domeny. Jeśli Twoja domena jest dość prosta (brak witryn i tylko dwa kontrolery domeny), możesz użyć repadmin /replicatedo wymuszenia replikacji. Przeczytaj to, zanim to zrobisz.

Teraz ponownie dodaj komputer za pomocą AD UC i albo poczekaj na replikację, albo wymuś ją.

Jeśli nadal narzeka na ciebie, netdom /removespróbuj ( strona podręcznika tutaj ) i sprawdź, czy to wpłynie na Twoją domenę. Jeśli masz z tym problem, spójrz na to pytanie . To inny scenariusz, ale zasadniczo ta sama koncepcja: próba usunięcia komputera z domeny, gdy nie może skontaktować się z kontrolerem domeny.

Tanner Faulkner
źródło
1
Spowoduje to usunięcie komputera z domeny, prawda? Jak korzystać z uwierzytelniania domeny, aby zalogować się na komputerze, gdy nie jest on już członkiem domeny? Czy nie mogę dodać go za pomocą ADUC?
harper
Masz rację. Nie piłem jeszcze kawy ...
Tanner Faulkner
4

Może być konieczne zalogowanie się przy użyciu poświadczeń lokalnych dla tego komputera. Podczas pierwszej instalacji systemu operacyjnego skonfigurowane jest konto lokalne.

Zaloguj się przy użyciu tego konta, używając nazwy komputera jako domeny (np. MYCOMP \ JSmith). Zwykle konto administratora komputera lokalnego jest obecne, ale domyślnie wyłączone.

Po zalogowaniu się jako użytkownik lokalny powinieneś móc opuścić domenę i ponownie do niej dołączyć.

Rich G.
źródło
Opuszczenie i ponowne wejście do domeny jest preferowaną poprawką. Czasami jednak po prostu nie działa i musisz zmienić nazwę komputera, jeśli Active Directory nie zrozumie zmiany z jakiegokolwiek powodu.
Lee Harrison
4

Począwszy od wersji Server 2008 R2, zadanie jest bardzo proste. Możemy teraz użyć polecenia Test-ComputerSecureChannelcmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Zrzut ekranu

Dodaj -Repairparametr, aby wykonać rzeczywistą naprawę; użyj poświadczeń dla konta, które jest upoważnione do dołączania komputerów do domeny.

Odniesienie:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- EDYTOWAĆ--

Jeśli nie ma konta dowolny lokalny administrator może użyć do tego, można utworzyć jedną (lub włączyć niepełnosprawnych wbudowanego konta administratora) ze znanego Lepkie klawisze hack.

Aby zresetować zapomniane hasło administratora, wykonaj następujące kroki: ^

  1. Uruchom z Windows PE lub Windows RE i uzyskaj dostęp do wiersza polecenia.
  2. Znajdź literę dysku partycji, na której jest zainstalowany system Windows. W systemie Vista i Windows XP jest to zwykle C :, w Windows 7, w większości przypadków jest to D: ponieważ pierwsza partycja zawiera narzędzie do naprawy systemu podczas uruchamiania. Aby znaleźć literę dysku, wpisz odpowiednio C: (lub D:) i wyszukaj folder Windows. Zauważ, że Windows PE (RE) zwykle znajduje się na X :. Na potrzeby tej demonstracji założymy, że system Windows jest zainstalowany na dysku C:
  3. Wpisz następujące polecenie: copy C:\Windows\System32\sethc.exe C:\Spowoduje to utworzenie kopii pliku sethc.exe w celu przywrócenia później.
  4. Wpisz to polecenie, aby zastąpić sethc.exe programem cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeUruchom ponownie komputer i uruchom instancję Windows, dla której nie masz hasła administratora.
  5. Po wyświetleniu ekranu logowania naciśnij klawisz SHIFT pięć razy.
  6. Powinien zostać wyświetlony wiersz polecenia, w którym można wprowadzić następujące polecenie, aby zresetować hasło systemu Windows: net user [username] [password] Jeśli nie znasz swojej nazwy użytkownika, po prostu wpisz net userlistę dostępnych nazw użytkowników.
  7. Możesz teraz zalogować się przy użyciu nowego hasła.

Jeśli chcesz włączyć domyślnie wyłączone wbudowane konto administratora zamiast resetować hasło do istniejącego konta, polecenie:

  1. net user administrator /active:yes.

Jeśli chcesz utworzyć nowe konto i dodać je do lokalnej grupy Administratorzy, sekwencja poleceń to:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
źródło
Doskonałe źródło informacji tutaj! $credential = Get-Credential, naciśnij Enter , wpisz hasło w odpowiedzi na monit, a następnie Test-ComputerSecureChannel -Credential $credential -Repair -Verboseto, co zrobiliśmy i pracowaliśmy dla nas (w zasadzie to, co opisałeś, ale nieco dopracowane dla tych, którzy mogą mieć trudności z przestrzeganiem). Świetna sztuczka na sethc.exe i ponowne zdobycie lokalnego konta administratora.
vapcguy
1
@vapcguy - Przez te wszystkie lata i nadal tego nie naprawili. To trochę niepokojące, biorąc pod uwagę, że instalacja systemu Windows może być łatwo skompromitowana.
InteXX,
InteXX - Tak, ale miło jest, gdy stracisz hasło do lokalnego konta administratora, ale nigdy go nie otrzymujesz, ponieważ odchodzący kontrahenci chcą być @ # &% !, lol
vapcguy
1
Każdy miecz ma dwie krawędzie :-)
InteXX
2

Dodanie komputera jest możliwe tylko wtedy, gdy masz uprawnienia administratora na komputerze i prawo do zmiany kontrolera domeny.

Dlatego konieczne jest zresetowanie hasła administratora na komputerze. Jednym ze sposobów wykonania tego zadania jest użycie instalacyjnego dysku DVD i użycie konsoli naprawczej. Pozwala to odzyskać pełną kontrolę.

harfiarka
źródło
1

Jedyne rozwiązanie, jeśli masz problem z zaufaniem do komputera / serwera (po zresetowaniu, ponownie utwórz na DC itp.), Aby rozwiązać problem bez przywracania!

Wyłącz wszystkie NICS, aby nie mógł zweryfikować relacji zaufania z logowaniem DC. Następnie zaloguj się przy użyciu wcześniej zalogowanego konta domeny na poziomie administratora (musi znajdować się w lokalnych grupach administratorów komputerów), które było wcześniej zalogowane, tj. W celu wykorzystania buforowanych danych uwierzytelniających. Mój problem polegał na tym, że przeniosłem maszynę wirtualną W7 z prod do laboratorium testowego i spodziewałem się, że zaufanie zostanie zerwane, ale nie że nie byłem w stanie zalogować się na lokalnych kontach administratora / użytkowników, a nawet przy użyciu buforowanych poświadczeń „starych domen”.

Wyłącz karty sieciowe i poświadczenia zapisane w pamięci podręcznej, a następnie możesz ponownie dołączyć do domeny za pomocą netdom join.

Jeśli zabraknie prób buforowania poświadczeń (zależy od lokalnych zasad systemu operacyjnego / obiektu zasad grupy - do 50), przywróć system do poprzednich dni, to również zadziała.

reg one
źródło
0

Najpierw spróbuj zalogować się przy użyciu Administratora (nazwa komputera \ Administrator), następnie odłącz domenę od WorkGroup, a następnie uruchom ponownie. Teraz komputer jest w WorkGrup jako konto lokalne. Teraz spróbuj ponownie dołączyć do domeny. (Kliknij prawym przyciskiem myszy Mój komputer-> Właściwość-> Zmień-> Doamin-> Ex Fu-com.com -> Będzie to jako hasło administratora serwera, następnie wpisz nazwę użytkownika jako administrator, a następnie hasło. następnie uruchom ponownie komputer. Teraz komputer jest w domenie, spróbuj zalogować się za pomocą identyfikatora użytkownika i hasła.

Ahmed Raza
źródło
1
Przeczytaj przed wysłaniem. Ostatnie zdanie (po edycji ) pokazuje, że nie mogę korzystać z kont lokalnych.
harper
0
  1. Odłącz kabel sieciowy i zaloguj się do stacji roboczej, której dotyczy problem (pozwolą na to buforowane poświadczenia). Po wykonaniu tej czynności podłącz ponownie kabel sieciowy.

  2. Pobierz pakiet narzędzi administracji zdalnej serwera (RSAT) z firmy Microsoft tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (wybierz odpowiednią wersję 32-bitową lub 64-bitową zgodnie z do systemu operacyjnego stacji roboczej, a nie serwera).

  3. Zainstaluj pobrany pakiet. Mieliśmy z tym problem, dopóki nie użyliśmy trybu czystego rozruchu, więc może być konieczne zrestartowanie stacji roboczej po skonfigurowaniu czystego rozruchu, które można cofnąć po tym procesie.

  4. Zainstalowanie RSAT nie powoduje automatycznego udostępnienia. Przejdź do Panelu sterowania -> Programy -> Dodaj / Usuń funkcje systemu Windows i poszukaj Narzędzi administratora serwera zdalnego. Rozwiń to i przejdź do wiersza poleceń AD / AS / i włącz to.

  5. Otwórz okno poleceń jako Administrator i wprowadź to polecenie:

NETDOM.EXE resetpwd / s: (serwer) / ud: (nazwa użytkownika) / pd: *

Gdzie (serwer) to nazwa Netbios serwera domeny, a (nazwa użytkownika) jest kontem logowania danej stacji roboczej w formacie DOMENA \ Nazwa użytkownika

Otóż ​​to. Po wykonaniu tej czynności wszystko wróciło do normy na stacji roboczej.

użytkownik473120
źródło
-3

Zdarzyło mi się tak i dla mnie zadziałało zalogowanie się na konto administratora i ponowne dodanie do grupy roboczej, a następnie ponowne dodanie do domeny.

Chris
źródło
There are no active local accounts on the machine that I could use to logon.Ta odpowiedź jest również podobna do odpowiedzi zaakceptowanej.
Rsya Studios
-3

Jeśli masz zainstalowane oprogramowanie antywirusowe, wykonaj następujące czynności ...

Start ==> uruchom ==> ncpa.cpl ==> naciśnij przycisk Alt+ N==> Ustawienia zaawansowane ==> karta Zamówienie dostawcy ==> naciśnij przycisk w górę, aby uzyskać Microsoft Windows Network na szczycie.

Zrób to na kliencie i kontrolerze domeny (DC).

khalid khan
źródło
4
Dlaczego? Jak to naprawia relację zaufania między klientem a kontrolerem domeny?
CVn