Mam problem z komputerem z systemem Windows 7, który był członkiem domeny. Kiedy próbuję zalogować się na tym komputerze przy użyciu poświadczeń domeny, pojawia się komunikat podobny do
The trust relationship between this workstation and the primary domain could not be established.
Teraz muszę przywrócić członkostwo komputera w domenie. Ale ponieważ nie mogę się zalogować, nie mogę zmienić nazwy komputera ani członkostwa w domenie.
- Jak mogę ponownie zaufać komputerowi i domenie?
- Czy mogę dodać lub odnowić członkostwo z konsoli kontrolerów domeny?
Edytuj :
Na komputerze nie ma aktywnych kont lokalnych, których mógłbym użyć do zalogowania się.
windows
domain
active-directory
harfiarka
źródło
źródło
Odpowiedzi:
Ta sztuczka odbywa się za pośrednictwem mojej grupy analitycznej Active Directory. Sugeruję, aby każdy dołączył do grupy użytkowników i / lub grupy analitycznej. Nie chodzi o to, że nie znamy reklam, tylko o to, że zapominamy lub brakuje nam nowych funkcji. Kurs odświeżający jest również zabawny.
Czasami komputer „odłącza się” od domeny. Symptomy mogą być takie, że komputer nie może się zalogować po podłączeniu do sieci, komunikat, że wygasło konto komputera, certyfikat domeny jest nieprawidłowy itp. Wszystkie one wynikają z tego samego problemu i to znaczy, że bezpieczny kanał między komputerem i domena jest zamknięta. (to termin techniczny. Uśmiech)
Klasycznym sposobem rozwiązania tego problemu jest odłączenie i ponowne dołączenie do domeny. Jest to trochę uciążliwe, ponieważ wymaga kilku ponownych uruchomień, a profil użytkownika nie zawsze jest ponownie łączony. Owca. Co więcej, jeśli miałeś ten komputer w dowolnej grupie lub przypisałeś mu określone uprawnienia, to już ich nie ma, ponieważ teraz twój komputer ma nowy identyfikator SID, więc AD nie widzi go już jako tego samego komputera. Będziesz musiał odtworzyć wszystkie te rzeczy z doskonałej dokumentacji, którą przechowujesz. Twoja doskonała dokumentacja. Podwójna owca
Zamiast tego możemy po prostu zresetować bezpieczny kanał. Można to zrobić na kilka sposobów:
Następnie dołącz ponownie bez odłączania komputera od domeny.
Wymagany restart.
dsmod computer "ComputerDN" -reset
Następnie przyłącz się ponownie bez odłączania komputera od domeny.
Wymagany restart.
netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
Konto, którego dane logowania zostały podane, musi należeć do grupy Administratorzy lokalni.
Nie dołączaj ponownie. Bez ponownego uruchamiania.
nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Nie dołączaj ponownie. Bez ponownego uruchamiania.
źródło
Przestań walczyć z tym problemem po stronie klienta. Jeśli nie możesz zalogować się do domeny, musisz zalogować się przy użyciu włączonego konta lokalnego lub użyć rozruchowego dysku CD, aby je włączyć.
Spróbuj usunąć urządzenie z użytkowników i komputerów usługi Active Directory. Powinien znajdować się w Narzędziach administracyjnych na twoim serwerze. Otwórz jednostkę organizacyjną (jednostkę organizacyjną), która zawiera komputer. Znajdź komputer, kliknij go prawym przyciskiem myszy i naciśnij klawisz Delete.
Być może cierpienie nie zaszkodzi i po prostu pozwól replikacji zrobić to samo, w zależności od liczby posiadanych kontrolerów domeny. Jeśli Twoja domena jest dość prosta (brak witryn i tylko dwa kontrolery domeny), możesz użyć
repadmin /replicate
do wymuszenia replikacji. Przeczytaj to, zanim to zrobisz.Teraz ponownie dodaj komputer za pomocą AD UC i albo poczekaj na replikację, albo wymuś ją.
Jeśli nadal narzeka na ciebie,
netdom /remove
spróbuj ( strona podręcznika tutaj ) i sprawdź, czy to wpłynie na Twoją domenę. Jeśli masz z tym problem, spójrz na to pytanie . To inny scenariusz, ale zasadniczo ta sama koncepcja: próba usunięcia komputera z domeny, gdy nie może skontaktować się z kontrolerem domeny.źródło
Może być konieczne zalogowanie się przy użyciu poświadczeń lokalnych dla tego komputera. Podczas pierwszej instalacji systemu operacyjnego skonfigurowane jest konto lokalne.
Zaloguj się przy użyciu tego konta, używając nazwy komputera jako domeny (np. MYCOMP \ JSmith). Zwykle konto administratora komputera lokalnego jest obecne, ale domyślnie wyłączone.
Po zalogowaniu się jako użytkownik lokalny powinieneś móc opuścić domenę i ponownie do niej dołączyć.
źródło
Począwszy od wersji Server 2008 R2, zadanie jest bardzo proste. Możemy teraz użyć polecenia
Test-ComputerSecureChannel
cmdlet.Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
Dodaj
-Repair
parametr, aby wykonać rzeczywistą naprawę; użyj poświadczeń dla konta, które jest upoważnione do dołączania komputerów do domeny.Odniesienie:
https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel
http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined
-- EDYTOWAĆ--
Jeśli nie ma konta dowolny lokalny administrator może użyć do tego, można utworzyć jedną (lub włączyć niepełnosprawnych wbudowanego konta administratora) ze znanego Lepkie klawisze hack.
copy C:\Windows\System32\sethc.exe C:\
Spowoduje to utworzenie kopii pliku sethc.exe w celu przywrócenia później.copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
Uruchom ponownie komputer i uruchom instancję Windows, dla której nie masz hasła administratora.net user [username] [password]
Jeśli nie znasz swojej nazwy użytkownika, po prostu wpisznet user
listę dostępnych nazw użytkowników.Jeśli chcesz włączyć domyślnie wyłączone wbudowane konto administratora zamiast resetować hasło do istniejącego konta, polecenie:
net user administrator /active:yes
.Jeśli chcesz utworzyć nowe konto i dodać je do lokalnej grupy Administratorzy, sekwencja poleceń to:
net user /add [username] [password]
net localgroup administrators [username] /add
źródło
$credential = Get-Credential
, naciśnij Enter , wpisz hasło w odpowiedzi na monit, a następnieTest-ComputerSecureChannel -Credential $credential -Repair -Verbose
to, co zrobiliśmy i pracowaliśmy dla nas (w zasadzie to, co opisałeś, ale nieco dopracowane dla tych, którzy mogą mieć trudności z przestrzeganiem). Świetna sztuczka na sethc.exe i ponowne zdobycie lokalnego konta administratora.Dodanie komputera jest możliwe tylko wtedy, gdy masz uprawnienia administratora na komputerze i prawo do zmiany kontrolera domeny.
Dlatego konieczne jest zresetowanie hasła administratora na komputerze. Jednym ze sposobów wykonania tego zadania jest użycie instalacyjnego dysku DVD i użycie konsoli naprawczej. Pozwala to odzyskać pełną kontrolę.
źródło
Jedyne rozwiązanie, jeśli masz problem z zaufaniem do komputera / serwera (po zresetowaniu, ponownie utwórz na DC itp.), Aby rozwiązać problem bez przywracania!
Wyłącz wszystkie NICS, aby nie mógł zweryfikować relacji zaufania z logowaniem DC. Następnie zaloguj się przy użyciu wcześniej zalogowanego konta domeny na poziomie administratora (musi znajdować się w lokalnych grupach administratorów komputerów), które było wcześniej zalogowane, tj. W celu wykorzystania buforowanych danych uwierzytelniających. Mój problem polegał na tym, że przeniosłem maszynę wirtualną W7 z prod do laboratorium testowego i spodziewałem się, że zaufanie zostanie zerwane, ale nie że nie byłem w stanie zalogować się na lokalnych kontach administratora / użytkowników, a nawet przy użyciu buforowanych poświadczeń „starych domen”.
Wyłącz karty sieciowe i poświadczenia zapisane w pamięci podręcznej, a następnie możesz ponownie dołączyć do domeny za pomocą
netdom join
.Jeśli zabraknie prób buforowania poświadczeń (zależy od lokalnych zasad systemu operacyjnego / obiektu zasad grupy - do 50), przywróć system do poprzednich dni, to również zadziała.
źródło
Najpierw spróbuj zalogować się przy użyciu Administratora (nazwa komputera \ Administrator), następnie odłącz domenę od WorkGroup, a następnie uruchom ponownie. Teraz komputer jest w WorkGrup jako konto lokalne. Teraz spróbuj ponownie dołączyć do domeny. (Kliknij prawym przyciskiem myszy Mój komputer-> Właściwość-> Zmień-> Doamin-> Ex Fu-com.com -> Będzie to jako hasło administratora serwera, następnie wpisz nazwę użytkownika jako administrator, a następnie hasło. następnie uruchom ponownie komputer. Teraz komputer jest w domenie, spróbuj zalogować się za pomocą identyfikatora użytkownika i hasła.
źródło
Odłącz kabel sieciowy i zaloguj się do stacji roboczej, której dotyczy problem (pozwolą na to buforowane poświadczenia). Po wykonaniu tej czynności podłącz ponownie kabel sieciowy.
Pobierz pakiet narzędzi administracji zdalnej serwera (RSAT) z firmy Microsoft tutaj: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (wybierz odpowiednią wersję 32-bitową lub 64-bitową zgodnie z do systemu operacyjnego stacji roboczej, a nie serwera).
Zainstaluj pobrany pakiet. Mieliśmy z tym problem, dopóki nie użyliśmy trybu czystego rozruchu, więc może być konieczne zrestartowanie stacji roboczej po skonfigurowaniu czystego rozruchu, które można cofnąć po tym procesie.
Zainstalowanie RSAT nie powoduje automatycznego udostępnienia. Przejdź do Panelu sterowania -> Programy -> Dodaj / Usuń funkcje systemu Windows i poszukaj Narzędzi administratora serwera zdalnego. Rozwiń to i przejdź do wiersza poleceń AD / AS / i włącz to.
Otwórz okno poleceń jako Administrator i wprowadź to polecenie:
NETDOM.EXE resetpwd / s: (serwer) / ud: (nazwa użytkownika) / pd: *
Gdzie (serwer) to nazwa Netbios serwera domeny, a (nazwa użytkownika) jest kontem logowania danej stacji roboczej w formacie DOMENA \ Nazwa użytkownika
Otóż to. Po wykonaniu tej czynności wszystko wróciło do normy na stacji roboczej.
źródło
Zdarzyło mi się tak i dla mnie zadziałało zalogowanie się na konto administratora i ponowne dodanie do grupy roboczej, a następnie ponowne dodanie do domeny.
źródło
There are no active local accounts on the machine that I could use to logon.
Ta odpowiedź jest również podobna do odpowiedzi zaakceptowanej.Jeśli masz zainstalowane oprogramowanie antywirusowe, wykonaj następujące czynności ...
Start ==> uruchom ==> ncpa.cpl ==> naciśnij przycisk Alt+ N==> Ustawienia zaawansowane ==> karta Zamówienie dostawcy ==> naciśnij przycisk w górę, aby uzyskać Microsoft Windows Network na szczycie.
Zrób to na kliencie i kontrolerze domeny (DC).
źródło