14

У меня проблема с ПК с Windows 7, который был членом домена. Когда я пытаюсь войти на этот компьютер с учетными данными домена, я получаю сообщение, подобное

The trust relationship between this workstation and the primary domain could not be established.

Теперь мне нужно восстановить членство ПК в домене. Но так как я не могу войти в систему, я не могу изменить ни имя компьютера, ни членство в домене.

  • Как я могу доверять ПК и домену?
  • Могу ли я добавить или обновить членство с консоли контроллеров домена?

Редактировать:

На компьютере нет активных локальных учетных записей, которые я мог бы использовать для входа в систему.

10 ответов10

6

Этот трюк приходит через мою исследовательскую группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и / или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые функции. Курс повышения квалификации тоже весело.

Время от времени компьютер «выходит из домена». Симптомами могут быть то, что компьютер не может войти в систему при подключении к сети, сообщение об истечении срока действия учетной записи компьютера, недействительный сертификат домена и т.д. Все это происходит из-за одной и той же проблемы, а именно в том, что защищенный канал между компьютером и домен хранится. (это технический термин. Улыбка )

Классический способ решить эту проблему - присоединиться и присоединиться к домену. Это немного болезненно, потому что требуется пара перезагрузок, а профиль пользователя не всегда повторно подключается. Эве. Кроме того, если у вас был этот компьютер в каких-либо группах или ему были назначены определенные разрешения, они пропали, потому что теперь у вашего компьютера новый SID, поэтому AD больше не видит его как тот же компьютер. Вы должны будете воссоздать все эти вещи из отличной документации, которую вы держали. У тебя отличная документация. Двойная овца

Вместо этого мы можем просто сбросить безопасный канал. Есть несколько способов сделать это:

  1. В AD щелкните правой кнопкой мыши компьютер и выберите "Сбросить учетную запись".
    Затем повторно присоединитесь, не отсоединяя компьютер от домена.
    Требуется перезагрузка.
  2. В командной строке с повышенными правами введите: dsmod computer "ComputerDN" -reset
    Затем повторно присоединитесь, не отсоединяя компьютер от домена.
    Требуется перезагрузка.
  3. В командной строке с повышенными привилегиями введите: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Учетная запись, чьи учетные данные вы указали, должна входить в группу локальных администраторов.
    Не возвращайся. Нет перезагрузки.
  4. В командной строке повышенного уровня введите: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Не возвращайся. Нет перезагрузки.
5

Прекратите бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам нужно будет либо войти с включенной локальной учетной записью, либо использовать загрузочный компакт-диск, чтобы включить его.

Попробуйте удалить компьютер из Active Directory - пользователи и компьютеры. Это должно быть в Администрировании на вашем сервере. Откройте подразделение (подразделение), в котором находится компьютер. Найдите компьютер, щелкните по нему правой кнопкой мыши и нажмите «Удалить».

Возможно, не повредит быть терпеливым и просто позволить репликации делать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (без сайтов и только два DC), вы можете использовать repadmin /replicate для принудительной репликации. Дайте это прочитать, прежде чем сделать это.

Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо форсируйте его.

Если он все еще скулит на вас, попробуйте netdom /remove (страница man здесь) и посмотрите, удалит ли это ваш домен. Если у вас есть проблемы с этим, взгляните на этот вопрос. Это другой сценарий, но по сути та же концепция: пытаться удалить компьютер из домена, когда он не может связаться с DC.

3

Возможно, вам придется войти в систему, используя учетные данные, которые являются локальными для этого компьютера. Когда ОС была впервые установлена, была настроена локальная учетная запись.

Войдите в систему с этой учетной записью, используя имя компьютера в качестве домена (например, MYCOMP\JSmith). Обычно учетная запись администратора локального компьютера присутствует, но по умолчанию отключена.

После того как вы вошли в систему как локальный пользователь, вы сможете выйти и снова присоединиться к домену.

3

Начиная с Server 2008 R2, задача очень проста. Теперь мы можем использовать командлет Test-ComputerSecureChannel .

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Скриншот

Добавьте параметр -Repair для выполнения фактического ремонта; используйте учетные данные для учетной записи, которая авторизована для подключения компьютеров к домену.

Ссылка:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- РЕДАКТИРОВАТЬ--

Если для этого нет учетных записей локальных администраторов, вы можете создать их (или включить отключенную встроенную учетную запись администратора) с помощью известного хакера Sticky Keys .

Чтобы сбросить забытый пароль администратора, выполните следующие действия: ^

  1. Загрузитесь с Windows PE или Windows RE и получите доступ к командной строке.
  2. Найдите букву диска раздела, где установлена Windows. В Vista и Windows XP обычно это C:, в Windows 7 это D: в большинстве случаев, потому что первый раздел содержит Восстановление запуска. Чтобы найти букву диска, введите C: (или D: соответственно) и найдите папку Windows. Обратите внимание, что Windows PE (RE) обычно находится в X:. В целях этой демонстрации мы будем предполагать, что Windows установлена на диске C:
  3. Введите следующую команду: copy C:\Windows\System32\sethc.exe C:\ Это создаст копию sethc.exe для последующего восстановления.
  4. Введите эту команду, чтобы заменить sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Перезагрузите компьютер и запустите экземпляр Windows, для которого вы не делаете иметь пароль администратора.
  5. После того, как вы увидите экран входа в систему, нажмите клавишу SHIFT пять раз.
  6. Вы должны увидеть командную строку, в которой вы можете ввести следующую команду для сброса пароля Windows: net user [username] [password] Если вы не знаете свое имя пользователя, просто введите net user чтобы вывести список доступных имен пользователей.
  7. Теперь вы можете войти с новым паролем.

Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля для существующей учетной записи, введите команду:

  1. net user administrator /active:yes .

Если вы хотите создать новую учетную запись и добавить ее в локальную группу администраторов, последовательность команд :

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
1

Добавлять ПК можно только тогда, когда у вас есть права администратора на ПК и право менять контроллер домена.

Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов решения этой задачи является использование установочного DVD и использование консоли восстановления. Это позволяет вернуть полный контроль.

1

Единственное решение, если у вас есть проблема PC / Server Trust (после сброса, воссоздать на DC и т.д.), Чтобы решить ее без какого-либо восстановления!

Отключите все NICS, чтобы он не мог проверить доверительные отношения с DC входа в систему. Затем войдите в систему, используя ранее зарегистрированную учетную запись домена уровня администратора (должна находиться в локальных группах администраторов ПК), в которую ранее входили, т. Е. Чтобы использовать кэшированные учетные данные. Моя проблема заключалась в том, что я переместил виртуальную машину W7 из prod в тестовую лабораторию и ожидал, что доверие будет нарушено, однако не из-за того, что я не смог войти в систему с локальными учетными записями администратора / пользователя или даже с кэшированными учетными данными "старых доменов".

Отключите работу сетевых карт и кэшированных учетных данных, после чего вы сможете присоединиться к домену с помощью netdom join .

Если у вас закончились попытки кэширования учетных данных (зависит от локальной политики ОС / объекта групповой политики - до 50), выполните восстановление системы за предыдущие дни, это также будет работать.

0
  1. Отключите сетевой кабель и войдите в уязвимую рабочую станцию (кэшированные учетные данные позволят это). После этого снова подключите сетевой кабель.

  2. Загрузите пакет средств удаленного администрирования сервера (RSAT) от корпорации Майкрософт здесь: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (выберите правильную 32-разрядную или 64-разрядную версию в соответствии с к операционной системе рабочей станции, а не к серверу.)

  3. Установите загруженный пакет. У нас были проблемы с этим, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию после настройки чистой загрузки, которую можно отменить после этого процесса.

  4. Установка RSAT автоматически не делает его доступным для использования. Перейдите в Панель управления -> Программы -> Добавить / Удалить компоненты Windows и найдите Инструменты администратора удаленного сервера. Разверните это и перейдите к AD / AS / Command line и включите это.

  5. Откройте командное окно от имени администратора и введите эту команду:

NETDOM.EXE resetpwd /s:(сервер) /ud:(имя пользователя) /pd:*

Где (сервер) - это имя Netbios сервера домена, а (имя пользователя) - учетная запись уязвимой рабочей станции в формате DOMAIN\ Имя пользователя.

Вот и все. После этого на рабочей станции все нормализовалось.

0

Сначала попробуйте войти в систему с правами администратора (имя компьютера \ администратор), затем присоединиться к домену в WorkGroup и перезагрузиться.Теперь ваш компьютер находится в WorkGrup как локальная учетная запись. Теперь попробуйте снова присоединиться к домену. (Щелкните правой кнопкой мыши на Мой компьютер-> Свойства-> Изменить-> Doamin-> Ex Fu-com.com -> Затем он будет в качестве пароля администратора для Сервера, затем введите имя пользователя в качестве администратора и затем пароль. затем перезагрузите компьютер. Теперь ваш компьютер находится в домене, попробуйте войти под своим именем пользователя и паролем.

-3

Если у вас установлено антивирусное программное обеспечение, выполните следующие действия ...

Пуск ==> выполнить ==> ncpa.cpl ==> нажать кнопку Alt + N ==> Расширенные настройки ==> вкладка « Порядок поставщиков» ==> нажать кнопку вверх, чтобы открыть сеть Microsoft Windows .

Сделайте это на клиенте и контроллере домена (DC).

-3

У меня было такое, и что работало для меня, это войти в систему с учетной записью администратора и повторно добавить в рабочую группу, а затем повторно добавить в домен после этого.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .