Повторне приєднання комп'ютера до домену


18

У мене проблема з ПК під управлінням Windows 7, який був членом домену. Коли я намагаюся ввійти на цей ПК за допомогою облікових даних домену, я отримую повідомлення, подібне до

The trust relationship between this workstation and the primary domain could not be established.

Тепер мені потрібно встановити членство ПК у домені. Але оскільки я не можу ввійти, я не можу змінити ні ім'я комп'ютера, ні членство в домені.

  • Як можна знову довірити ПК та домен?
  • Чи можу я додати або поновити членство з консолі контролерів домену?

Редагувати :

На машині немає активних локальних облікових записів, які я міг би використовувати для входу.


Чи маєте ви доступ до AD UC?
Таннер Фолкнер

Доступ до чого? Я припускаю: AD = активний каталог UC = ?? Але: Так, у мене є адміністративні права на домен.
харпер

Відповіді:


9

Цей трюк проходить через мою навчальну групу Active Directory. Я пропоную всім приєднатися до групи користувачів та / або навчальної групи. Це не те, що ми не знаємо AD, це те, що ми забуваємо або пропускаємо нові функції. Курс підвищення кваліфікації теж веселий.

Іноді комп'ютер буде відмежований від домену. Симптоми можуть полягати в тому, що комп'ютер не може увійти під час підключення до мережі, повідомлення про те, що термін дії облікового запису комп'ютера закінчився, сертифікат домену недійсний і т. Д. Все це випливає з тієї ж проблеми, і це те, що захищений канал між комп'ютером і домен шлангується. (це технічний термін. Посмішка)

Класичний спосіб виправити цю проблему - це приєднатись і знову приєднатися до домену. Це є чимось болем, оскільки потрібно кілька перезавантажень, а профіль користувача не завжди підключається. Еве. Крім того, якщо ви мали цей комп'ютер у будь-яких групах або присвоювали йому певні дозволи, вони втрачені, оскільки тепер на вашому комп'ютері є новий SID, тому AD вже не бачить його як той самий апарат. Вам доведеться відтворити всі ці речі з чудової документації, яку ви зберігали. А, так, ваша відмінна документація. Подвійний Ewe.

Замість цього ми можемо просто скинути захищений канал. Є кілька способів зробити це:

  1. У AD клацніть правою кнопкою миші комп'ютер і виберіть Скинути рахунок.
    Потім повторно приєднайтеся, не приєднуючи комп'ютер до домену.
    Перезавантаження потрібно.
  2. У командному рядку підвищеного типу: dsmod computer "ComputerDN" -reset
    Потім повторно приєднайтеся без приєднання комп'ютера до домену.
    Перезавантаження потрібно.
  3. У підвищеному типі командного рядка: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Обліковий запис, дані якого ви надали, повинен бути членом групи місцевих адміністраторів.
    Ніякого повторного з'єднання. Немає перезавантаження.
  4. У командному рядку елевації типу: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    немає повторного з'єднання. Немає перезавантаження.

6

Перестаньте боротися з цією проблемою з боку клієнта. Якщо ви не можете увійти в домен, вам доведеться або увійти за допомогою активованого локального облікового запису, або використовувати завантажувальний компакт-диск для його включення.

Спробуйте видалити апарат із користувачів та комп’ютерів Active Directory. Це має бути в Адміністративних інструментах на вашому сервері. Відкрийте ОУ (організаційний підрозділ), який містить комп'ютер. Знайдіть комп’ютер, клацніть правою кнопкою миші на ньому та натисніть видалити.

введіть тут опис зображення

Можливо, не завадить набратися терпіння і просто дозволити реплікації робити все, залежно від того, скільки у вас є постійного струму. Якщо ваш домен досить простий (немає сайтів і лише два постійних точки), ви можете використовувати repadmin /replicateдля примусової реплікації. Прочитайте це, перш ніж робити це.

Тепер знову додайте ПК за допомогою AD UC і або чекайте реплікації, або змушуйте її.

Якщо вона все ще скуголить у вас, netdom /removeспробуйте ( людина тут ) і подивіться, чи це відключить це від вашого домену. Якщо у вас проблеми з цим, погляньте це питання . Це інший сценарій, але по суті та сама концепція: намагання видалити комп'ютер з домену, коли він не може зв’язатися з постійним струмом.


1
Це видалить ПК з домену, чи не так? Як використовувати автентифікацію домену для входу на ПК, коли він більше не є членом домену? Не можу я додати його за допомогою ADUC?
харпер

Ти маєш рацію. Ще не пили моєї кави ...
Таннер Фолкнер

4

Можливо, вам доведеться увійти, використовуючи локальні дані для цієї машини. Коли операційна система була вперше встановлена, існує налаштований локальний обліковий запис.

Увійдіть із цим обліковим записом, використовуючи Ім'я комп'ютера як домен (напр. MYCOMP \ JSmith). Зазвичай обліковий запис адміністратора локальної машини присутній, але за замовчуванням відключений.

Після входу в систему як локальний користувач, ви зможете залишити і знову приєднатися до домену.


Залишення та повторне введення домену є кращим виправленням цього. Однак іноді це просто не працює, і вам також потрібно буде змінити ім’я комп'ютера, якщо Active Directory не зрозуміє зміни з будь-якої причини.
Лі Гаррісон

4

Щодо сервера 2008 R2, завдання дуже просте. Тепер ми можемо використовувати Test-ComputerSecureChannelкомандлет.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Екранний постріл

Додайте -Repair параметр для виконання фактичного ремонту; використовувати облікові дані для облікового запису, який має право приєднувати комп'ютери до домену.

Довідка:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain- приєднався

- EDIT--

Якщо немає жодних локальних облікових записів адміністратора, які ви можете використовувати для цього, ви можете створити (або ввімкнути вимкнутий вбудований обліковий запис адміністратора) за допомогою відомого зламу Sticky Keys .

Щоб скинути забутий пароль адміністратора, виконайте такі дії: ^

  1. Завантажтесь з Windows PE або Windows RE та отримайте доступ до командного рядка.
  2. Знайдіть літеру диска розділу, де встановлено Windows. У Vista та Windows XP зазвичай це C :, в Windows 7 це D: у більшості випадків тому, що перший розділ містить відновлення запуску. Щоб знайти літеру диска, введіть C: (або D: відповідно) та знайдіть папку Windows. Зауважте, що Windows PE (RE) зазвичай знаходиться на X:. Для цілей цієї демонстрації ми припустимо, що Windows встановлений на диску C:
  3. Введіть таку команду: copy C:\Windows\System32\sethc.exe C:\Це створює копію sethc.exe для відновлення пізніше.
  4. Введіть цю команду, щоб замінити sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeперезавантажте комп'ютер та запустіть екземпляр Windows, для якого у вас немає пароля адміністратора.
  5. Після появи екрана входу натисніть клавішу SHIFT п'ять разів.
  6. Ви повинні побачити командний рядок, де ви можете ввести наступну команду для скидання пароля Windows: net user [username] [password] Якщо ви не знаєте свого імені користувача, просто введітьnet user щоб перелічити доступні імена користувачів.
  7. Тепер ви можете увійти за допомогою нового пароля.

Якщо ви хочете ввімкнути вбудований обліковий запис адміністратора відключеного за замовчуванням замість скидання пароля для наявного облікового запису, команда:

  1. net user administrator /active:yes.

Якщо ви хочете створити новий обліковий запис і додати його до локальної групи адміністраторів, послідовність команд :

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

Чудове джерело інформації тут! $credential = Get-Credential, натисніть Enter , введіть пароль підказки, тоді Test-ComputerSecureChannel -Credential $credential -Repair -Verboseце те, що ми зробили і працювали для нас (в основному те, що ви описали, але злегка відтінили для тих, кому може бути важко слідувати). Чудовий трюк на sethc.exe і знову влаштування облікового запису локального адміністратора.
vapcguy

1
@vapcguy - Усі ці роки, і вони все ще цього не виправили. Це трохи неприємно, знаючи, що встановлення Windows може бути так легко порушено.
InteXX

InteXX - Так, але це приємно, коли ви втрачаєте пароль для локального облікового запису адміністратора - хоча й ніколи не отримуєте його, оскільки вихідні підрядники хочуть бути @ # &% !, lol
vapcguy

1
Кожен меч має два ребра :-)
InteXX

2

Додавати ПК можна лише тоді, коли у вас є права адміністраторів на ПК та право змінити постійний струм.

Тому необхідно скинути пароль адміністратора на ПК. Одним із способів виконання цього завдання є використання інсталяційного DVD та використання консолі ремонту. Це дозволяє відновити повний контроль.


1

Єдине рішення, якщо у вас є проблема з довірою до ПК / сервера (після скидання, відтворення на постійному струмі тощо), щоб вирішити її без відновлення!

Вимкніть всі NICS, тому він не може перевірити довірчі відносини з DC входу. Потім увійдіть із попередньо введеним обліковим записом домену на рівні адміністратора (повинен знаходитись у локальних групах адміністраторів ПК), який раніше був увійшов у систему, тобто для використання кешованих даних. Моя проблема полягала в тому, що я перемістив V7 VM з prod у тестову лабораторію, і очікував, що довіру буде порушено, однак не те, що я не зміг увійти в систему з локальними обліковими записами адміністратора / користувача або навіть із кешованими обліковими записами "старих доменів".

Вимкніть роботи NIC та кешованих облікових даних, ви можете знову приєднатися до домену netdom join.

Якщо у вас не вистачає спроб кеш-пам’яті (залежно від локальної політики ОС / GPO - до 50), відновіть систему до попередніх днів, це теж буде працювати.


0

Спочатку спробуйте увійти в систему за допомогою адміністратора (ім'я комп'ютера \ адміністратор), потім від'єднайте домен до WorkGroup, потім перезавантажте. Тепер ваш ПК знаходиться в WorkGrup як локальний обліковий запис. Тепер спробуйте знову приєднатися до домену. (Клацніть правою кнопкою миші на Мій комп'ютер-> Властивість-> Змінити-> Doamin-> Ex Fu-com.com -> Потім він буде в якості пароля адміністратора для Сервера, а потім введіть ім'я користувача як адміністратора, а потім пароль. потім перезавантажте комп'ютер. Тепер ваш комп'ютер у домені, спробуйте увійти з вами Ідентифікатор користувача та пароль.


1
Будь ласка, прочитайте перед публікацією. Останнє речення (після Правки ) показує, що я не можу використовувати локальні акаунти.
harper

0
  1. Відключіть мережевий кабель та увійдіть у відповідну робочу станцію (кешовані дані дозволять це.) Після цього підключіть мережевий кабель.

  2. Завантажте пакет Microsoft Tools Tools Remote Server (RSAT) від Microsoft тут: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (виберіть належну 32-бітну або 64-бітну версію відповідно до до операційної системи робочої станції, а не до сервера.)

  3. Встановіть завантажений пакет. У нас були проблеми з цим, поки ми не застосували режим чистого завантаження, тому вам, можливо, доведеться перезапустити робочу станцію після налаштування чистого завантаження, яке можна скасувати після цього процесу.

  4. Встановлення RSAT автоматично не робить його доступним для використання. Перейдіть до Панелі управління -> Програми -> Додавання та видалення функцій Windows та знайдіть Інструменти віддаленого адміністратора сервера. Розгорніть це та перетягніть на командний рядок AD / AS / та ввімкніть це.

  5. Відкрийте вікно команд як адміністратор та введіть цю команду:

NETDOM.EXE resetpwd / s: (сервер) / ud: (ім'я користувача) / pd: *

Де (сервер) - це ім'я Netbios сервера домену та (ім’я користувача) - обліковий запис для входу у відповідну робочу станцію у форматі ДОМАН \ Ім'я користувача

Це воно. Після цього на робочому місці все повернулося до норми.


-3

У мене це сталося, і те, що для мене працювало, це увійти в обліковий запис адміністратора і знову додати його до робочої групи, а потім знову додати до домену.


There are no active local accounts on the machine that I could use to logon.Ця відповідь також схожа на прийняту відповідь.
Rsya Studios

-3

Якщо у вас встановлено антивірусне програмне забезпечення, виконайте наступні дії ...

Start ==> run ==> ncpa.cpl ==> натисніть Alt+ Nкнопку ==> Розширені налаштування ==> вкладка Замовлення постачальника ==> натисніть кнопку вгору, щоб підключити мережу Microsoft Windows до вершини.

Зробіть це на контролері клієнта та домену (DC).


4
Чому? Як це виправляє довірчі відносини між клієнтом та контролером домену?
CVn
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.