Ri-unire un computer al dominio


18

Ho un problema con un PC Windows 7 che era stato un membro del dominio. Quando provo ad accedere a questo PC con le credenziali di dominio ricevo un messaggio simile a

The trust relationship between this workstation and the primary domain could not be established.

Ora ho bisogno di ristabilire l'appartenenza del PC al dominio. Ma poiché non riesco ad accedere, non posso modificare né il nome del computer né l'appartenenza al dominio.

  • Come posso fidarmi del PC e del dominio?
  • Posso aggiungere o rinnovare l'appartenenza dalla console dei controller di dominio?

Modifica :

Non ci sono account locali attivi sulla macchina che potrei usare per accedere.


Hai accesso a AD UC?
Tanner Faulkner,

Accesso a cosa? Presumo: AD = active directory UC = ?? Ma: Sì, ho i diritti amministrativi sul dominio.
Harper

Risposte:


9

Questo trucco arriva tramite il mio gruppo di studio di Active Directory. Suggerisco a tutti di unirsi a un gruppo di utenti e / o a un gruppo di studio. Non è che non conosciamo AD, è che dimentichiamo o perdiamo nuove funzionalità. Anche un corso di aggiornamento è divertente.

Occasionalmente un computer verrà "disgiunto" dal dominio. I sintomi possono essere che il computer non può accedere quando è collegato alla rete, messaggio che l'account del computer è scaduto, il certificato di dominio non è valido, ecc. Tutti derivano dallo stesso problema e cioè che il canale sicuro tra il computer e il dominio è nascosto. (questo è un termine tecnico. Sorriso)

Il modo classico per risolvere questo problema è di unire e ricongiungersi al dominio. Farlo è un po 'una seccatura perché richiede un paio di riavvii e il profilo utente non è sempre ricollegato. Pecora. Inoltre, se avevi quel computer in qualsiasi gruppo o hai assegnato autorizzazioni specifiche, quelli non ci sono più perché ora il tuo computer ha un nuovo SID, quindi AD non lo vede più come lo stesso computer. Dovrai ricreare tutta quella roba dall'eccellente documentazione che hai conservato. Uh, eh, la tua eccellente documentazione. Doppio Ewe.

Invece di farlo, possiamo semplicemente ripristinare il canale sicuro. Ci sono un paio di modi per farlo:

  1. In AD fare clic con il tasto destro del mouse sul computer e selezionare Reimposta account.
    Quindi riconnettersi senza annullare l'unione del computer al dominio.
    Riavvio richiesto.
  2. In un prompt dei comandi con privilegi elevati digitare: dsmod computer "ComputerDN" -reset
    Quindi ricollegare senza annullare l'unione del computer al dominio.
    Riavvio richiesto.
  3. In un prompt dei comandi con privilegi elevati digitare: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    L'account le cui credenziali sono state fornite deve essere un membro del gruppo degli amministratori locali.
    Non ricongiungersi. Nessun riavvio.
  4. In un prompt dei comandi di elevazione digitare: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Non riconnettersi. Nessun riavvio.

6

Smetti di combattere con questo problema dal lato client. Se non riesci ad accedere al dominio, dovrai accedere con un account locale abilitato o utilizzare un CD di avvio per abilitarne uno.

Prova a rimuovere la macchina da Utenti e computer di Active Directory. Dovrebbe essere negli Strumenti di amministrazione sul tuo server. Apri l'unità organizzativa (unità organizzativa) che contiene il computer. Trova il computer, fai clic destro su di esso e premi Elimina.

inserisci qui la descrizione dell'immagine

Potrebbe non essere doloroso essere pazienti e lasciare che la replica faccia la sua cosa, a seconda di quante DC hai. Se il tuo dominio è piuttosto semplice (nessun sito e solo due controller di dominio) potresti utilizzare repadmin /replicateper forzare la replica. Dai una lettura prima di farlo.

Ora aggiungi nuovamente il PC utilizzando AD UC e attendi la replica o forzalo.

Se ti piagnucola ancora, netdom /removeprova ( pagina man qui ) e vedi se questo lo toglierà dal tuo dominio. In caso di problemi, dai un'occhiata a questa domanda . È uno scenario diverso ma essenzialmente lo stesso concetto: provare a rimuovere un computer da un dominio quando non è in grado di contattare il controller di dominio.


1
Questo eliminerà il PC dal dominio, no? Come posso utilizzare l'autenticazione del dominio per accedere al PC quando non è più un membro del dominio? Non posso aggiungerlo con ADUC?
Harper

Hai ragione. Non avevo ancora preso il caffè ...
Tanner Faulkner,

4

Potrebbe essere necessario accedere utilizzando credenziali locali per quella macchina. Alla prima installazione del sistema operativo, è stato impostato un account locale.

Accedi con quell'account usando il Nome computer come dominio (es. MYCOMP \ JSmith). Di solito l'account dell'amministratore del computer locale è presente ma disabilitato per impostazione predefinita.

Una volta effettuato l'accesso come utente locale, dovresti essere in grado di uscire e riconnetterti al dominio.


Lasciare e rientrare nel dominio è la soluzione preferita per questo. Tuttavia, a volte non funziona e dovrai anche cambiare il nome del tuo computer se Active Directory non capisce la modifica per qualsiasi motivo.
Lee Harrison,

4

A partire da Server 2008 R2, l'attività è molto semplice. Ora possiamo usare il Test-ComputerSecureChannelcmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Immagine dello schermo

Aggiungere il -Repairparametro per eseguire la riparazione effettiva; utilizzare le credenziali per un account autorizzato a unire i computer al dominio.

Riferimento:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- MODIFICARE--

Se non ci sono account amministratore locali che puoi usare per questo, puoi crearne uno (o abilitare l'account Administrator incorporato disabilitato) con il noto hack Sticky Keys .

Per ripristinare una password amministratore dimenticata, attenersi alla seguente procedura: ^

  1. Avviare da Windows PE o Windows RE e accedere al prompt dei comandi.
  2. Trova la lettera di unità della partizione in cui è installato Windows. In Vista e Windows XP, di solito è C :, in Windows 7, è D: nella maggior parte dei casi perché la prima partizione contiene Ripristino all'avvio. Per trovare la lettera dell'unità, digitare C: (o D :, rispettivamente) e cercare la cartella Windows. Nota che Windows PE (RE) di solito risiede su X :. Ai fini di questa dimostrazione, supponiamo che Windows sia installato sull'unità C:
  3. Digita il seguente comando: copy C:\Windows\System32\sethc.exe C:\Questo crea una copia di sethc.exe da ripristinare in seguito.
  4. Digitare questo comando per sostituire sethc.exe con cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeriavviare il computer ed eseguire l'istanza di Windows per la quale non si dispone della password dell'amministratore.
  5. Dopo aver visualizzato la schermata di accesso, premere il tasto MAIUSC cinque volte.
  6. Dovresti visualizzare un prompt dei comandi in cui puoi inserire il seguente comando per reimpostare la password di Windows: net user [username] [password] Se non conosci il tuo nome utente, digita semplicemente net userper elencare i nomi utente disponibili.
  7. Ora puoi accedere con la nuova password.

Se si desidera abilitare l'account Administrator incorporato disabilitato per impostazione predefinita anziché reimpostare la password su un account esistente, il comando è:

  1. net user administrator /active:yes.

Se si desidera creare un nuovo account e aggiungerlo al gruppo Administrators locale, la sequenza di comandi è:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

Ottima fonte di informazioni qui! $credential = Get-Credential, premi Invio , digita la password al prompt, quindi Test-ComputerSecureChannel -Credential $credential -Repair -Verboseè quello che abbiamo fatto e lavorato per noi (fondamentalmente quello che hai descritto ma leggermente sfumato per coloro che potrebbero avere difficoltà a seguirlo). Ottimo trucco sul sethc.exe e ottenere nuovamente una sospensione dell'account amministratore locale.
vapcguy,

1
@vapcguy - Tutti questi anni, e non l'hanno ancora risolto. È un po 'sconcertante, sapendo che un'installazione di Windows può essere facilmente compromessa.
InteXX

InteXX - Sì, ma è carino quando perdi la password per l'account amministratore locale - o non la ricevi mai perché gli appaltatori in uscita vogliono essere @ # &% !, lol
vapcguy il

1
Ogni spada ha due bordi :-)
InteXX

2

È possibile aggiungere il PC solo se si dispone dei diritti di amministratore sul PC e del diritto di modificare il controller di dominio.

Pertanto è necessario reimpostare la password dell'amministratore sul PC. Un modo per eseguire questa attività è l'uso del DVD di installazione e l'uso della console di riparazione. Ciò ti consente di riguadagnare il pieno controllo.


1

L'unica soluzione, se hai un problema di affidabilità PC / Server, (dopo il ripristino, ricrea su DC, ecc.) Per risolverlo senza alcun ripristino!

Disabilitare tutte le NICS, quindi non è possibile verificare la relazione di trust con il controller di accesso. Quindi accedi con un account di dominio a livello di amministratore precedentemente registrato (deve risiedere in gruppi di amministratori di PC locali) che è stato precedentemente effettuato l'accesso, ad esempio per sfruttare le credenziali memorizzate nella cache. Il mio problema era che ho spostato una macchina virtuale W7 da prod a un laboratorio di prova e mi aspettavo che un trust si spezzasse, tuttavia non che non ero in grado di accedere con gli account di amministratore / utente locali o anche con le credenziali memorizzate nella cache dei "vecchi domini".

Disabilita la NIC e le credenziali memorizzate nella cache funzionano, quindi puoi riconnetterti al dominio con netdom join.

Se si esauriscono i tentativi di credenziali memorizzati nella cache (dipende dai criteri del sistema operativo locale / oggetto Criteri di gruppo - fino a 50), eseguire un ripristino del sistema ai giorni precedenti, anche questo funzionerà.


0

Inizialmente prova ad accedere con Amministratore (Nome computer \ Amministratore), quindi unisce nuovamente il dominio a WorkGroup, quindi riavvia. Ora il tuo PC è in WorkGrup come account locale. Ora prova a unirti nuovamente al dominio (fai clic destro su Risorse del computer-> Proprietà-> Cambia-> Doamin-> Ex Fu-com.com -> Quindi sarà come password dell'amministratore per Server, quindi inserisci il nome utente come amministratore e quindi la password. quindi riavviare il computer. Ora il tuo computer è nel dominio prova ad accedere con il tuo ID utente e password.


1
Si prega di leggere prima di inviare. L'ultima frase (dopo la modifica ) mostra che non posso usare gli account locali.
Harper il

0
  1. Scollegare il cavo di rete e accedere alla workstation interessata (le credenziali memorizzate nella cache lo consentiranno.) Dopo aver effettuato l'operazione, ricollegare il cavo di rete.

  2. Scarica il pacchetto RSAT (Remote Server Administration Tools) da Microsoft qui: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (seleziona la versione corretta a 32 o 64 bit in base al sistema operativo della workstation, non a quello del server.)

  3. Installa il pacchetto scaricato. Abbiamo avuto problemi con questo fino a quando non abbiamo utilizzato la modalità di avvio pulito, quindi potrebbe essere necessario riavviare la workstation dopo la configurazione per l'avvio pulito, che può essere annullata dopo questo processo.

  4. L'installazione di RSAT non lo rende automaticamente disponibile per l'uso. Vai a Pannello di controllo -> Programmi -> Aggiungi / Rimuovi funzionalità di Windows e cerca Strumenti di amministrazione remota del server. Espandilo e scorri verso il basso fino a AD / AS / Riga di comando e abilitalo.

  5. Apri una finestra di comando come amministratore e inserisci questo comando:

NETDOM.EXE resetpwd / s: (server) / ud: (nome utente) / pd: *

Dove (server) è il nome Netbios del server di dominio e (nome utente) è l'account di accesso della workstation interessata nel formato DOMINIO \ Nome utente

Questo è tutto. Dopo aver fatto ciò, tutto è tornato alla normalità sulla workstation.


-3

Ho avuto questo accadere e ciò che ha funzionato per me è accedere all'account amministratore e aggiungere nuovamente al gruppo di lavoro, quindi aggiungere nuovamente al dominio dopo.


There are no active local accounts on the machine that I could use to logon.Questa risposta è simile alla risposta accettata.
Rsya Studios,

-3

Se hai installato un software antivirus, procedi come segue ...

Avvia ==> esegui ==> ncpa.cpl ==> premi il pulsante Alt+ N==> Impostazioni avanzate ==> scheda Ordine provider ==> premi il pulsante su per ottenere la rete di Microsoft Windows in alto.

Fallo su client e controller di dominio (DC).


4
Perché? In che modo risolve la relazione di trust tra il client e il controller di dominio?
un CVn
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.