Re-ingressando em um computador no domínio


18

Estou com um problema com um PC com Windows 7 que era membro do domínio. Quando tento fazer logon neste PC com credenciais de domínio, recebo uma mensagem semelhante a

The trust relationship between this workstation and the primary domain could not be established.

Agora eu preciso restabelecer a associação do PC no domínio. Mas como não consigo fazer logon, não posso alterar nem o nome do computador nem a associação ao domínio.

  • Como posso confiar novamente no PC e no domínio?
  • Posso adicionar ou renovar a associação no console dos controladores de domínio?

Editar :

Não há contas locais ativas na máquina que eu possa usar para fazer logon.


Você tem acesso ao AD UC?
21413 Tanner Faulkner

Acesso a quê? Presumo: AD = diretório ativo UC = ?? Mas: Sim, tenho direitos administrativos para o domínio.
quer

Respostas:


9

Esse truque ocorre através do meu grupo de estudo do Active Directory. Sugiro que todos participem de um grupo de usuários e / ou grupo de estudo. Não é que não conheçamos o AD, é que esquecemos ou perdemos novos recursos. Um curso de reciclagem também é divertido.

Ocasionalmente, um computador será "separado" do domínio. Os sintomas podem ser que o computador não pode fazer login quando conectado à rede, mensagem de que a conta do computador expirou, que o certificado de domínio é inválido etc. Todos eles decorrem do mesmo problema e que é o canal seguro entre o computador e o domínio é hospedado. (esse é um termo técnico. Sorriso)

A maneira clássica de corrigir esse problema é desassociar e ingressar novamente no domínio. Fazer isso é meio trabalhoso, pois requer algumas reinicializações e o perfil do usuário nem sempre é reconectado. Ovelha. Além disso, se você tiver esse computador em qualquer grupo ou tiver atribuído permissões específicas a ele, elas desaparecerão porque agora seu computador possui um novo SID, para que o AD não o veja mais como a mesma máquina. Você terá que recriar tudo isso a partir da excelente documentação que você está mantendo. Sua excelente documentação. Ovelha dupla.

Em vez de fazer isso, podemos apenas redefinir o canal seguro. Existem algumas maneiras de fazer isso:

  1. No AD, clique com o botão direito do mouse no computador e selecione Redefinir conta.
    Em seguida, volte a ingressar sem desassociar o computador ao domínio.
    É necessário reiniciar.
  2. Em um prompt de comando elevado, digite: dsmod computer "ComputerDN" -reset
    Em seguida, ingresse novamente sem desassociar o computador ao domínio.
    É necessário reiniciar.
  3. Em um prompt de comando elevado, digite: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    A conta cujas credenciais você forneceu devem ser membros do grupo Administradores Locais.
    Sem voltar a participar. Sem reinicialização.
  4. Em um prompt de comando elevate, digite: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    No re-join. Sem reinicialização.

6

Pare de lutar com esse problema do lado do cliente. Se você não conseguir fazer login no domínio, precisará fazer login com uma conta local ativada ou usar um CD de inicialização para habilitá-la.

Tente remover a máquina dos Usuários e Computadores do Active Directory. Ele deve estar nas Ferramentas Administrativas do seu servidor. Abra a UO (unidade organizacional) que contém o computador. Encontre o computador, clique com o botão direito do mouse e clique em Excluir.

insira a descrição da imagem aqui

Pode não ser difícil ter paciência e deixar a replicação funcionar, dependendo de quantos CDs você tiver. Se o seu domínio for bastante simples (sem sites e apenas dois controladores de domínio), você poderá usar repadmin /replicatepara forçar a replicação. Leia isto antes de fazê-lo.

Agora adicione o PC novamente usando o AD UC e aguarde a replicação ou force-a.

Se ele ainda te lamentar, netdom /removetente ( página de manual aqui ) e veja se isso o tirará do seu domínio. Se você tiver problemas com isso, dê uma olhada nesta pergunta . É um cenário diferente, mas essencialmente o mesmo conceito: tentar remover um computador de um domínio quando não puder entrar em contato com o controlador de domínio.


1
Isso excluirá o PC do domínio, não é? Como uso a autenticação de domínio para fazer logon no PC quando ele não é mais um membro do domínio? Não posso adicioná-lo com o ADUC?
harper

Você está certo. Não tinha tido meu café contudo ...
Tanner Faulkner

4

Pode ser necessário fazer login usando credenciais locais para essa máquina. Quando o sistema operacional foi instalado pela primeira vez, há uma conta local configurada.

Faça login com essa conta usando o Nome do computador como domínio (por exemplo, MYCOMP \ JSmith). Normalmente, a conta de administrador da máquina local está presente, mas desativada por padrão.

Depois de fazer login como usuário local, você poderá sair e ingressar novamente no domínio.


Sair e entrar novamente no domínio é a correção preferida. No entanto, às vezes isso simplesmente não funciona e você também precisará alterar o nome do computador se o Active Directory não entender a alteração por qualquer motivo.
21713 Lee Harrison

4

No Server 2008 R2, a tarefa é muito simples. Agora podemos usar o Test-ComputerSecureChannelcmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Captura de tela

Adicione o -Repairparâmetro para executar o reparo real; use credenciais para uma conta autorizada a associar computadores ao domínio.

Referência:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- EDIT--

Se não houver contas de administrador local que você possa usar para isso, crie uma (ou ative a conta de administrador interna desabilitada) com o conhecido hack de Sticky Keys .

Para redefinir uma senha de administrador esquecida, siga estas etapas: ^

  1. Inicialize no Windows PE ou Windows RE e acesse o prompt de comando.
  2. Encontre a letra da unidade da partição em que o Windows está instalado. No Vista e Windows XP, geralmente é C :, no Windows 7, é D: na maioria dos casos, porque a primeira partição contém o Reparo de Inicialização. Para encontrar a letra da unidade, digite C: (ou D :, respectivamente) e procure a pasta do Windows. Observe que o Windows PE (RE) geralmente reside no X :. Para os fins desta demonstração, assumiremos que o Windows está instalado na unidade C:
  3. Digite o seguinte comando: copy C:\Windows\System32\sethc.exe C:\Isso cria uma cópia do sethc.exe para restaurar posteriormente.
  4. Digite este comando para substituir o sethc.exe pelo cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeReinicie o computador e execute a instância do Windows para a qual você não possui a senha de administrador.
  5. Depois de ver a tela de logon, pressione a tecla SHIFT cinco vezes.
  6. Você deverá ver um prompt de comando onde poderá digitar o seguinte comando para redefinir a senha do Windows: net user [username] [password] Se você não souber seu nome de usuário, digite apenas net userpara listar os nomes de usuário disponíveis.
  7. Agora você pode fazer logon com a nova senha.

Se você deseja habilitar a conta de administrador interna desativada por padrão em vez de redefinir a senha em uma conta existente, o comando é:

  1. net user administrator /active:yes.

Se você deseja criar uma nova conta e adicioná-la ao grupo local de Administradores, a sequência de comandos é:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

Excelente fonte de informação aqui! $credential = Get-Credential, pressione Enter , digite a senha quando solicitado e, em seguida, Test-ComputerSecureChannel -Credential $credential -Repair -Verboseé o que fizemos e trabalhamos para nós (basicamente o que você descreveu, mas com algumas nuances para aqueles que podem achar difícil de seguir). Um ótimo truque no sethc.exe e recuperar a conta de administrador local novamente.
precisa saber é o seguinte

1
@vapcguy - Todos esses anos, e eles ainda não consertaram isso. É um pouco desconcertante, sabendo que uma instalação do Windows pode ser facilmente comprometida.
InteXX

InteXX - Sim, mas é uma espécie de bom quando você perder a senha para a conta de administrador local, embora - ou nunca recebê-lo porque os empreiteiros de saída quer ser @ # &% !, lol
vapcguy

1
Toda espada tem duas arestas :-)
InteXX 4/17/17

2

Só é possível adicionar o PC quando você tiver direitos de administrador no computador e o direito de alterar o controlador de domínio.

Portanto, é necessário redefinir a senha do administrador no PC. Uma maneira de executar esta tarefa é o uso do DVD de instalação e o console de reparo. Isso permite recuperar o controle total.


1

A única solução, se você tiver um problema no PC / Server Trust ((após redefinir, recrie no DC, etc.), resolvê-lo sem nenhuma restauração!

Desative todos os NICS, para que não possa verificar a relação de confiança com o DC de logon. Em seguida, efetue login com uma conta de domínio no nível de administrador anteriormente conectada (deve residir nos Grupos de Administradores de PC locais) que foi conectada anteriormente, ou seja, para aproveitar as credenciais em cache. Meu problema foi que mudei uma VM W7 de prod para um laboratório de teste e previ que uma relação de confiança seria quebrada, mas não que eu não conseguisse fazer login com contas de administrador / usuário local ou mesmo com as credenciais em cache "domínios antigos".

Desabilite as credenciais da NIC e do cache, para que você possa voltar ao domínio com netdom join.

Se você ficar sem tentativas de Credenciais armazenadas em cache (depende do GPO Policies / SO local - até 50), faça uma restauração do sistema para os dias anteriores, isso funcionará também.


0

Primeiro, tente fazer login com o Administrador (Nome do computador \ Administrador) e, em seguida, junte-se ao domínio no Grupo de Trabalho e depois reinicie. Agora, seu PC está no WorkGrup como uma conta local. Agora tente ingressar no domínio novamente. (Clique com o botão direito do mouse em Meu computador-> Propriedade-> Alterar-> Doamin-> Ex Fu-com.com -> Em seguida, ele será a senha de administrador do servidor e, então, digitar o nome de usuário como administrador e a senha. Em seguida, reinicie o seu computador Agora seu computador está no domínio, tente fazer o login com seu ID de usuário e senha.


1
Por favor, leia antes da postagem. A última frase (após a edição ) mostra que não posso usar contas locais.
Harper

0
  1. Desconecte o cabo de rede e efetue login na estação de trabalho afetada (as credenciais em cache permitirão isso.) Depois de fazer isso, reconecte o cabo de rede.

  2. Faça o download do pacote RSAT (Remote Server Administration Tools) da Microsoft aqui: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (selecione a versão adequada de 32 ou 64 bits, de acordo com ao sistema operacional da estação de trabalho, não ao servidor.)

  3. Instale o pacote baixado. Tivemos problemas com isso até usarmos o modo de inicialização limpa, portanto, talvez seja necessário reiniciar a estação de trabalho após a configuração da inicialização limpa, que pode ser desfeita após esse processo.

  4. A instalação do RSAT não o disponibiliza automaticamente para uso. Vá para Painel de Controle -> Programas -> Adicionar / Remover Recursos do Windows e procure Ferramentas de Administrador de Servidor Remoto. Expanda isso e faça drill down para AD / AS / linha de comando e ative isso.

  5. Abra uma janela de comando como administrador e insira este comando:

NETDOM.EXE resetpwd / s: (servidor) / ud: (nome de usuário) / pd: *

Onde (servidor) é o nome Netbios do servidor de domínio e (nome de usuário) é a conta de logon da estação de trabalho afetada no formato DOMÍNIO \ Nome de usuário

É isso aí. Depois disso, tudo voltou ao normal na estação de trabalho.


-3

Isso aconteceu e o que funcionou para mim é fazer login na conta de administrador e adicionar novamente ao grupo de trabalho, depois adicionar ao domínio depois disso.


There are no active local accounts on the machine that I could use to logon.Essa resposta também é semelhante à resposta aceita.
Rsya Studios

-3

Se você possui um software antivírus instalado, faça o seguinte ...

Iniciar ==> executar ==> ncpa.cpl ==> pressionar o botão Alt+ N==> Configurações avançadas ==> guia Ordem do provedor ==> pressionar o botão para cima para obter a rede do Microsoft Windows no topo.

Faça isso no cliente e no controlador de domínio (DC).


4
Por quê? Como isso corrige a relação de confiança entre o cliente e o controlador de domínio?
um CVn
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.