Bir bilgisayarı etki alanına yeniden ekleme


18

Etki alanının üyesi olan bir Windows 7 bilgisayarıyla ilgili bir sorunum var. Etki alanı kimlik bilgileriyle bu bilgisayara oturum açmaya çalıştığımda benzer bir ileti alıyorum

The trust relationship between this workstation and the primary domain could not be established.

Şimdi PC'nin etki alanına üyeliğini yeniden kurmam gerekiyor. Ancak oturum açamadığım için ne bilgisayar adını ne de etki alanı üyeliğini değiştiremiyorum.

  • PC ve etki alanına nasıl yeniden güvenebilirim?
  • Etki alanı denetleyicileri konsolundan üyeliği ekleyebilir veya yenileyebilir miyim?

Düzenle :

Makinede oturum açmak için kullanabileceğim etkin bir yerel hesap yok.


AD UC'ye erişiminiz var mı?
Tanner Faulkner

Neye erişim? Sanırım: AD = aktif dizin UC = ?? Ancak: Evet, etki alanı için yönetici haklarına sahibim.
harper

Yanıtlar:


9

Bu hile Active Directory çalışma grubumdan geliyor. Herkesin bir kullanıcı grubuna ve / veya bir çalışma grubuna katılmasını öneririm. AD'yi bilmiyoruz değil, yeni özellikleri unutuyor veya özlüyoruz. Tazeleme kursu da eğlencelidir.

Bazen bir bilgisayar etki alanından “ayrılacaktır”. Belirtiler, bilgisayarın ağa bağlandığında oturum açamaması, bilgisayar hesabının süresinin dolduğunu, etki alanı sertifikasının geçersiz olmasını vb. Olabilir. Bunların hepsi aynı sorundan kaynaklanır ve bilgisayar arasındaki güvenli kanal ve alan adı barındırılıyor. (teknik bir terimdir. Gülümseme)

Bu sorunu çözmenin klasik yolu, etki alanına katılmak ve yeniden katılmaktır. Bunu yapmak bir tür acıdır çünkü birkaç yeniden başlatma gerektirir ve kullanıcı profili her zaman yeniden bağlanmaz. Ewe. Ayrıca, herhangi bir grupta bu bilgisayara sahipseniz veya bilgisayarınıza özel izinler atadıysanız, artık bilgisayarınızda yeni bir SID var, bu nedenle AD artık aynı makine olarak görmüyor. Tüm bunları sakladığınız mükemmel belgelerden yeniden oluşturmanız gerekecek. Mükemmel belgelerin. Çift Ewe.

Bunu yapmak yerine güvenli kanalı sıfırlayabiliriz. Bunu yapmanın birkaç yolu vardır:

  1. AD'de bilgisayarı sağ tıklayın ve Hesabı Sıfırla'yı seçin.
    Sonra bilgisayarın etki alanına katılmadan yeniden katılın.
    Yeniden başlatma gerekiyor.
  2. Yükseltilmiş bir komut isteminde şunu yazın: dsmod computer "ComputerDN" -reset
    Bilgisayarı etki alanına katılmadan yeniden katılın.
    Yeniden başlatma gerekiyor.
  3. Yükseltilmiş komut isteminde şunu yazın: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Kimlik bilgilerini sağladığınız hesabın Local Administrators grubunun üyesi olması gerekir.
    Yeniden katılma yok. Yeniden başlatma yok.
  4. Yükseltme komut istemine şunu yazın: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Yeniden katılma yok. Yeniden başlatma yok.

5

İstemci tarafından bu sorunla savaşmayı bırakın. Etki alanında oturum açamıyorsanız, etkin bir yerel hesapla oturum açmanız veya etkinleştirmek için bir önyükleme CD'si kullanmanız gerekir.

Makineyi Active Directory Kullanıcıları ve Bilgisayarlarından kaldırmayı deneyin. Sunucunuzdaki Yönetimsel Araçlar'da olmalıdır. Bilgisayarı içeren kuruluş birimini (kuruluş birimi) açın. Bilgisayarı bulun, sağ tıklayın ve delete tuşuna basın.

resim açıklamasını buraya girin

Sabırlı olmak ve kaç DC'ye sahip olduğunuza bağlı olarak çoğaltmanın işini yapmasına izin vermeyebilir. Alan adınız oldukça basitse (site yok ve yalnızca iki DC) repadmin /replicateçoğaltmayı zorlamak için kullanabilirsiniz . Bunu yapmadan önce bunu okuyun .

Şimdi bilgisayarı AD UC kullanarak tekrar ekleyin ve çoğaltmayı bekleyin veya zorlayın.

Hala size sızlanıyorsa, netdom /removebir deneyin ( burada man sayfası ) ve bunun alanınızdan çıkıp çıkmayacağını görün. Bununla ilgili sorun yaşıyorsanız, bu soruya bir göz atın . Bu farklı bir senaryo ama aslında aynı kavram: DC ile bağlantı kuramadığında bir bilgisayarı etki alanından kaldırmaya çalışmak.


2
Bu, bilgisayarı etki alanından silecektir, değil mi? Artık bir etki alanı üyesi olmadığında bilgisayarda oturum açmak için etki alanı kimlik doğrulamasını nasıl kullanabilirim? ADUC ile ekleyemez miyim?
harper

Haklısın. Kahvemi henüz
yememiştim

4

Bu makinede yerel olan kimlik bilgilerini kullanarak oturum açmanız gerekebilir. İşletim sistemi ilk kurulduğunda, ayarlanmış bir yerel hesap vardır.

Etki alanı olarak Bilgisayar Adı'nı kullanarak bu hesapla oturum açın (ör. MYCOMP \ JSmith). Genellikle yerel makine yönetici hesabı vardır, ancak varsayılan olarak devre dışıdır.

Yerel kullanıcı olarak oturum açtıktan sonra, etki alanından çıkıp yeniden katılabilmeniz gerekir.


Alandan ayrılmak ve yeniden girmek, bunun için tercih edilen çözümdür. Ancak, bazen işe yaramaz ve Active Directory değişikliği herhangi bir nedenle anlamadıysa, bilgisayar adınızı da değiştirmeniz gerekir.
Lee Harrison

4

Server 2008 R2'den itibaren görev çok basittir. Şimdi Test-ComputerSecureChannelcmdlet'i kullanabiliriz .

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Ekran Görüntüsü

-RepairGerçek onarımı gerçekleştirmek için parametreyi ekleyin ; bilgisayarları etki alanına katılmaya yetkili bir hesap için kimlik bilgilerini kullanın.

Referans:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- DÜZENLE--

Bunun için kullanabileceğiniz herhangi bir yerel yönetici hesabı yoksa, iyi bilinen Yapışkan Tuşlar kesmekle bir hesap oluşturabilir (veya devre dışı bırakılmış yerleşik Yönetici hesabını etkinleştirebilirsiniz) .

Unutulan bir yönetici şifresini sıfırlamak için şu adımları izleyin: ^

  1. Windows PE veya Windows RE'den önyükleme yapın ve komut istemine erişin.
  2. Windows'un yüklü olduğu bölümün sürücü harfini bulun. Vista ve Windows XP'de, genellikle C:, Windows 7'de, D: çoğu durumda ilk bölüm Başlangıç ​​Onarma içerdiğinden. Sürücü harfini bulmak için, sırasıyla C: (veya D :,) yazın ve Windows klasörünü arayın. Windows PE'nin (RE) genellikle X: 'de bulunduğunu unutmayın. Bu tanıtım amacıyla, Windows'un C sürücüsüne yüklendiğini varsayacağız:
  3. Aşağıdaki komutu yazın: copy C:\Windows\System32\sethc.exe C:\Bu, daha sonra geri yüklemek için sethc.exe dosyasının bir kopyasını oluşturur.
  4. Sethc.exe dosyasını cmd.exe ile değiştirmek için bu komutu yazın: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeBilgisayarınızı yeniden başlatın ve yönetici parolasına sahip olmadığınız Windows örneğini çalıştırın.
  5. Oturum açma ekranını gördükten sonra, SHIFT tuşuna beş kez basın.
  6. Windows parolasını sıfırlamak için aşağıdaki komutu girebileceğiniz bir komut istemi görmelisiniz: net user [username] [password] Kullanıcı adınızı bilmiyorsanız net user, kullanılabilir kullanıcı adlarını listelemek için yazın .
  7. Artık yeni şifreyle giriş yapabilirsiniz.

Varolan bir hesaptaki parolayı sıfırlamak yerine varsayılan olarak devre dışı bırakılmış yerleşik Yönetici hesabını etkinleştirmek isterseniz, komut şu şekildedir:

  1. net user administrator /active:yes.

Yeni bir hesap oluşturmak ve bunu yerel Administrators grubuna eklemek istiyorsanız, komut dizisi :

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

Mükemmel bilgi kaynağı burada! $credential = Get-Credential, Enter tuşuna basın , komut istemine şifre yazın, sonra Test-ComputerSecureChannel -Credential $credential -Repair -Verbosebizim için yaptığımız ve çalıştığımız şeydir (temel olarak açıkladığınız ancak takip etmeyi zor bulabilecekler için biraz nüanslı). Sethc.exe üzerinde büyük hile ve yerel yönetici hesabını tekrar ele geçirme.
vapcguy

1
@vapcguy - Bunca yıl ve hala bunu düzeltmediler. Bir Windows kurulumunun kolayca tehlikeye atılabileceğini bilerek biraz rahatsız edici.
InteXX

InteXX - Evet, ancak yerel yönetici hesabı için şifreyi kaybettiğinizde hoşunuza gidiyor - ya da asla
almayın

1
Her kılıcın iki kenarı vardır :-)
InteXX

2

Bilgisayarı yalnızca bilgisayarda yönetici haklarına sahip olduğunuzda ve DC'yi değiştirme hakkınız olduğunda ekleyebilirsiniz.

Bu nedenle PC'de yönetici parolasını sıfırlamak gerekir. Bu görevi gerçekleştirmenin bir yolu, kurulum DVD'sinin kullanılması ve onarım konsolunun kullanılmasıdır. Bu, tam kontrolü yeniden kazanmanızı sağlar.


1

PC / Server Trust sorununuz varsa (sıfırladıktan sonra DC'de yeniden oluşturun vb.) Herhangi bir geri yükleme yapmadan çözmek için tek çözüm!

Tüm NICS'i devre dışı bırakın, böylece oturum açma DC'si ile güven ilişkisini doğrulayamaz. Ardından, daha önce oturum açmış olan, yani önbelleğe alınmış kimlik bilgilerinden yararlanmak için önceden oturum açmış olan yönetici düzeyinde bir etki alanı hesabıyla (yerel PC Yönetici Gruplarında bulunması gerekir) oturum açın. Benim sorunum bir W7 VM prod bir test laboratuarına taşındı ve kırık güven bekleniyor, ancak ben Yerel yönetici / kullanıcı hesapları, hatta "eski etki alanları" önbelleğe alınmış kimlik bilgileri ile giriş yapamadım değil.

NIC ve önbelleğe alınmış kimlik bilgileri çalışmalarını devre dışı bırakın, ardından ile etki alanına yeniden katılabilirsiniz netdom join.

Önbelleğe alınmış Kimlik Bilgileri denemeleriniz biterse (yerel İşletim Sistemi İlkeleri / GPO'ya - 50'ye kadar), önceki günlere kadar sistem geri yüklemesi yapın, bu da işe yarayacaktır.


0

İlk önce Administrator (Bilgisayar adı \ Administrator) ile oturum açmayı deneyin, ardından WorkGroup için etki alanına katılın ve yeniden başlatın.Şimdi PC'niz yerel hesap olarak WorkGrup'ta. Şimdi yeniden etki alanına katılmaya çalışın. Şimdi bilgisayarınızın etki alanı içindeyken sizinle oturum açmayı deneyin Kullanıcı Kimliği ve parola.


1
Lütfen göndermeden önce okuyun. Son cümle ( Düzenle'den sonra ) yerel hesapları kullanamayacağımı gösterir.
harper

0
  1. Ağ kablosunu çıkarın ve etkilenen iş istasyonunda oturum açın (önbelleğe alınan kimlik bilgileri buna izin verecektir.) Bunu yaptıktan sonra ağ kablosunu yeniden bağlayın.

  2. Microsoft'tan Uzak Sunucu Yönetim Araçları (RSAT) paketini buradan indirin: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (uygun 32 bit veya 64 bit sürümü seçin iş istasyonunun işletim sistemine değil, sunucunun işletim sistemine.)

  3. İndirilen paketi yükleyin. Temiz önyükleme modunu kullanana kadar bununla ilgili sorun yaşadık, bu nedenle temiz önyükleme için yapılandırdıktan sonra iş istasyonunu yeniden başlatmanız gerekebilir, bu işlemden sonra geri alınabilir.

  4. RSAT'ın yüklenmesi otomatik olarak kullanılmasını sağlamaz. Denetim Masası -> Programlar -> Windows Özellikleri Ekle / Kaldır'a gidin ve Uzak Sunucu Yönetici Araçları'nı arayın. Bunu genişletin ve AD / AS / Komut satırına gidin ve etkinleştirin.

  5. Yönetici olarak bir komut penceresi açın ve şu komutu girin:

NETDOM.EXE resetpwd / s: (sunucu) / ud: (kullanıcı adı) / pd: *

(Sunucu), etki alanı sunucusunun Netbios adı ve (kullanıcı adı), etkilenen iş istasyonunun DOMAIN \ Username biçiminde oturum açma hesabıdır.

Bu kadar. Bunu yaptıktan sonra, iş istasyonunda her şey normale döndü.


-3

Bu oldu ve benim için çalıştı yönetici hesabında oturum açmak ve çalışma grubuna yeniden eklemek, sonra bundan sonra etki alanına yeniden eklemek.


There are no active local accounts on the machine that I could use to logon.Bu cevap da kabul edilen cevaba benzer.
Rsya Studios

-3

Yüklü bir virüsten koruma yazılımınız varsa aşağıdakileri yapın ...

Başlat ==> run ==> ncpa.cpl ==> Alt+ Ndüğmesine basın ==> Gelişmiş Ayarlar ==> sekmesi Sağlayıcı Sırası ==> Microsoft Windows Ağı'nı en üste taşımak için yukarı düğmesine basın .

Bunu istemci ve etki alanı denetleyicisinde (DC) yapın.


4
Neden? Bu, istemci ile etki alanı denetleyicisi arasındaki güven ilişkisini nasıl düzeltir?
CVn
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.