So treten Sie der Domain wieder bei, wenn die Vertrauensbeziehung verloren geht

7

Ich habe eine Reihe von virtuellen Maschinen, auf die Snapshots mithilfe eines PowerShell-Skripts angewendet wurden. Gelegentlich verlieren die virtuellen Maschinen ihre "Vertrauensbeziehung" zur Domäne. Dies bricht das Skript, da ich PowerShell-Remoting nicht mehr verwenden kann, um auf die Computer zuzugreifen und sie zu konfigurieren.

Wie kann ich die Vertrauensstellung dieser virtuellen Maschinen remote zurücksetzen? Vielleicht gibt es Möglichkeiten, der Domain wieder beizutreten, ohne Remoting?

Für alternative Lösungen zum manuellen Wiedereintritt in die Domäne müssen Sie sich am Computer anmelden und dies lokal tun. Ich habe nichts gefunden, was dies sonst tun könnte.

Bisher habe ich versucht, ein Skript zusammenzustellen, das als lokaler Administrator einfach Fernbedienungen in die Box einfügt:

$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred

Zu diesem Zeitpunkt hatte ich gehofft, PowerShell zum Zurücksetzen des Kennworts oder ähnliches zum Zurücksetzen der Domänenvertrauensbeziehung zu verwenden. Dies führt jedoch zu einem Fehler in der letzten Zeile : Access is Denied.

Ich glaube nicht, dass Sie das lokale Administratorkonto mit PowerShell-Remoting verwenden können. Gibt es eine andere Möglichkeit, eine virtuelle Maschine, die ihre Domänenvertrauensbeziehung verloren hat, aus der Ferne abzurufen, um der Domäne wieder beizutreten?

tnw
quelle
Wenn dies ein ständiges Problem sein soll, sollten Sie das Gruppenrichtlinienobjekt so einstellen, dass die Computerkennwörter nicht geändert werden.
Rex

Antworten:

10

Dies liegt daran, dass Computer mit Domänenbeitritt automatisch alle 30 Tage ihre Computerkontokennwörter ändern. Der Client initiiert eine eigene Kennwortänderung und speichert sie in Active Directory. Wenn Sie zu einem Snapshot aus einer Zeit vor der letzten Kennwortänderung des Computerkontos zurückkehren, stimmt das in AD gespeicherte Kennwort nicht mehr mit dem Kennwort überein, mit dem sich der Computer bei der Domäne anmeldet.

So deaktivieren Sie Kennwortänderungen des Computerkontos auf dem Clientcomputer:

1. Start Registry Editor.
2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. In the right pane, click the DisablePasswordChange entry.
4. On the Edit menu, click Modify.
5. In the Value data box, type a value of 1, and then click OK.

Ebenfalls,

Ich glaube nicht, dass Sie das lokale Administratorkonto mit PowerShell-Remoting verwenden können

Ja, du kannst. Sie können Kerberos einfach nicht verwenden. Und da es ohne Kerberos keine gegenseitige Authentifizierung gibt, müssen Sie den Remotecomputer zu Ihrer Liste der vertrauenswürdigen Hosts hinzufügen, um mit Powershell Remoting darauf zugreifen zu können.

Ryan Ries
quelle
Hervorragende Antwort! Ich werde es versuchen ... Ich werde nicht sicher sein, ob es funktioniert, bis der Ablauf des Passworts erneut abläuft, aber ich werde dies akzeptieren. Vielen Dank!
tnw
Vergessen Sie nicht, dass Sie, da Sie eine Änderung an der Registrierung vorgenommen haben, den NetLogon-Dienst neu starten müssen, damit die Änderung wirksam wird.
Ryan Ries