Erneutes Hinzufügen eines Computers zur Domäne

18

Ich habe ein Problem mit einem Windows 7-PC, der Mitglied der Domäne war. Wenn ich versuche, mich mit Domänenanmeldeinformationen an diesem PC anzumelden, wird eine Meldung angezeigt, die der folgenden ähnelt

The trust relationship between this workstation and the primary domain could not be established.

Jetzt muss ich die Mitgliedschaft des PCs in der Domäne wiederherstellen. Da ich mich jedoch nicht anmelden kann, kann ich weder den Computernamen noch die Domänenmitgliedschaft ändern.

  • Wie kann ich PC und Domain wieder vertrauen?
  • Kann ich die Mitgliedschaft über die Domänencontrollerkonsole hinzufügen oder erneuern?

Bearbeiten :

Auf dem Computer befinden sich keine aktiven lokalen Konten, mit denen ich mich anmelden könnte.

Harper
quelle
Haben Sie Zugriff auf AD UC?
Tanner Faulkner
Zugang zu was? Ich nehme an: AD = Active Directory UC = ?? Aber: Ja, ich habe Administratorrechte für die Domain.
Harper

Antworten:

9

Dieser Trick kommt über meine Active Directory-Lerngruppe. Ich schlage vor, dass jeder einer Benutzergruppe und / oder einer Lerngruppe beitritt. Es ist nicht so, dass wir AD nicht kennen, es ist so, dass wir neue Funktionen vergessen oder verpassen. Ein Auffrischungskurs macht auch Spaß.

Gelegentlich wird ein Computer von der Domäne getrennt. Die Symptome können sein, dass sich der Computer nicht anmelden kann, wenn er mit dem Netzwerk verbunden ist, die Nachricht, dass das Computerkonto abgelaufen ist, das Domänenzertifikat ungültig ist usw. Dies alles ist auf dasselbe Problem zurückzuführen, und zwar auf den sicheren Kanal zwischen dem Computer und domain wird abgespritzt. (das ist ein Fachbegriff. Lächeln)

Die klassische Möglichkeit, dieses Problem zu beheben, besteht darin, die Domain zu trennen und erneut zu verbinden. Dies ist sehr schmerzhaft, da einige Neustarts erforderlich sind und das Benutzerprofil nicht immer neu verbunden wird. Mutterschaf. Wenn Sie diesen Computer in einer Gruppe hatten oder ihm bestimmte Berechtigungen zugewiesen haben, sind diese nicht mehr vorhanden, da Ihr Computer jetzt eine neue SID hat und der AD ihn nicht mehr als denselben Computer ansieht. Sie müssen all dieses Zeug aus der hervorragenden Dokumentation, die Sie aufbewahrt haben, neu erstellen. Äh, huh, deine exzellente Dokumentation. Doppeltes Mutterschaf.

Stattdessen können wir einfach den sicheren Kanal zurücksetzen. Hierfür gibt es verschiedene Möglichkeiten:

  1. Klicken Sie in AD mit der rechten Maustaste auf den Computer und wählen Sie Konto zurücksetzen.
    Treten Sie dann erneut bei, ohne den Computer der Domäne zuzuordnen.
    Neustart erforderlich.
  2. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes ein: dsmod computer "ComputerDN" -reset
    Verbinden Sie sich erneut, ohne die Verbindung des Computers mit der Domäne zu trennen.
    Neustart erforderlich.
  3. netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes ein: Das Konto, dessen Anmeldeinformationen Sie angegeben haben, muss Mitglied der Gruppe Lokale Administratoren sein.
    Kein Wiedersehen. Kein Neustart.
  4. Geben Sie in einer Eingabeaufforderung mit dem Befehl elevate Folgendes ein: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    No rejoin. Kein Neustart.
Ahmed Raza
quelle
6

Hören Sie auf, mit diesem Problem auf Kundenseite zu kämpfen. Wenn Sie sich nicht bei der Domäne anmelden können, müssen Sie sich entweder mit einem aktivierten lokalen Konto anmelden oder eine Boot-CD verwenden, um eines zu aktivieren.

Entfernen Sie den Computer aus Active Directory-Benutzer und -Computer. Es sollte sich in den Verwaltungstools auf Ihrem Server befinden. Öffnen Sie die Organisationseinheit, die den Computer enthält. Suchen Sie den Computer, klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Löschen.

Bildbeschreibung hier eingeben

Es kann nicht schaden, geduldig zu sein und die Replikation zuzulassen, je nachdem, wie viele DCs Sie haben. Wenn Ihre Domain ziemlich einfach ist (keine Sites und nur zwei Domänencontroller), können Sie die repadmin /replicateReplikation erzwingen. Lesen Sie dies vorher durch.

Fügen Sie nun den PC erneut mit AD UC hinzu und warten Sie auf die Replikation oder erzwingen Sie sie.

Wenn es Sie immer noch anstößt, netdom /removeprobieren Sie es aus ( Manpage hier ) und prüfen Sie, ob es dadurch von Ihrer Domain entfernt wird. Wenn Sie Probleme damit haben, werfen Sie einen Blick auf diese Frage . Es ist ein anderes Szenario, aber im Wesentlichen dasselbe Konzept: Es wird versucht, einen Computer aus einer Domäne zu entfernen, wenn keine Verbindung zum Domänencontroller hergestellt werden kann.

Tanner Faulkner
quelle
1
Dadurch wird der PC aus der Domäne gelöscht, nicht wahr? Wie benutze ich die Domänenauthentifizierung, um mich am PC anzumelden, wenn er kein Domänenmitglied mehr ist? Kann ich es nicht mit ADUC hinzufügen?
Harper
Du hast recht. Hatte noch keinen Kaffee
Tanner Faulkner
4

Möglicherweise müssen Sie sich mit Anmeldeinformationen anmelden, die für diesen Computer lokal sind. Bei der Erstinstallation des Betriebssystems wurde ein lokales Konto eingerichtet.

Melden Sie sich mit diesem Konto unter Verwendung des Computernamens als Domäne an (z. B. MYCOMP \ JSmith). Normalerweise ist das lokale Computeradministratorkonto vorhanden, aber standardmäßig deaktiviert.

Sobald Sie als lokaler Benutzer angemeldet sind, sollten Sie die Domain verlassen und wieder beitreten können.

Rich G
quelle
Das Verlassen der Domain und das erneute Betreten der Domain ist die bevorzugte Lösung für dieses Problem. Manchmal funktioniert es jedoch nicht und Sie müssen auch den Computernamen ändern, wenn Active Directory die Änderung aus irgendeinem Grund nicht versteht.
Lee Harrison
4

Ab Server 2008 R2 ist die Aufgabe sehr einfach. Jetzt können wir das Test-ComputerSecureChannelCmdlet verwenden.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Bildschirmfoto

Fügen Sie den -RepairParameter hinzu, um die eigentliche Reparatur durchzuführen. Verwenden Sie Anmeldeinformationen für ein Konto, das berechtigt ist, Computer der Domäne hinzuzufügen.

Referenz:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- EDIT--

Wenn Sie dafür keine lokalen Administratorkonten verwenden können, können Sie mit dem bekannten Sticky Keys- Hack ein Konto erstellen (oder das deaktivierte integrierte Administratorkonto aktivieren) .

Gehen Sie folgendermaßen vor, um ein vergessenes Administratorkennwort zurückzusetzen: ^

  1. Booten Sie von Windows PE oder Windows RE und rufen Sie die Eingabeaufforderung auf.
  2. Suchen Sie den Laufwerksbuchstaben der Partition, auf der Windows installiert ist. In Vista und Windows XP ist es normalerweise C :, in Windows 7 ist es D: in den meisten Fällen, weil die erste Partition Startup Repair enthält. Um den Laufwerksbuchstaben zu finden, geben Sie C: (bzw. D:) ein und suchen Sie nach dem Windows-Ordner. Beachten Sie, dass sich Windows PE (RE) normalerweise auf X: befindet. Für die Zwecke dieser Demonstration nehmen wir an, dass Windows auf Laufwerk C installiert ist:
  3. copy C:\Windows\System32\sethc.exe C:\Geben Sie den folgenden Befehl ein: Dadurch wird eine Kopie von sethc.exe erstellt, die später wiederhergestellt wird.
  4. Geben Sie diesen Befehl ein, um sethc.exe durch cmd.exe zu ersetzen: Starten Sie copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeIhren Computer neu und führen Sie die Windows-Instanz aus, für die Sie kein Administratorkennwort haben.
  5. Wenn der Anmeldebildschirm angezeigt wird, drücken Sie fünfmal die UMSCHALTTASTE.
  6. Es sollte eine Eingabeaufforderung angezeigt werden, in der Sie den folgenden Befehl zum Zurücksetzen des Windows-Kennworts eingeben können: net user [username] [password] Wenn Sie Ihren Benutzernamen nicht kennen, geben Sie einfach net userein, um die verfügbaren Benutzernamen aufzulisten.
  7. Sie können sich jetzt mit dem neuen Passwort anmelden.

Wenn Sie das standardmäßig deaktivierte integrierte Administratorkonto aktivieren möchten, anstatt das Kennwort für ein vorhandenes Konto zurückzusetzen, lautet der Befehl:

  1. net user administrator /active:yes.

Wenn Sie ein neues Konto erstellen und es der lokalen Administratorgruppe hinzufügen möchten, lautet die Befehlsfolge wie folgt:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
quelle
Hervorragende Informationsquelle hier! $credential = Get-CredentialDrücken Sie die Eingabetaste , geben Sie bei Aufforderung das Kennwort ein. Test-ComputerSecureChannel -Credential $credential -Repair -VerboseWir haben dann genau das getan und für uns gearbeitet (im Grunde das, was Sie beschrieben haben, aber für diejenigen, denen es möglicherweise schwer fällt, zu folgen, etwas differenziert). Toller Trick auf die sethc.exe und wieder Zugriff auf das lokale Administratorkonto.
Vapcguy
1
@vapcguy - In all den Jahren haben sie das immer noch nicht behoben. Es ist ein bisschen beunruhigend, zu wissen, dass eine Windows-Installation so leicht kompromittiert werden kann.
InteXX
InteXX - Ja, aber es ist nett, wenn Sie das Passwort für das lokale Administratorkonto verlieren - oder es nie erhalten, weil die ausgehenden Auftragnehmer
vapcguy sein möchten
1
Jedes Schwert hat zwei Kanten :-)
InteXX
2

Das Hinzufügen des PCs ist nur möglich, wenn Sie über Administratorrechte am PC und das Recht zum Ändern des DC verfügen.

Daher ist es notwendig, das Administratorkennwort am PC zurückzusetzen. Eine Möglichkeit, diese Aufgabe auszuführen, besteht darin, die Installations-DVD zu verwenden und die Reparaturkonsole zu verwenden. Auf diese Weise können Sie die volle Kontrolle wiedererlangen.

Harper
quelle
1

Die einzige Lösung, wenn Sie ein Problem mit der PC / Server-Vertrauenswürdigkeit haben (nach dem Zurücksetzen auf DC neu erstellen usw.), um dieses Problem ohne Wiederherstellung zu beheben!

Deaktivieren Sie alle NICS, damit die Vertrauensstellung mit dem Anmelde-DC nicht überprüft werden kann. Melden Sie sich dann mit einem zuvor angemeldeten Domänenkonto auf Administratorebene an (muss sich in lokalen PC-Administratorgruppen befinden), das zuvor angemeldet war, um die zwischengespeicherten Anmeldeinformationen zu nutzen. Mein Problem war, dass ich eine W7-VM von Prod in ein Testlabor verlegte und damit rechnete, dass ein Vertrauensbruch eintreten würde, jedoch nicht, dass ich mich nicht mit lokalen Administrator- / Benutzerkonten oder sogar mit den zwischengespeicherten "alten Domänen" -Anmeldeinformationen anmelden konnte.

Deaktivieren Sie die Netzwerkkarte und die zwischengespeicherten Anmeldeinformationen. Anschließend können Sie erneut der Domäne mit beitreten netdom join.

Wenn die zwischengespeicherten Anmeldeinformationen nicht mehr ausreichen (abhängig von lokalen Betriebssystemrichtlinien / Gruppenrichtlinienobjekten - bis zu 50), führen Sie eine Systemwiederherstellung auf die vorherigen Tage durch. Dies funktioniert auch.

reg ein
quelle
0

Versuchen Sie zunächst, sich mit Administrator (Computername \ Administrator) anzumelden, dann die Verbindung zur WorkGroup zu trennen und anschließend neu zu starten. Ihr PC befindet sich nun in WorkGrup als lokales Konto. Versuchen Sie nun erneut, der Domain beizutreten. (Klicken Sie mit der rechten Maustaste auf Arbeitsplatz-> Eigenschaft-> Ändern-> Doamin-> Ex Fu-com.com -> Dann wird es als Administratorkennwort für den Server verwendet. Geben Sie dann den Benutzernamen als Administrator und dann das Kennwort ein. Starten Sie dann Ihren Computer neu. Jetzt befindet sich Ihr Computer in der Domäne und versuchen Sie, sich mit Ihrer Benutzer-ID und Ihrem Kennwort anzumelden.

Ahmed Raza
quelle
1
Bitte vor dem Post lesen. Der letzte Satz (nach Bearbeiten ) zeigt, dass ich keine lokalen Konten verwenden kann.
Harper
0
  1. Trennen Sie das Netzwerkkabel und melden Sie sich bei der betroffenen Arbeitsstation an (zwischengespeicherte Anmeldeinformationen ermöglichen dies.) Schließen Sie anschließend das Netzwerkkabel wieder an.

  2. Laden Sie das RSAT-Paket (Remote Server Administration Tools) von Microsoft hier herunter: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (wählen Sie die entsprechende 32-Bit- oder 64-Bit-Version aus auf das Betriebssystem der Workstation, nicht auf den Server.)

  3. Installieren Sie das heruntergeladene Paket. Wir hatten Probleme damit, bis wir den Clean-Boot-Modus verwendet haben. Möglicherweise müssen Sie die Workstation nach der Konfiguration für Clean-Boot neu starten, was nach diesem Vorgang rückgängig gemacht werden kann.

  4. Durch die Installation von RSAT wird es nicht automatisch zur Verfügung gestellt. Gehen Sie zu Systemsteuerung -> Programme -> Windows-Funktionen hinzufügen / entfernen und suchen Sie nach Remote Server Administrator Tools. Erweitern Sie dies und führen Sie einen Drilldown zu AD / AS / Command Line durch, und aktivieren Sie dies.

  5. Öffnen Sie ein Befehlsfenster als Administrator und geben Sie den folgenden Befehl ein:

NETDOM.EXE resetpwd / s: (Server) / ud: (Benutzername) / pd: *

Wobei (server) der Netbios-Name des Domain-Servers und (username) das Anmeldekonto der betroffenen Workstation im Format DOMAIN \ Benutzername ist

Das ist es. Danach kehrte alles auf der Workstation zum Normalzustand zurück.

user473120
quelle
-3

Ich hatte dies geschehen und was für mich gearbeitet hat, ist, sich auf Admin-Konto anzumelden und wieder zur Arbeitsgruppe hinzuzufügen, dann wieder zur Domäne hinzuzufügen.

Chris
quelle
There are no active local accounts on the machine that I could use to logon.Diese Antwort ähnelt auch der akzeptierten Antwort.
Rsya Studios
-3

Wenn Sie eine Antivirensoftware installiert haben, gehen Sie wie folgt vor ...

Start ==> Ausführen ==> ncpa.cpl ==> Drücken Sie die Taste Alt+ N==> Erweiterte Einstellungen ==> Registerkarte Provider Order ==> Drücken Sie die Taste nach oben, um das Microsoft Windows-Netzwerk nach oben zu bringen.

Führen Sie das auf Client und Domäne-Controller (DC) aus.

Khalid Khan
quelle
4
Warum? Wie wird die Vertrauensstellung zwischen dem Client und dem Domänencontroller behoben?
ein Lebenslauf