Re-joindre un ordinateur au domaine

18

J'ai un problème avec un PC Windows 7 qui était membre du domaine. Lorsque j'essaie de me connecter à ce PC avec des informations d'identification de domaine, je reçois un message similaire à

The trust relationship between this workstation and the primary domain could not be established.

Maintenant, je dois rétablir l'appartenance du PC au domaine. Mais comme je ne peux pas me connecter, je ne peux changer ni le nom de l'ordinateur ni l'appartenance au domaine.

  • Comment puis-je faire à nouveau confiance au PC et au domaine?
  • Puis-je ajouter ou renouveler l'adhésion à partir de la console des contrôleurs de domaine?

Modifier :

Il n'y a aucun compte local actif sur la machine que je pourrais utiliser pour me connecter.

harper
la source
Avez-vous accès à AD UC?
Tanner Faulkner
L'accès à quoi? Je suppose: AD = Active Directory UC = ?? Mais: Oui, j'ai des droits administratifs sur le domaine.
harper

Réponses:

9

Cette astuce se fait via mon groupe d'étude Active Directory. Je suggère que tout le monde rejoigne un groupe d'utilisateurs et / ou un groupe d'étude. Ce n'est pas que nous ne connaissons pas AD, c'est que nous oublions ou manquons de nouvelles fonctionnalités. Un cours de recyclage est aussi amusant.

Parfois, un ordinateur sera «disjoint» du domaine. Les symptômes peuvent être que l'ordinateur ne peut pas se connecter lorsqu'il est connecté au réseau, un message indiquant que le compte d'ordinateur a expiré, le certificat de domaine n'est pas valide, etc. Tout cela provient du même problème et c'est que le canal sécurisé entre l'ordinateur et le domaine est arrosé. (c'est un terme technique. Sourire)

La manière classique de résoudre ce problème consiste à dissocier et à rejoindre le domaine. Cela est un peu pénible car cela nécessite quelques redémarrages et le profil utilisateur n'est pas toujours reconnecté. Bref. De plus, si vous aviez cet ordinateur dans des groupes ou si vous lui avez attribué des autorisations spécifiques, ceux-ci ont disparu, car votre ordinateur a maintenant un nouveau SID, donc l'AD ne le voit plus comme la même machine. Vous devrez recréer tout cela à partir de l'excellente documentation que vous avez conservée. Euh, huh, votre excellente documentation. Double brebis.

Au lieu de cela, nous pouvons simplement réinitialiser le canal sécurisé. Il y a deux façons de procéder:

  1. Dans AD, cliquez avec le bouton droit sur l'ordinateur et sélectionnez Réinitialiser le compte.
    Rejoignez ensuite à nouveau sans dissocier l'ordinateur au domaine.
    Redémarrage nécessaire.
  2. Dans une invite de commandes élevée, tapez: dsmod computer "ComputerDN" -reset
    Rejoignez à nouveau sans dissocier l'ordinateur au domaine.
    Redémarrage nécessaire.
  3. Dans une invite de commandes élevée, tapez: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Le compte dont vous avez fourni les informations d'identification doit être membre du groupe Administrateurs locaux.
    Pas de retour. Pas de redémarrage.
  4. Dans une invite de commande élevée, tapez: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Pas de rejointe. Pas de redémarrage.
Ahmed Raza
la source
6

Arrêtez de vous battre avec ce problème du côté client. Si vous ne pouvez pas vous connecter au domaine, vous devrez soit vous connecter avec un compte local activé, soit utiliser un CD de démarrage pour l'activer.

Essayez de supprimer la machine des utilisateurs et ordinateurs Active Directory. Il doit se trouver dans les outils d'administration de votre serveur. Ouvrez l'unité d'organisation (unité d'organisation) qui contient l'ordinateur. Trouvez l'ordinateur, faites un clic droit dessus et appuyez sur Supprimer.

entrez la description de l'image ici

Il peut ne pas faire de mal d'être patient et de laisser la réplication faire son travail, selon le nombre de contrôleurs de domaine dont vous disposez. Si votre domaine est assez simple (pas de sites et seulement deux contrôleurs de domaine), vous pouvez utiliser repadmin /replicatepour forcer la réplication. Lisez ceci avant de le faire.

Ajoutez à nouveau le PC à l'aide d'AD UC et attendez la réplication ou forcez-la.

S'il vous plait encore, netdom /removeessayez ( page de manuel ici ) et voyez si cela le retirera de votre domaine. Si cela vous pose problème, jetez un œil à cette question . C'est un scénario différent mais essentiellement le même concept: essayer de supprimer un ordinateur d'un domaine lorsqu'il ne peut pas contacter le contrôleur de domaine.

Tanner Faulkner
la source
1
Cela supprimera le PC du domaine, n'est-ce pas? Comment utiliser l'authentification de domaine pour me connecter au PC lorsqu'il n'est plus membre du domaine? Je ne peux pas l'ajouter avec ADUC?
harper
Tu as raison. Je n'avais pas encore pris mon café ...
Tanner Faulkner
4

Vous devrez peut-être vous connecter à l'aide d'informations d'identification locales sur cette machine. Lorsque le système d'exploitation a été installé pour la première fois, un compte local est configuré.

Connectez-vous avec ce compte en utilisant le nom de l'ordinateur comme domaine (ex. MYCOMP \ JSmith). Habituellement, le compte administrateur de l'ordinateur local est présent mais désactivé par défaut.

Une fois connecté en tant qu'utilisateur local, vous devriez pouvoir quitter et rejoindre le domaine.

Rich G
la source
Quitter et rentrer dans le domaine est la solution préférée à cela. Cependant, parfois cela ne fonctionne tout simplement pas et vous devrez également modifier le nom de votre ordinateur si Active Directory ne comprend pas le changement pour une raison quelconque.
Lee Harrison
4

Depuis Server 2008 R2, la tâche est très simple. Nous pouvons maintenant utiliser l' Test-ComputerSecureChannelapplet de commande.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Capture d'écran

Ajoutez le -Repairparamètre pour effectuer la réparation réelle; utiliser des informations d'identification pour un compte autorisé à joindre des ordinateurs au domaine.

Référence:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-- ÉDITER--

S'il n'y a pas de compte d'administrateur local que vous pouvez utiliser pour cela, vous pouvez en créer un (ou activer le compte d'administrateur intégré désactivé) avec le hack bien connu des touches rémanentes.

Pour réinitialiser un mot de passe administrateur oublié, procédez comme suit: ^

  1. Démarrez à partir de Windows PE ou Windows RE et accédez à l'invite de commande.
  2. Recherchez la lettre de lecteur de la partition sur laquelle Windows est installé. Sous Vista et Windows XP, il s'agit généralement de C :, dans Windows 7, il s'agit de D: dans la plupart des cas, car la première partition contient la réparation de démarrage. Pour rechercher la lettre de lecteur, tapez C: (ou D:, respectivement) et recherchez le dossier Windows. Notez que Windows PE (RE) réside généralement sur X :. Aux fins de cette démonstration, nous supposerons que Windows est installé sur le lecteur C:
  3. Tapez la commande suivante: copy C:\Windows\System32\sethc.exe C:\Cela crée une copie de sethc.exe à restaurer ultérieurement.
  4. Tapez cette commande pour remplacer sethc.exe par cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeredémarrez votre ordinateur et exécutez l'instance Windows pour laquelle vous n'avez pas le mot de passe administrateur.
  5. Après avoir vu l'écran de connexion, appuyez cinq fois sur la touche MAJ.
  6. Vous devriez voir une invite de commande où vous pouvez entrer la commande suivante pour réinitialiser le mot de passe Windows: net user [username] [password] Si vous ne connaissez pas votre nom d'utilisateur, tapez simplement net userpour répertorier les noms d'utilisateur disponibles.
  7. Vous pouvez maintenant vous connecter avec le nouveau mot de passe.

Si vous souhaitez activer le compte administrateur intégré désactivé par défaut au lieu de réinitialiser le mot de passe sur un compte existant, la commande est:

  1. net user administrator /active:yes.

Si vous souhaitez créer un nouveau compte et l'ajouter au groupe Administrateurs local, la séquence de commandes est la suivante:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
la source
Excellente source d'informations ici! $credential = Get-Credential, appuyez sur Entrée , tapez le mot de passe à l'invite, puis Test-ComputerSecureChannel -Credential $credential -Repair -Verbosevoici ce que nous avons fait et travaillé pour nous (essentiellement ce que vous avez décrit mais légèrement nuancé pour ceux qui pourraient avoir du mal à suivre). Grande astuce sur le sethc.exe et récupérer à nouveau le compte d'administrateur local.
vapcguy
1
@vapcguy - Toutes ces années, et ils n'ont toujours pas corrigé cela. C'est un peu déconcertant, sachant qu'une installation Windows peut être si facilement compromise.
InteXX
InteXX - Oui, mais c'est plutôt bien quand vous perdez le mot de passe du compte d'administrateur local - ou que vous ne le recevez jamais parce que les entrepreneurs sortants veulent être @ # &% !, lol
vapcguy
1
Chaque épée a deux bords :-)
InteXX
2

Il n'est possible d'ajouter le PC que si vous avez les droits d'administrateur sur le PC et le droit de changer le DC.

Il est donc nécessaire de réinitialiser le mot de passe administrateur sur le PC. Une façon d'effectuer cette tâche consiste à utiliser le DVD d'installation et à utiliser la console de réparation. Cela vous permet de reprendre le contrôle total.

harper
la source
1

La seule solution, si vous avez un problème PC / Server Trust, (après réinitialisation, recréer sur DC, etc.) pour le résoudre sans aucune restauration!

Désactivez tous les NICS, afin qu'il ne puisse pas vérifier la relation d'approbation avec le DC d'ouverture de session. Ensuite, connectez-vous avec un compte de domaine de niveau administrateur précédemment connecté (qui doit résider dans des groupes d'administrateurs PC locaux) qui était précédemment connecté, c'est-à-dire pour tirer parti des informations d'identification mises en cache. Mon problème était que j'ai déplacé une machine virtuelle W7 de prod à un laboratoire de test et que je m'attendais à ce qu'une confiance soit rompue, mais pas que je ne pouvais pas me connecter avec les comptes d'administrateur / utilisateur locaux, ou même avec les informations d'identification mises en cache des "anciens domaines".

Désactivez le NIC et les informations d'identification mises en cache, vous pouvez ensuite rejoindre le domaine avec netdom join.

Si vous manquez d'essais des informations d'identification mises en cache (cela dépend des stratégies / GPO du système d'exploitation local - jusqu'à 50), effectuez une restauration du système sur les jours précédents, cela fonctionnera également.

reg one
la source
0

Essayez d'abord de vous connecter avec Administrateur (nom de l'ordinateur \ Administrateur), puis dissociez le domaine à WorkGroup puis redémarrez. Maintenant, votre PC est dans WorkGrup en tant que compte local. Maintenant, essayez à nouveau de rejoindre le domaine. (Faites un clic droit sur Poste de travail-> Propriété-> Modifier-> Doamin-> Ex Fu-com.com -> Ensuite, ce sera comme mot de passe administrateur pour le serveur, puis entrez le nom d'utilisateur en tant qu'administrateur, puis le mot de passe. puis redémarrez votre ordinateur. Maintenant que votre ordinateur est dans le domaine, essayez de vous connecter avec votre ID utilisateur et votre mot de passe.

Ahmed Raza
la source
1
Veuillez lire avant de poster. La dernière phrase (après Edit ) montre que je ne peux pas utiliser de comptes locaux.
harper
0
  1. Déconnectez le câble réseau et connectez-vous au poste de travail affecté (les informations d'identification mises en cache le permettront.) Après cela, reconnectez le câble réseau.

  2. Téléchargez le package RSAT (Remote Server Administration Tools) auprès de Microsoft ici: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (sélectionnez la bonne version 32 bits ou 64 bits en fonction au système d'exploitation de la station de travail, pas au serveur.)

  3. Installez le package téléchargé. Nous avons eu des problèmes avec cela jusqu'à ce que nous utilisions le mode de démarrage propre, vous devrez donc peut-être redémarrer la station de travail après avoir configuré pour un démarrage propre, qui peut être annulé après ce processus.

  4. L'installation de RSAT ne le rend pas automatiquement disponible à l'utilisation. Allez dans Panneau de configuration -> Programmes -> Ajouter / supprimer des fonctionnalités Windows et recherchez les outils d'administration de serveur distant. Développez ceci et descendez jusqu'à AD / AS / Command line et activez-le.

  5. Ouvrez une fenêtre de commande en tant qu'administrateur et entrez cette commande:

NETDOM.EXE resetpwd / s: (serveur) / ud: (nom d'utilisateur) / pd: *

Où (serveur) est le nom Netbios du serveur de domaine et (nom d'utilisateur) est le compte de connexion de la station de travail affectée au format DOMAINE \ Nom d'utilisateur

C'est ça. Après cela, tout est revenu à la normale sur le poste de travail.

user473120
la source
-3

J'ai eu cela et ce qui a fonctionné pour moi est de me connecter sur le compte administrateur et de l'ajouter au groupe de travail, puis de l'ajouter au domaine après cela.

Chris
la source
There are no active local accounts on the machine that I could use to logon.Cette réponse est également similaire à la réponse acceptée.
Rsya Studios
-3

Si vous avez installé un logiciel antivirus, procédez comme suit ...

Démarrer ==> exécuter ==> ncpa.cpl ==> appuyez sur le bouton Alt+ N==> Paramètres avancés ==> onglet Provider Order ==> appuyez sur le bouton du haut pour obtenir Microsoft Windows Network en haut.

Faites cela sur le client et le contrôleur de domaine (DC).

khalid khan
la source
4
Pourquoi? Comment cela corrige-t-il la relation d'approbation entre le client et le contrôleur de domaine?
un CVn