J'ai un problème avec un PC Windows 7 qui était membre du domaine. Lorsque j'essaie de me connecter à ce PC avec des informations d'identification de domaine, je reçois un message similaire à
The trust relationship between this workstation and the primary domain could not be established.
Maintenant, je dois rétablir l'appartenance du PC au domaine. Mais comme je ne peux pas me connecter, je ne peux changer ni le nom de l'ordinateur ni l'appartenance au domaine.
- Comment puis-je faire à nouveau confiance au PC et au domaine?
- Puis-je ajouter ou renouveler l'adhésion à partir de la console des contrôleurs de domaine?
Modifier :
Il n'y a aucun compte local actif sur la machine que je pourrais utiliser pour me connecter.
windows
domain
active-directory
harper
la source
la source
Réponses:
Cette astuce se fait via mon groupe d'étude Active Directory. Je suggère que tout le monde rejoigne un groupe d'utilisateurs et / ou un groupe d'étude. Ce n'est pas que nous ne connaissons pas AD, c'est que nous oublions ou manquons de nouvelles fonctionnalités. Un cours de recyclage est aussi amusant.
Parfois, un ordinateur sera «disjoint» du domaine. Les symptômes peuvent être que l'ordinateur ne peut pas se connecter lorsqu'il est connecté au réseau, un message indiquant que le compte d'ordinateur a expiré, le certificat de domaine n'est pas valide, etc. Tout cela provient du même problème et c'est que le canal sécurisé entre l'ordinateur et le domaine est arrosé. (c'est un terme technique. Sourire)
La manière classique de résoudre ce problème consiste à dissocier et à rejoindre le domaine. Cela est un peu pénible car cela nécessite quelques redémarrages et le profil utilisateur n'est pas toujours reconnecté. Bref. De plus, si vous aviez cet ordinateur dans des groupes ou si vous lui avez attribué des autorisations spécifiques, ceux-ci ont disparu, car votre ordinateur a maintenant un nouveau SID, donc l'AD ne le voit plus comme la même machine. Vous devrez recréer tout cela à partir de l'excellente documentation que vous avez conservée. Euh, huh, votre excellente documentation. Double brebis.
Au lieu de cela, nous pouvons simplement réinitialiser le canal sécurisé. Il y a deux façons de procéder:
Rejoignez ensuite à nouveau sans dissocier l'ordinateur au domaine.
Redémarrage nécessaire.
dsmod computer "ComputerDN" -reset
Rejoignez à nouveau sans dissocier l'ordinateur au domaine.
Redémarrage nécessaire.
netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
Le compte dont vous avez fourni les informations d'identification doit être membre du groupe Administrateurs locaux.
Pas de retour. Pas de redémarrage.
nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Pas de rejointe. Pas de redémarrage.
la source
Arrêtez de vous battre avec ce problème du côté client. Si vous ne pouvez pas vous connecter au domaine, vous devrez soit vous connecter avec un compte local activé, soit utiliser un CD de démarrage pour l'activer.
Essayez de supprimer la machine des utilisateurs et ordinateurs Active Directory. Il doit se trouver dans les outils d'administration de votre serveur. Ouvrez l'unité d'organisation (unité d'organisation) qui contient l'ordinateur. Trouvez l'ordinateur, faites un clic droit dessus et appuyez sur Supprimer.
Il peut ne pas faire de mal d'être patient et de laisser la réplication faire son travail, selon le nombre de contrôleurs de domaine dont vous disposez. Si votre domaine est assez simple (pas de sites et seulement deux contrôleurs de domaine), vous pouvez utiliser
repadmin /replicate
pour forcer la réplication. Lisez ceci avant de le faire.Ajoutez à nouveau le PC à l'aide d'AD UC et attendez la réplication ou forcez-la.
S'il vous plait encore,
netdom /remove
essayez ( page de manuel ici ) et voyez si cela le retirera de votre domaine. Si cela vous pose problème, jetez un œil à cette question . C'est un scénario différent mais essentiellement le même concept: essayer de supprimer un ordinateur d'un domaine lorsqu'il ne peut pas contacter le contrôleur de domaine.la source
Vous devrez peut-être vous connecter à l'aide d'informations d'identification locales sur cette machine. Lorsque le système d'exploitation a été installé pour la première fois, un compte local est configuré.
Connectez-vous avec ce compte en utilisant le nom de l'ordinateur comme domaine (ex. MYCOMP \ JSmith). Habituellement, le compte administrateur de l'ordinateur local est présent mais désactivé par défaut.
Une fois connecté en tant qu'utilisateur local, vous devriez pouvoir quitter et rejoindre le domaine.
la source
Depuis Server 2008 R2, la tâche est très simple. Nous pouvons maintenant utiliser l'
Test-ComputerSecureChannel
applet de commande.Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
Ajoutez le
-Repair
paramètre pour effectuer la réparation réelle; utiliser des informations d'identification pour un compte autorisé à joindre des ordinateurs au domaine.Référence:
https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel
http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined
-- ÉDITER--
S'il n'y a pas de compte d'administrateur local que vous pouvez utiliser pour cela, vous pouvez en créer un (ou activer le compte d'administrateur intégré désactivé) avec le hack bien connu des touches rémanentes.
copy C:\Windows\System32\sethc.exe C:\
Cela crée une copie de sethc.exe à restaurer ultérieurement.copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
redémarrez votre ordinateur et exécutez l'instance Windows pour laquelle vous n'avez pas le mot de passe administrateur.net user [username] [password]
Si vous ne connaissez pas votre nom d'utilisateur, tapez simplementnet user
pour répertorier les noms d'utilisateur disponibles.Si vous souhaitez activer le compte administrateur intégré désactivé par défaut au lieu de réinitialiser le mot de passe sur un compte existant, la commande est:
net user administrator /active:yes
.Si vous souhaitez créer un nouveau compte et l'ajouter au groupe Administrateurs local, la séquence de commandes est la suivante:
net user /add [username] [password]
net localgroup administrators [username] /add
la source
$credential = Get-Credential
, appuyez sur Entrée , tapez le mot de passe à l'invite, puisTest-ComputerSecureChannel -Credential $credential -Repair -Verbose
voici ce que nous avons fait et travaillé pour nous (essentiellement ce que vous avez décrit mais légèrement nuancé pour ceux qui pourraient avoir du mal à suivre). Grande astuce sur le sethc.exe et récupérer à nouveau le compte d'administrateur local.Il n'est possible d'ajouter le PC que si vous avez les droits d'administrateur sur le PC et le droit de changer le DC.
Il est donc nécessaire de réinitialiser le mot de passe administrateur sur le PC. Une façon d'effectuer cette tâche consiste à utiliser le DVD d'installation et à utiliser la console de réparation. Cela vous permet de reprendre le contrôle total.
la source
La seule solution, si vous avez un problème PC / Server Trust, (après réinitialisation, recréer sur DC, etc.) pour le résoudre sans aucune restauration!
Désactivez tous les NICS, afin qu'il ne puisse pas vérifier la relation d'approbation avec le DC d'ouverture de session. Ensuite, connectez-vous avec un compte de domaine de niveau administrateur précédemment connecté (qui doit résider dans des groupes d'administrateurs PC locaux) qui était précédemment connecté, c'est-à-dire pour tirer parti des informations d'identification mises en cache. Mon problème était que j'ai déplacé une machine virtuelle W7 de prod à un laboratoire de test et que je m'attendais à ce qu'une confiance soit rompue, mais pas que je ne pouvais pas me connecter avec les comptes d'administrateur / utilisateur locaux, ou même avec les informations d'identification mises en cache des "anciens domaines".
Désactivez le NIC et les informations d'identification mises en cache, vous pouvez ensuite rejoindre le domaine avec
netdom join
.Si vous manquez d'essais des informations d'identification mises en cache (cela dépend des stratégies / GPO du système d'exploitation local - jusqu'à 50), effectuez une restauration du système sur les jours précédents, cela fonctionnera également.
la source
Essayez d'abord de vous connecter avec Administrateur (nom de l'ordinateur \ Administrateur), puis dissociez le domaine à WorkGroup puis redémarrez. Maintenant, votre PC est dans WorkGrup en tant que compte local. Maintenant, essayez à nouveau de rejoindre le domaine. (Faites un clic droit sur Poste de travail-> Propriété-> Modifier-> Doamin-> Ex Fu-com.com -> Ensuite, ce sera comme mot de passe administrateur pour le serveur, puis entrez le nom d'utilisateur en tant qu'administrateur, puis le mot de passe. puis redémarrez votre ordinateur. Maintenant que votre ordinateur est dans le domaine, essayez de vous connecter avec votre ID utilisateur et votre mot de passe.
la source
Déconnectez le câble réseau et connectez-vous au poste de travail affecté (les informations d'identification mises en cache le permettront.) Après cela, reconnectez le câble réseau.
Téléchargez le package RSAT (Remote Server Administration Tools) auprès de Microsoft ici: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (sélectionnez la bonne version 32 bits ou 64 bits en fonction au système d'exploitation de la station de travail, pas au serveur.)
Installez le package téléchargé. Nous avons eu des problèmes avec cela jusqu'à ce que nous utilisions le mode de démarrage propre, vous devrez donc peut-être redémarrer la station de travail après avoir configuré pour un démarrage propre, qui peut être annulé après ce processus.
L'installation de RSAT ne le rend pas automatiquement disponible à l'utilisation. Allez dans Panneau de configuration -> Programmes -> Ajouter / supprimer des fonctionnalités Windows et recherchez les outils d'administration de serveur distant. Développez ceci et descendez jusqu'à AD / AS / Command line et activez-le.
Ouvrez une fenêtre de commande en tant qu'administrateur et entrez cette commande:
NETDOM.EXE resetpwd / s: (serveur) / ud: (nom d'utilisateur) / pd: *
Où (serveur) est le nom Netbios du serveur de domaine et (nom d'utilisateur) est le compte de connexion de la station de travail affectée au format DOMAINE \ Nom d'utilisateur
C'est ça. Après cela, tout est revenu à la normale sur le poste de travail.
la source
J'ai eu cela et ce qui a fonctionné pour moi est de me connecter sur le compte administrateur et de l'ajouter au groupe de travail, puis de l'ajouter au domaine après cela.
la source
There are no active local accounts on the machine that I could use to logon.
Cette réponse est également similaire à la réponse acceptée.Si vous avez installé un logiciel antivirus, procédez comme suit ...
Démarrer ==> exécuter ==> ncpa.cpl ==> appuyez sur le bouton Alt+ N==> Paramètres avancés ==> onglet Provider Order ==> appuyez sur le bouton du haut pour obtenir Microsoft Windows Network en haut.
Faites cela sur le client et le contrôleur de domaine (DC).
la source