Не удалось установить доверительные отношения между этой рабочей станцией: Восстанавливаем доверительные отношения в домене
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом — Записная книжка компьютерщика
При попытке входа в учетную запись доменного пользователя компьютер выдаёт «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и никаких вариантов. Ладно если так произошло на одном каком-то компьютерах, а ведь может случиться так что это произошло на всех компьютерах домена одновременно! Вот это атас!!!
Почему так происходит:
Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.
Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.
Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.
Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.
Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.
Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.
Информация с сайта interface31.ru
Для восстановления доверительных отношений существует несколько способов, с которыми можно ознакомиться на вышеуказанном сайте. Я делал так:
Утилита Netdom
Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:
1 | Netdom resetpwd /<span>Server</span>:DomainController /UserD:Administrator /PasswordD:Password |
Разберем опции команды:
- Server — имя любого доменного контроллера
- UserD — имя учетной записи администратора домена
- PasswordD — пароль администратора домена
Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).
Утилита Nltest (вроде удобнее, но я не пробовал)
Данная утилита присутствует на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.
Nltest /query — проверить безопасное соединение с доменом;
Nltest /sc_reset:Your_domain.net — сбросить учетную запись компьютера в домене;
Nltest /sc_change_pwd:Your_domain.net — изменить пароль компьютера.
P.S. Умозаключения:
- Также следует проверить наличие расхождения времени между контроллером домена и клиентским компьютером — Статья
- При откате контроллера домена скорее всего никто из пользователей не сможет войти в домен из-за устаревших автоматических паролей. А проделывать команду Netdom на каждом из них довольно проблематично. Но можно попробовать с помощью psexec
(Просмотрено 1 443 раз, 2 раз за сегодня)
с вашего сайта.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом. (0x800706FD)
Проблема возникла после того, как один из обновившихся до Windows 1903 компьютеров, накачал к ней свежих обновлений, и не вышел из перезагрузки (остановился на этапе крутящихся точек). Поковырявшись и не сумев ничего сделать решили откатиться к предыдущей версии системы, после чего прекрасно отработали пол дня и ушли на выходные.
После выходных на этом же компьютере ожидал неприятный сюрприз: при попытке войти доменным юзером, после ввода пароля выскакивало сообщение: “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”.
Отключив на момент входа компьютер от сети, вошли доменным пользователем. С первого взгляда всё в порядке – система работает, всё запускается под любым пользователем. На этом этапе закралось подозрение на проблему синхронизации времени.
По началу подозрения подтвердились:
PS C:\ w32tm.exe /query /source Local CMOS clock
Однако, после “лечения” компьютер всё равно отказывался получать время от контроллера домена.
В журнале системы, кроме ошибок о синхронизации времени, попадались вот такие записи:
Произошла ошибка при проверке имени этого компьютера на контроллере ***, являющимся контроллером домена Windows для домена ***, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера.
Это натолкнуло на мысль о том, что где-то в период обновления/отката компьютер поменял пароль от своей учётной записи в домене. Вот здесь об этом хорошо рассказано, а также приводятся варианты решения проблемы.
Собственно, для решения проблемы нужно переустановить учётную запись компьютера, или принудительно поменять пароль учётной записи компьютера.
Для второго варианта есть Powershell командлет Reset-ComputerMachinePassword. В простейшем случае его можно запустить без параметров. Для большего понимания можно задать контролер домена с помощью параметра –Server.
В нашем же случае на проблемном компьютере был профиль доменного админа, поэтому алгоритм действий получился такой:
- Отключили сеть на ПК
- Вошли доменным пользователем
- Включили обратно сеть
- Запустили Powershell от имени доменного админа
- Выполнили команду:
Reset-ComputerMachinePassword -Server DomainController
где DomainController – имя контроллера домена.
После этого всё стало на свои места.
Понравилось это:
Нравится Загрузка…
Похожее
Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
- Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
- Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Как лечить?
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так:
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo {Пароль | *}
На компьютере, где утрачены доверительные отношения:
nltest /server:Имя_сервера /sc_reset:ДОМЕН\Контроллер_домена
Evgeniy Korshunov: Восстановление доверия в домене
При попытке входа на одной из рабочих станций в домене, получаем следующее сообщение «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом«.
Решений найдено много, но больше всех понравилась статья у http://windowsnotes.ru, утяну на всякий случай.
«Как и учетные записи пользователей, учетные записи компьютеров в
домене имеют свой пароль. Пароль этот нужен для установления так
называемых «доверительных отношений» между рабочей станцией и
доменом. Пароли для компьютеров генерируются автоматически и также
автоматически каждые 30 дней изменяются.
Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай
. Если пароль изменится дважды, то компьютер, использующий старый
пароль, не сможет пройти проверку подлинности в домене и установить
безопасное соединение. Рассинхронизация паролей может произойти по
разным причинам, например компьютер был восстановлен из резервной копии,
на нем была произведена переустановка ОС или он просто был долгое время
выключен. В результате при попытке входа в домен нам будет выдано
сообщение о том, что не удается установить доверительные отношения с
доменом.
Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.
Способ первый
Открываем оснастку «Active Directory Users and Computers» и находим в
ней нужный компьютер. Кликаем на нем правой клавишей мыши и в
контекстном меню выбираем пункт «Reset Account». Затем заходим
на компьютер под локальной учетной записью и заново вводим его в домен.
Кое где встречаются рекомендации удалить компьютер из
домена и заново завести. Это тоже работает, однако при этом компьютер
получает новый SID и теряет членство в группах, что может привести к
непредсказуемым последствиям.
Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.
Способ второй
Заходим на компьютер, которому требуется сбросить пароль, открываем
командную консоль обязательно от имени администратора и вводим команду:
Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*
где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.
В открывшемся окне вводим учетные данные пользователя и жмем OK.
Пароль сброшен и теперь можно зайти на компьютер под доменной учетной
записью. Перезагрузка при этом не требуется.
Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно
использовать только для сброса пароля на контролере домена, другие
варианты использования не поддерживаются. Однако это не так, и команда
также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.
Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:
Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
Или сбросить учетную запись компьютера:
Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
где WKS1 — рабочая станция, которой сбрасываем учетку.
Способ достаточно быстрый и действенный, однако есть одно но: по
умолчанию утилита Netdom есть только на серверах с установленной ролью
Active Directory Domain Services (AD DS). На клиентских машинах она
доступна как часть пакета удаленного администрирования Remote Server
Administration Tools (RSAT).
Способ третий
Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
Nltest /query — проверить безопасное соединение с доменом;
Nltest /sc_reset:Contoso.com — сбросить учетную запись компьютера в домене;
Nltest /sc_change_pwd:Contoso.com — изменить пароль компьютера.
Самый быстрый и доступный способ, ведь утилита Nltest по умолчению
есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в
которой предусмотрен ввод учетных данных, Nltest работает в контексте
запустившего ее пользователя. Соответственно, зайдя на компьютер под
локальной учетной записью и попытавшись выполнить команду можем получить
ошибку доступа.
Способ четвертый
PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать
безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:
Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair
где SRV1 — контролер домена (указывать не обязательно).
Для сброса пароля также можно также воспользоваться такой командой:
Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator
Как установить доверительные отношения между компьютером и основным доменом
Здравствуйте Уважаемые читатели Хабрахабра! В просторах интернета каждый из нас может найти много отдельных статей о не прохождении аутентификации компьютера через домен-контроллер, если точнее сказать, компьютер подключенный к домену теряет связь с ним.
Итак, приступим к изучению этой проблемы.
У многих IT – инженеров, которые работают в больших и малых компаниях, имеются компьютеры с операционной системой Windows 7, 8.1 и т.п. и все эти компьютеры подключены к доменной сети (DC).
Данная проблема происходит из-за того, что сетевой протокол Kerberos не может синхронизироваться и пройти аутентификацию с компьютером (The trust relationship between this workstation and the primary domain failed), который подключен к домену. Тогда мы можем увидеть такую ошибку (см. фото ниже).
После чего мы ищем стороннюю программу, скачиваем ее, создаем загрузочную флешку и локального админа, далее логируемся через него и выходим с домена, добавляем компьютер в Workgroup-у и потом обратно подключаем этот компьютер к домену.
Используя Windows Batch scripting, я хочу создать bat file и автоматизировать процесс создания и добавления локального админа. Единственное, что нам будет необходимо, так это после создания данного файла запустить его.
Открываем наш текстовой редактор, вписываем команду, которая показана внизу.
net user admin Ww123456 /add /active:yes
WMIC USERACCOUNT WHERE "Name='admin'" SET PasswordExpires=FALSE
net localgroup Administrators admin /add
net localgroup Users admin /delete
netsh advfirewall set allprofiles state off
Пройдем все команды по пунктам для устранения неясных моментов.
• net user admin (вместо слова админ Вы можете добавить любое имя, которое Вас устраивает, по умолчанию ставится administrator, в моем случае это admin).
Далее мы видем пароль, который я там поставил Ww123456(Вы можете поставить любой запоминающийся для Вас пароль).
После мы видем /add /active:yes –добавить и активировать: ДА
• WMIC USERACCOUNT WHERE «Name=’admin’» SET PasswordExpires=FALSE – данная команда означает, что админ, который добавляется, имел постоянный пароль без срока действия (см. картинку ниже).
• Третий и четвертый пункт связаны между собой тем, что по умолчанию, когда создается локальный админ в пункте Member Of стоит Users (см. фото). Нам он не нужен (Users), потому что мы создаем полноправного администратора для нашей ОС. Поэтому четвертая команда — net localgroup Users admin /delete – удаляет Users, а предыдущая команда — net localgroup Administrators admin /add, добавляет администратора (см. фото).
• Последняя команда- netsh advfirewall set allprofiles state off, отключает брандмаузер Windows-a.
Иногда, чтобы установить какую-либо программу или дать какую-либо команду в Windows-e необходимо отключить firewall (После запуска скрипта Вы можете ввести команду- netsh advfirewall set allprofiles state on и включить его заново. У меня по умолчанию стоит off, так как я использую сторонний брандмаузер. Данный момент на усмотрение каждого лично).
Далее идем к нашему блокноту, нажимаем File, save as… (сохранить как…) вводим имя нашего скрипта( в моем случае: localadmin).Затем ставим точку (.) и пишем формат скрипта bat. Выбираем место, где сохранить данную запись и нажимаем save. Более детально показано на картинке.
Получается вот такой скрипт (см. фото).
Данный скрипт при запуске необходимо открывать от имени администратора:
• Нажимаем правую кнопку мыши и Run as administrator (см. фото).
После запуска скрипта у Вас должно появиться вот такое окошко (см. фото).
Если по каким-либо причинам выйдет ошибка, то в 90% таких случаев это связано с тем, что у Вас образ с которого Вы установили Windows, имеет нелицензионный характер, какие-либо repack или т.п. Скачивайте и используйте лицензионный и проверенный софт.
После удачного добавления локального админа, Вы можете этот скрипт запустить на всех рабочих машинах в Вашем офисе, в которых установлена ОС Windows.
Если у Вас когда-нибудь появится такая ошибка: The trust relationship between this workstation and the primary domain failed- Вам нужно будет только сделать switch user и где логин написать.\admin (запомните! В начале до слеша ставится точка!), далее внизу вводите пароль, который Вы добавили в Ваш скрипт (в моем случае: Ww123456). После этого Вы заходите на рабочую ОС.
Осталось снять наш компьютер с домена и добавить в Workgroup-у. Вместо Workgroup-а вписываем любую букву (см. фото).
Далее вводится пароль администратора домена и компьютер просит нас о перезагрузке.
После перезагрузки ещё раз заходим под нашим локальным админом и дальше уже добавляем компьютер к нашему домену. Система в очередной раз требует перезагрузиться и Вуаля! Наш User опять может подключиться к домену без всяких проблем!
P.S – Данная система работает также для серверной части Windows, однако если Вы будете писать такой скрипт для серверов после отключения брандмаузера необходимо будет включить его еще раз (до — netsh advfirewall set allprofiles state off, после netsh advfirewall set allprofiles state on).
Благодарю за внимание!
Нарушены доверительные отношения в домене
Прочитано:
554
Случалось ли Вам, как системному администратору при работе с доменом видеть, что пользователь в связи с отсутствием на своём рабочем месте довольно длительное время не может зайти в домен. Нарушены доверительные отношения между рабочей станцией и основным домен контроллером.
И столь ненавистное сообщение экране компьютера предвещало время затрачиваемое на устранение проблемы.
Всё дело в том, что каждые 30 дней все рабочие станции, авторизовавшиеся на домен контроллере отправляют запрос на изменение учётной записи компьютера. Т.е. контроллер домена принимает запрос, пароль меняется, а затем изменения передаются на все контроллеры в домене при следующей репликации. Если рабочая станция за этот период ничего не отправила, то домен контроллер считает, что данная рабочая станция больше недействительна.
Чтобы восстановить связь, существует 100% способ:
- вывести рабочую станцию из домена
- перезагрузиться
- ввести рабочую станцию в домен
, но у этого способа есть существенный недостаток – это время, затрачиваемое на эту процедуру.
Но если в Вашем домене такое случается периодически, то можно подкорректировать значение по умолчанию с 30 дней, к примеру, до 90 дней, как на весь домен, так и на отдельную организационную группу компьютеров (OU). В этот срок обязательно сотрудник обязательно воспользуется своим рабочим местом и авторизуется на домен контроллере.
Я покажу на практическом примере применительно ко всему домену, для этого понадобиться зайти на домен контроллер под учётной запись Администратора домена (в моём случае данными правами обладает учётная запись – ekzorchik)
[dc1]
Start – Control Panel – Administrative Tools – Group Policy Management, далее открываем политику Default Domain Policy:
Переходим в раздел конфигурирования компьютера:
Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options
Domain member: Maximum machine account password age
определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;
было:
Выставил:
Теперь политика настроена, далее следует по мере возможности перезагрузить рабочие станции чтобы применилась политика. Вот собственно и всё, мы устранили наиболее часто встречающуюся проблему нарушения доверительных отношений между компьютером и домен контроллером. Удачи!!!
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом: rustedowl — LiveJournal
Для своего удобства я использую программку Toolwiz TimeFreeze. Это
виртуализация всех изменений системного диска, одна перезагрузка — и все
тестируемые программы которые я насобирал за последнее время
превращаются в тыкву.
Есть недостаток: если достаточно долго не перезагружаться, то после
перезагрузки не получается войти в домен, ошибка вынесена в тему.
Связано с тем что у компа в домене тоже есть
пароль. Правильно, комп он тоже человек.
Пароль этот меняется по инициативе локальной машиине раз в количество
дней, указанных в ключе
HKLM\SYSTEM\CurrentControlSet\Services\N
REG_DWORD:MaximumPasswordAge
Если ключ не раздается доменной политикой, его можно сменить.
Если жопа уже случилась, то это можно лечить неправильным путем: зайти
под локальной учеткой, выйти из домена, перезагрузиться, зайти под
локальной учеткой, войти в домен, перезагрузиться, войти под доменной
учеткой.
Еще один неправильный путь — на контроллере домена сделать Reset Account компьютеру.
Это то же самое, что выйти и войти в домен, те же две перезагрузки потребуются.
Есть более адекватный способ, но для него нужен либо PowerShell версией
старше 2, либо комплект RSAT
Если есть PowerShell —
Заходим под локальным админом. Открываем PowerShell
Reset-ComputerMachinePassword -Credential DOMAIN\domain_admin -Server
DOMAIN_CONTROLLER.DOMAIN
Не знаю, как это работает в PowerShell 1.0 (которая стоит по умолчанию в Windows 7), поскольку в ней нет параметра Credential.
Возможно она спрашивает под кем заходить, а может быть всегда использует залогиненного юзера. Во втором случае — увых, надо обновлять PS.
Если есть RSAT —
netdom resetpwd /server:DOMAIN_CONTROLLER.DOMAIN /userD:DOMAIN\domain_admin
/passwordD:domain_admin_password
Как выполнилось — можно сделать logoff и заходить в домен.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом — blksthl
Обновлено 10.01.2014: Наконец-то добавлен метод PowerShell
В этом руководстве используется инструмент PowerShell или NETDOM и не требуется повторное присоединение к домену |
Вы это видели? «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»
Или это? «База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции.«Та же проблема, другой симптом.
Я несколько раз был интенсивным пользователем Hyper-V в своих лабораториях …
Очевидно, есть ряд причин, почему это происходит, но основная причина, кажется, заключается в потере связи между «клиентом / сервером» и контроллерами домена. Если запланированная смена пароля происходит, когда сервер или клиент недоступен или был выключен, то пароли, хранящиеся на сервере / клиенте и контроллерах домена для учетной записи компьютера, не совпадают, и вы получите эту ошибку при попытке входа в систему. к серверу.Это также может выглядеть по-разному, например, если все учетные записи служб перестают работать с событиями, зарегистрированными в результате, или подобное происходит, когда сервер все еще работает, и вы могли войти в систему или просто никогда не выходили из системы.
Настоящий вопрос… Как это исправить? Об этом есть несколько тем на форуме TechNet (одна добавлена ниже в качестве ссылок) и уже написано много сообщений в блогах, но, поскольку мне всегда трудно найти их сам, когда они мне нужны, я сделаю свои собственные. Пожалуйста, не стесняйтесь заимствовать эти знания и делать репосты / репосты самостоятельно however (Однако руководство — мое собственное творение…)
Самое простое или, по крайней мере, самое быстрое решение — это оставить сервер, добавив его в рабочую группу, затем снова присоединить его к домену.Но иногда это может быть немного рискованно, у вас может быть много учетных записей служб, работающих как пользователи домена, и так далее, вам вообще не хочется отсоединять сервер от домена, а затем сделать это вместо этого.
В этом руководстве предполагается, что перед выполнением этих шагов вы восстановили сетевое соединение между сервером / клиентом и контроллерами домена, иначе это не удастся. Сброс пароля компьютера невозможно выполнить в автономном режиме. |
–
Следующие шаги выполняются на компьютере с Windows Server 2008 R2, но те же действия применимы к Windows Server 2012 |
Хорошо, я сделаю так, как привык, и опишу, что делать, в пошаговом руководстве, например:
Вы входите на свой сервер, как обычно, используя свою личную учетную запись домена:
Вы вводите пароль и нажимаете ввод, затем БАМ! Это вместо обычной процедуры входа в систему… что за начало в понедельник утром…
Ничего хорошего … если вы не любите вмешиваться в дела сервера и из тех людей, которые любят придерживаться ваших приложений после входа на сервер, скопируйте ссылку на этот пост в блоге и отправьте ее тому, кто может ее исправить … иначе продолжайте читать.
Нажмите ОК, а затем Сменить пользователя.
Затем используйте учетную запись администратора локального сервера для входа на сервер.
В моем случае это один из моих блоков SQL, поэтому я набираю имя сервера, обратную косую черту, локальный администратор и нажимаю Enter.
Имя пользователя также может иметь форму: «. \ Administrator», с одной точкой, заменяющей имя сервера |
Метод PowerShell
Новый метод, шаги выполняются в Windows Server 2012, но действительны в Win7, Win8x, WS2008 и WS2012R2
После входа в систему вы захотите запустить командную строку PowerShell или PowerShell ISE с правами администратора, «как администратор».
Затем мы решаем проблему, сбрасывая пароль компьютера в Active Directory и на локальном компьютере, для этого мы используем CMDlet PowerShell с именем Reset-ComputerMachinePassword . Введите следующую команду:
Reset-ComputerMachinePassword -Server <Имя любого контроллера домена> -Credential <учетная запись администратора домена>
В моем окружении это выглядит так:
Нажмите Enter, после этого вам будет предложено ввести пароль учетной записи администратора домена
.
Введите пароль и нажмите ОК.Для завершения потребуется от 2 до 10 секунд. Если все работает, то, если все работает, см. Это:
Ага, ничего удивительного, вроде «Успешно» или ОК… только выпущенная подсказка. Но это успех 🙂
Теперь нам нужно сделать еще одну вещь, прежде чем порядок будет полностью восстановлен, мы должны перезагрузить сервер. Если вы этого не сделаете, вы все равно не сможете войти в систему, используя учетную запись домена.
Используйте PowerShell…
Или графический интерфейс, если вы предпочитаете
После перезагрузки сервера вы можете войти в систему, используя свою обычную учетную запись личного домена.
Готово!
Метод NETDOM
Старый метод, выполняемый на Windows Server 2008R2, но действителен также на WS2012 и WS2012R2, но не на Win7 или Win8X
После входа в систему вы захотите запустить командную строку PowerShell или командную строку с правами администратора, «как администратор».
Затем мы решаем проблему, сбрасывая пароль компьютера в Active Directory и на локальном компьютере, для этого мы используем команду NETDOM.
Введите следующую команду:
NETDOM RESETPWD / Server: <имя любого контроллера домена> / UserD: <учетная запись администратора домена> / PasswordD: <пароль>
(Да, конечные D должны быть там, не спрашивайте меня, почему …)
В моем приглашении это выглядит примерно так:
Важно! В отличие от этого изображения, пароль администратора домена будет виден в открытом виде, поэтому будьте осторожны и закройте запрос после того, как закончите! Если вы измените часть пароля на / PasswordD: * Вам будет предложено ввести пароль, и он не будет отображаться в поле CMD. |
Нажмите Enter, и если все работает, вы должны увидеть это:
Теперь нам нужно сделать еще одну вещь, прежде чем порядок будет полностью восстановлен, мы должны перезагрузить сервер. Если вы этого не сделаете, вы все равно не сможете войти в систему, используя учетную запись домена.
После перезагрузки сервера вы можете войти в систему, используя свою обычную учетную запись личного домена.
Готово!
Если это не сработало для вас, возможно, любая из этих справочных ссылок может быть вам полезна с дополнительными шагами и альтернативными решениями?
Удачи!
Список литературы
NETDOM
http: // technet.microsoft.com/en-us/library/cc772217(v=ws.10).aspx
Обзор Netdom
http://technet.microsoft.com/sv-se/library/cc737599(v=ws.10).aspx
Как использовать Netdom.exe для сброса паролей учетных записей компьютеров контроллера домена Windows Server
http://support.microsoft.com/kb/325850
Reset-ComputerMachinePassword
http://technet.microsoft.com/en-us/library/hh849751.aspx
Не возвращайтесь, чтобы исправить
http: // www.implbits.com/about/blog/tabid/78/post/don-t-rejoin-to-fix-the-trust-relationship-between-this-workstation-and-the-primary-domain-failed/default.aspx
Форум TechNet: доверительные отношения между этой рабочей станцией и основным доменом не удались — Windows 7 Enterprise присоединяется к домену 2008, ошибка 5722
http://social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/ 8155d5ea-a5c2-4306-8d2b-be3464234460 /
TechNet Wiki: не удалось установить доверительные отношения между рабочей станцией и основным доменом
http: // social.technet.microsoft.com/wiki/contents/articles/9157.trust-relationship-between-workstation-and-primary-domain-failed.aspx
_________________________________________________________
Наслаждайтесь!
С уважением
Twitter | Профиль Technet | LinkedIn
Нравится:
Нравится Загрузка …
Связанные
.
.net — C # — Process.Start () — «Сбой доверительных отношений между этой рабочей станцией и основным доменом»
Переполнение стека
- Около
Продукты
- Для команд
Переполнение стека
Общественные вопросы и ответыПереполнение стека для команд
Где разработчики и технологи делятся частными знаниями с коллегамиВакансии
Программирование и связанные с ним технические возможности карьерного ростаТалант
Нанимайте технических специалистов и создавайте свой бренд работодателяРеклама
Обратитесь к разработчикам и технологам со всего мира- О компании
Загрузка…
.Окна
— откат Hyper-V с ошибкой входа: сбой доверительных отношений между этой рабочей станцией и основным доменом
Переполнение стека
- Около
Продукты
- Для команд
Переполнение стека
Общественные вопросы и ответыПереполнение стека для команд
Где разработчики и технологи делятся частными знаниями с коллегамиВакансии
Программирование и связанные с ним технические возможности карьерного ростаТалант
Нанимайте технических специалистов и создавайте свой бренд работодателяРеклама
Обратитесь к разработчикам и технологам со всего мира
.
NLTEST для проверки доверительных отношений между рабочей станцией и доменом — статьи TechNet — США (английский)
1. NLTEST может использоваться для демонстрации доверительных отношений.
PS C: \> nltest / доверенные_домены
Список доверенных доменов:
0: GS gs.com (NT 5) (Прямой исходящий) (Прямой входящий) (Атрибут: 0x8)
1: CONTOSO contoso.com (NT 5) (корень лесного дерева) (основной домен) (собственный)
Команда успешно завершена
2.Чтобы определить контроллеры домена в домене CONTOSO:
PS C: \> nltest / dclist: contoso
Получите список контроллеров домена в домене contoso из \\ WIN-5Q4IM0060DO.
WIN-5Q4IM0060DO.contoso.com [PDC] [DS] Сайт: IND-BLR
Команда успешно завершена
3. Для определения контроллеров домена в домене CONTOSO:
PS C: \> nltest / dclist: contoso
Получите список контроллеров домена в домене contoso из \\ WIN-5Q4IM0060DO.
WIN-5Q4IM0060DO.contoso.com [PDC] [DS] Сайт: IND-BLR
Команда успешно завершена
4. Ниже показаны безопасные каналы между каждым контроллером домена в CONTOSO и контроллером домена в домене MICROSOFT.
C: \> nltest / server: test1 / sc_query: microsoft
Флаги: 0
Состояние подключения = 0 0x0 NERR_Succmicrosoft
Имя доверенного контроллера домена \\ NET1
Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft
Команда выполнена успешно Microsoft
C: \> nltest / server: test2 / sc_query: microsoft
Флаги: 0
Состояние подключения = 0 0x0 NERR_Succmicrosoft
Имя доверенного контроллера домена \\ NET1
Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft
Команда выполнена успешно Microsoft
5.Рабочая станция, которая является членом домена CONTOSO, имеет неявное доверие с контроллером домена.
C: \> nltest / server: Computer1 / sc_query: contoso
Флаги: 0
Состояние подключения = 0 0x0 NERR_Succmicrosoft
Имя доверенного контроллера домена \\ TEST2
Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft
Команда выполнена успешно Microsoft
6.Чтобы определить, может ли контроллер домена аутентифицировать учетную запись пользователя:
PS C: \> nltest / whowill: contoso biz
[11:06:22] Почтовое сообщение 0 успешно отправлено (\ MAILSLOT \ NET \ GETDC834)
[11:06:22] Ответ 0: NetpDcAllocateCacheEntry: новая запись 0x000000D83F9ADBD0 -> DC: WIN-5Q4IM0060DO DnsDomName: (null) Флаги: 0x0
S: WIN-5Q4IM0060DO D: CONTOSO A: biz (акт найден)
Команда успешно завершена
7.NLTEST можно использовать для поиска доверенного домена, имеющего данную учетную запись пользователя.
8. Определите приоритеты и веса SRV (команда для доверенного и доверенного домена)
PS C: \> nltest / dnsgetdc: contoso
.
ком
Список
из
ДЦ в
,
псевдослучайный порядок с учетом приоритетов SRV и
весов:
Вне зависимости от места установки:
win-5q4im0060do
.
contoso
.
ком
fe80 :: e0a8: 9c56: ba17: df5d% 12
10.224.34.1
Команда успешно завершена
PS C: \> nltest / dnsgetdc: gs
.
ком
Список
из
ДЦ в
,
псевдослучайный порядок с учетом приоритетов SRV и
весов:
Вне зависимости от места установки:
ban-dc01
.
GS
.
ком
10.224.34.10
Команда успешно завершена
PS C: \>
9. Определите сбои для всех записей DNS, связанных с контроллером домена
PS C: \> nltest / DSQUERYDNS
Флаги: 0
Состояние подключения = 0 0x0 NERR_Success
В последнем обновлении не было сбоев для всех DNS-записей DC
Команда успешно завершена
10.Сбросьте безопасный канал NETLON
nltest / sc_reset: <
имя домена
>
.