Не удалось установить доверительные отношения между этой рабочей станцией: Восстанавливаем доверительные отношения в домене

Содержание

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом — Записная книжка компьютерщика

При попытке входа в учетную запись доменного пользователя компьютер выдаёт «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и никаких вариантов. Ладно если так произошло на одном каком-то компьютерах, а ведь может случиться так что это произошло на всех компьютерах домена одновременно! Вот это атас!!!

Почему так происходит:

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Информация с сайта interface31.ru

Для восстановления доверительных отношений существует несколько способов, с которыми можно ознакомиться на вышеуказанном сайте. Я делал так:

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

1

Netdom resetpwd /<span>Server</span>:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD
    — пароль администратора домена

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Утилита Nltest (вроде удобнее, но я не пробовал)

Данная утилита присутствует на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Nltest /query проверить безопасное соединение с доменом;

Nltest /sc_reset:Your_domain.net

сбросить учетную запись компьютера в домене;

Nltest /sc_change_pwd:Your_domain.netизменить пароль компьютера.

 

 

P.S. Умозаключения:

  1. Также следует проверить наличие расхождения времени между контроллером домена и клиентским компьютером — Статья
  2. При откате контроллера домена скорее всего никто из пользователей не сможет войти в домен из-за устаревших автоматических паролей. А проделывать команду Netdom на каждом из них довольно проблематично. Но можно попробовать с помощью psexec

(Просмотрено 1 443 раз, 2 раз за сегодня)

с вашего сайта.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом. (0x800706FD)

Проблема возникла после того, как один из обновившихся до Windows 1903 компьютеров, накачал к ней свежих обновлений, и не вышел из перезагрузки (остановился на этапе крутящихся точек). Поковырявшись и не сумев ничего сделать решили откатиться к предыдущей версии системы, после чего прекрасно отработали пол дня и ушли на выходные.

После выходных на этом же компьютере ожидал неприятный сюрприз: при попытке войти доменным юзером, после ввода пароля выскакивало сообщение: “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”.

Отключив на момент входа компьютер от сети, вошли доменным пользователем. С первого взгляда всё в порядке – система работает, всё запускается под любым пользователем. На этом этапе закралось подозрение на проблему синхронизации времени.

По началу подозрения подтвердились:

PS C:\ w32tm.exe /query /source
Local CMOS clock
  

Однако, после “лечения” компьютер всё равно отказывался получать время от контроллера домена.

В журнале системы, кроме ошибок о синхронизации времени, попадались вот такие записи:

Произошла ошибка при проверке имени этого компьютера на контроллере ***, являющимся контроллером домена Windows для домена ***, и в результате этот  компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера.

Это натолкнуло на мысль о том, что где-то в период обновления/отката компьютер поменял пароль от своей учётной записи в домене. Вот здесь об этом хорошо рассказано, а также приводятся варианты решения проблемы.

Собственно, для решения проблемы нужно переустановить учётную запись компьютера, или принудительно поменять пароль учётной записи компьютера.

Для второго варианта есть Powershell командлет Reset-ComputerMachinePassword. В простейшем случае его можно запустить без параметров. Для большего понимания можно задать контролер домена с помощью параметра –Server.

В нашем же случае на проблемном компьютере был профиль доменного админа, поэтому алгоритм действий получился такой:

  1. Отключили сеть на ПК
  2. Вошли доменным пользователем
  3. Включили обратно сеть
  4. Запустили Powershell от имени доменного админа
  5. Выполнили команду:
  6. Reset-ComputerMachinePassword -Server DomainController
          

где DomainController – имя контроллера домена.

После этого всё стало на свои места.

  

Понравилось это:

Нравится Загрузка…

Похожее

Восстановление доверительных отношений в домене

Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:

  • После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в  домене.
  • Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура
    Active Directory
    помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
  • Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Основные признаки возможных неполадок учетной записи компьютера:

  • Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
  • Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов  либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
  • Учетная запись компьютера в Active Directory отсутствует.

Как лечить?

Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.

Поэтому необходимо сделать так:

Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.

Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.

C помощью учетной записи, относящейся к локальной группе «Администраторы»:

netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo {Пароль | *}

На компьютере, где утрачены доверительные отношения:

nltest /server:Имя_сервера /sc_reset:ДОМЕН\Контроллер_домена

Evgeniy Korshunov: Восстановление доверия в домене

При попытке входа на одной из рабочих станций в домене, получаем следующее сообщение «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом«.

Решений найдено много, но больше всех понравилась статья у http://windowsnotes.ru, утяну на всякий случай.

«Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом.  Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.


Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый
Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй
Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:
Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*
где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.
В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях  по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.
Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:
Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
Или сбросить учетную запись компьютера:
Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Способ третий
Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
Nltest /query проверить безопасное соединение с доменом;
Nltest /sc_reset:Contoso.comсбросить учетную запись компьютера в домене;
Nltest /sc_change_pwd:Contoso.comизменить пароль компьютера.

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ четвертый
PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:
Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair
где SRV1 — контролер домена (указывать не обязательно).

Для сброса пароля также можно также воспользоваться такой командой:
Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Как установить доверительные отношения между компьютером и основным доменом

Здравствуйте Уважаемые читатели Хабрахабра! В просторах интернета каждый из нас может найти много отдельных статей о не прохождении аутентификации компьютера через домен-контроллер, если точнее сказать, компьютер подключенный к домену теряет связь с ним.

Итак, приступим к изучению этой проблемы.

У многих IT – инженеров, которые работают в больших и малых компаниях, имеются компьютеры с операционной системой Windows 7, 8.1 и т.п. и все эти компьютеры подключены к доменной сети (DC).

Данная проблема происходит из-за того, что сетевой протокол Kerberos не может синхронизироваться и пройти аутентификацию с компьютером (The trust relationship between this workstation and the primary domain failed), который подключен к домену. Тогда мы можем увидеть такую ошибку (см. фото ниже).


После чего мы ищем стороннюю программу, скачиваем ее, создаем загрузочную флешку и локального админа, далее логируемся через него и выходим с домена, добавляем компьютер в Workgroup-у и потом обратно подключаем этот компьютер к домену.

Используя Windows Batch scripting, я хочу создать bat file и автоматизировать процесс создания и добавления локального админа. Единственное, что нам будет необходимо, так это после создания данного файла запустить его.

Открываем наш текстовой редактор, вписываем команду, которая показана внизу.

net user admin Ww123456 /add /active:yes
	
WMIC USERACCOUNT WHERE "Name='admin'" SET PasswordExpires=FALSE
	
net localgroup Administrators admin /add 

net localgroup Users admin /delete 

netsh advfirewall set allprofiles state off

Пройдем все команды по пунктам для устранения неясных моментов.

• net user admin (вместо слова админ Вы можете добавить любое имя, которое Вас устраивает, по умолчанию ставится administrator, в моем случае это admin).
Далее мы видем пароль, который я там поставил Ww123456(Вы можете поставить любой запоминающийся для Вас пароль).

После мы видем /add /active:yes –добавить и активировать: ДА

• WMIC USERACCOUNT WHERE «Name=’admin’» SET PasswordExpires=FALSE – данная команда означает, что админ, который добавляется, имел постоянный пароль без срока действия (см. картинку ниже).

• Третий и четвертый пункт связаны между собой тем, что по умолчанию, когда создается локальный админ в пункте Member Of стоит Users (см. фото). Нам он не нужен (Users), потому что мы создаем полноправного администратора для нашей ОС. Поэтому четвертая команда — net localgroup Users admin /delete – удаляет Users, а предыдущая команда — net localgroup Administrators admin /add, добавляет администратора (см. фото).

• Последняя команда- netsh advfirewall set allprofiles state off, отключает брандмаузер Windows-a.
Иногда, чтобы установить какую-либо программу или дать какую-либо команду в Windows-e необходимо отключить firewall (После запуска скрипта Вы можете ввести команду- netsh advfirewall set allprofiles state on и включить его заново. У меня по умолчанию стоит off, так как я использую сторонний брандмаузер. Данный момент на усмотрение каждого лично).

Далее идем к нашему блокноту, нажимаем File, save as… (сохранить как…) вводим имя нашего скрипта( в моем случае: localadmin).Затем ставим точку (.) и пишем формат скрипта bat. Выбираем место, где сохранить данную запись и нажимаем save. Более детально показано на картинке.

Получается вот такой скрипт (см. фото).

Данный скрипт при запуске необходимо открывать от имени администратора:

• Нажимаем правую кнопку мыши и Run as administrator (см. фото).

После запуска скрипта у Вас должно появиться вот такое окошко (см. фото).

Если по каким-либо причинам выйдет ошибка, то в 90% таких случаев это связано с тем, что у Вас образ с которого Вы установили Windows, имеет нелицензионный характер, какие-либо repack или т.п. Скачивайте и используйте лицензионный и проверенный софт.

После удачного добавления локального админа, Вы можете этот скрипт запустить на всех рабочих машинах в Вашем офисе, в которых установлена ОС Windows.

Если у Вас когда-нибудь появится такая ошибка: The trust relationship between this workstation and the primary domain failed- Вам нужно будет только сделать switch user и где логин написать.\admin (запомните! В начале до слеша ставится точка!), далее внизу вводите пароль, который Вы добавили в Ваш скрипт (в моем случае: Ww123456). После этого Вы заходите на рабочую ОС.

Осталось снять наш компьютер с домена и добавить в Workgroup-у. Вместо Workgroup-а вписываем любую букву (см. фото).

Далее вводится пароль администратора домена и компьютер просит нас о перезагрузке.
После перезагрузки ещё раз заходим под нашим локальным админом и дальше уже добавляем компьютер к нашему домену. Система в очередной раз требует перезагрузиться и Вуаля! Наш User опять может подключиться к домену без всяких проблем!

P.S – Данная система работает также для серверной части Windows, однако если Вы будете писать такой скрипт для серверов после отключения брандмаузера необходимо будет включить его еще раз (до — netsh advfirewall set allprofiles state off, после netsh advfirewall set allprofiles state on).

Благодарю за внимание!

Нарушены доверительные отношения в домене

Прочитано: 554

Случалось ли Вам, как системному администратору при работе с доменом видеть, что пользователь в связи с отсутствием на своём рабочем месте довольно длительное время не может зайти в домен. Нарушены доверительные отношения между рабочей станцией и основным домен контроллером.

И столь ненавистное сообщение экране компьютера предвещало время затрачиваемое на устранение проблемы.

Всё дело в том, что каждые 30 дней все рабочие станции, авторизовавшиеся на домен контроллере отправляют запрос на изменение учётной записи компьютера. Т.е. контроллер домена принимает запрос, пароль меняется, а затем изменения передаются на все контроллеры в домене при следующей репликации. Если рабочая станция за этот период ничего не отправила, то домен контроллер считает, что данная рабочая станция больше недействительна.

Чтобы восстановить связь, существует 100% способ:

  • вывести рабочую станцию из домена
  • перезагрузиться
  • ввести рабочую станцию в домен

, но у этого способа есть существенный недостаток – это время, затрачиваемое на эту процедуру.

Но если в Вашем домене такое случается периодически, то можно подкорректировать значение по умолчанию с 30 дней, к примеру, до 90 дней, как на весь домен, так и на отдельную организационную группу компьютеров (OU). В этот срок обязательно сотрудник обязательно воспользуется своим рабочим местом и авторизуется на домен контроллере.

Я покажу на практическом примере применительно ко всему домену, для этого понадобиться зайти на домен контроллер под учётной запись Администратора домена (в моём случае данными правами обладает учётная запись – ekzorchik)

[dc1]

Start – Control Panel – Administrative Tools – Group Policy Management, далее открываем политику Default Domain Policy:

Переходим в раздел конфигурирования компьютера:

Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options

Domain member: Maximum machine account password age

определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

было:

Выставил:

Теперь политика настроена, далее следует по мере возможности перезагрузить рабочие станции чтобы применилась политика. Вот собственно и всё, мы устранили наиболее часто встречающуюся проблему нарушения доверительных отношений между компьютером и домен контроллером. Удачи!!!

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом: rustedowl — LiveJournal

Для своего удобства я использую программку Toolwiz TimeFreeze. Это
виртуализация всех изменений системного диска, одна перезагрузка — и все
тестируемые программы которые я насобирал за последнее время
превращаются в тыкву.
Есть недостаток: если достаточно долго не перезагружаться, то после
перезагрузки не получается войти в домен, ошибка вынесена в тему.

Связано с тем что у компа в домене тоже есть
пароль. Правильно, комп он тоже человек.
Пароль этот меняется по инициативе локальной машиине раз в количество
дней, указанных в ключе
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
REG_DWORD:MaximumPasswordAge

Если ключ не раздается доменной политикой, его можно сменить.
Если жопа уже случилась, то это можно лечить неправильным путем: зайти
под локальной учеткой, выйти из домена, перезагрузиться, зайти под
локальной учеткой, войти в домен, перезагрузиться, войти под доменной
учеткой.
Еще один неправильный путь — на контроллере домена сделать Reset Account компьютеру.
Это то же самое, что выйти и войти в домен, те же две перезагрузки потребуются.

Есть более адекватный способ, но для него нужен либо PowerShell версией
старше 2, либо комплект RSAT

Если есть PowerShell —
Заходим под локальным админом. Открываем PowerShell

Reset-ComputerMachinePassword -Credential DOMAIN\domain_admin -Server
DOMAIN_CONTROLLER.DOMAIN

Не знаю, как это работает в PowerShell 1.0 (которая стоит по умолчанию в Windows 7), поскольку в ней нет параметра Credential.
Возможно она спрашивает под кем заходить, а может быть всегда использует залогиненного юзера. Во втором случае — увых, надо обновлять PS.

Если есть RSAT —
netdom resetpwd /server:DOMAIN_CONTROLLER.DOMAIN /userD:DOMAIN\domain_admin
/passwordD:domain_admin_password

Как выполнилось — можно сделать logoff и заходить в домен.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом — blksthl

Обновлено 10.01.2014: Наконец-то добавлен метод PowerShell

В этом руководстве используется инструмент PowerShell или NETDOM и не требуется повторное присоединение к домену

Вы это видели? «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»
Или это? «База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции.«Та же проблема, другой симптом.

Я несколько раз был интенсивным пользователем Hyper-V в своих лабораториях …
Очевидно, есть ряд причин, почему это происходит, но основная причина, кажется, заключается в потере связи между «клиентом / сервером» и контроллерами домена. Если запланированная смена пароля происходит, когда сервер или клиент недоступен или был выключен, то пароли, хранящиеся на сервере / клиенте и контроллерах домена для учетной записи компьютера, не совпадают, и вы получите эту ошибку при попытке входа в систему. к серверу.Это также может выглядеть по-разному, например, если все учетные записи служб перестают работать с событиями, зарегистрированными в результате, или подобное происходит, когда сервер все еще работает, и вы могли войти в систему или просто никогда не выходили из системы.

Настоящий вопрос… Как это исправить? Об этом есть несколько тем на форуме TechNet (одна добавлена ​​ниже в качестве ссылок) и уже написано много сообщений в блогах, но, поскольку мне всегда трудно найти их сам, когда они мне нужны, я сделаю свои собственные. Пожалуйста, не стесняйтесь заимствовать эти знания и делать репосты / репосты самостоятельно however (Однако руководство — мое собственное творение…)
Самое простое или, по крайней мере, самое быстрое решение — это оставить сервер, добавив его в рабочую группу, затем снова присоединить его к домену.Но иногда это может быть немного рискованно, у вас может быть много учетных записей служб, работающих как пользователи домена, и так далее, вам вообще не хочется отсоединять сервер от домена, а затем сделать это вместо этого.

В этом руководстве предполагается, что перед выполнением этих шагов вы восстановили сетевое соединение между сервером / клиентом и контроллерами домена, иначе это не удастся. Сброс пароля компьютера невозможно выполнить в автономном режиме.

Следующие шаги выполняются на компьютере с Windows Server 2008 R2, но те же действия применимы к Windows Server 2012

Хорошо, я сделаю так, как привык, и опишу, что делать, в пошаговом руководстве, например:

Вы входите на свой сервер, как обычно, используя свою личную учетную запись домена:

Вы вводите пароль и нажимаете ввод, затем БАМ! Это вместо обычной процедуры входа в систему… что за начало в понедельник утром…

Ничего хорошего … если вы не любите вмешиваться в дела сервера и из тех людей, которые любят придерживаться ваших приложений после входа на сервер, скопируйте ссылку на этот пост в блоге и отправьте ее тому, кто может ее исправить … иначе продолжайте читать.

Нажмите ОК, а затем Сменить пользователя.

Затем используйте учетную запись администратора локального сервера для входа на сервер.

В моем случае это один из моих блоков SQL, поэтому я набираю имя сервера, обратную косую черту, локальный администратор и нажимаю Enter.

.
Имя пользователя также может иметь форму: «. \ Administrator», с одной точкой, заменяющей имя сервера

Метод PowerShell
Новый метод, шаги выполняются в Windows Server 2012, но действительны в Win7, Win8x, WS2008 и WS2012R2

После входа в систему вы захотите запустить командную строку PowerShell или PowerShell ISE с правами администратора, «как администратор».

Затем мы решаем проблему, сбрасывая пароль компьютера в Active Directory и на локальном компьютере, для этого мы используем CMDlet PowerShell с именем Reset-ComputerMachinePassword . Введите следующую команду:

Reset-ComputerMachinePassword -Server <Имя любого контроллера домена> -Credential <учетная запись администратора домена>

В моем окружении это выглядит так:

Нажмите Enter, после этого вам будет предложено ввести пароль учетной записи администратора домена

.

Введите пароль и нажмите ОК.Для завершения потребуется от 2 до 10 секунд. Если все работает, то, если все работает, см. Это:

Ага, ничего удивительного, вроде «Успешно» или ОК… только выпущенная подсказка. Но это успех 🙂

Теперь нам нужно сделать еще одну вещь, прежде чем порядок будет полностью восстановлен, мы должны перезагрузить сервер. Если вы этого не сделаете, вы все равно не сможете войти в систему, используя учетную запись домена.

Используйте PowerShell…

Или графический интерфейс, если вы предпочитаете

После перезагрузки сервера вы можете войти в систему, используя свою обычную учетную запись личного домена.

Готово!

Метод NETDOM
Старый метод, выполняемый на Windows Server 2008R2, но действителен также на WS2012 и WS2012R2, но не на Win7 или Win8X

После входа в систему вы захотите запустить командную строку PowerShell или командную строку с правами администратора, «как администратор».

Затем мы решаем проблему, сбрасывая пароль компьютера в Active Directory и на локальном компьютере, для этого мы используем команду NETDOM.
Введите следующую команду:

NETDOM RESETPWD / Server: <имя любого контроллера домена> / UserD: <учетная запись администратора домена> / PasswordD: <пароль>

(Да, конечные D должны быть там, не спрашивайте меня, почему …)

В моем приглашении это выглядит примерно так:

Важно! В отличие от этого изображения, пароль администратора домена будет виден в открытом виде, поэтому будьте осторожны и закройте запрос после того, как закончите!

Если вы измените часть пароля на / PasswordD: * Вам будет предложено ввести пароль, и он не будет отображаться в поле CMD.
(Спасибо Джейсону Хэнсону за подсказку и Джеррарду Синглтону)

Нажмите Enter, и если все работает, вы должны увидеть это:

Теперь нам нужно сделать еще одну вещь, прежде чем порядок будет полностью восстановлен, мы должны перезагрузить сервер. Если вы этого не сделаете, вы все равно не сможете войти в систему, используя учетную запись домена.

После перезагрузки сервера вы можете войти в систему, используя свою обычную учетную запись личного домена.

Готово!

Если это не сработало для вас, возможно, любая из этих справочных ссылок может быть вам полезна с дополнительными шагами и альтернативными решениями?
Удачи!

Список литературы

NETDOM
http: // technet.microsoft.com/en-us/library/cc772217(v=ws.10).aspx

Обзор Netdom
http://technet.microsoft.com/sv-se/library/cc737599(v=ws.10).aspx

Как использовать Netdom.exe для сброса паролей учетных записей компьютеров контроллера домена Windows Server
http://support.microsoft.com/kb/325850

Reset-ComputerMachinePassword
http://technet.microsoft.com/en-us/library/hh849751.aspx

Не возвращайтесь, чтобы исправить
http: // www.implbits.com/about/blog/tabid/78/post/don-t-rejoin-to-fix-the-trust-relationship-between-this-workstation-and-the-primary-domain-failed/default.aspx

Форум TechNet: доверительные отношения между этой рабочей станцией и основным доменом не удались — Windows 7 Enterprise присоединяется к домену 2008, ошибка 5722
http://social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/ 8155d5ea-a5c2-4306-8d2b-be3464234460 /

TechNet Wiki: не удалось установить доверительные отношения между рабочей станцией и основным доменом
http: // social.technet.microsoft.com/wiki/contents/articles/9157.trust-relationship-between-workstation-and-primary-domain-failed.aspx

_________________________________________________________

Наслаждайтесь!

С уважением

Twitter | Профиль Technet | LinkedIn

Нравится:

Нравится Загрузка …

Связанные

.

.net — C # — Process.Start () — «Сбой доверительных отношений между этой рабочей станцией и основным доменом»

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
  5. Реклама Обратитесь к разработчикам и технологам со всего мира
  6. О компании

Загрузка…

.Окна

— откат Hyper-V с ошибкой входа: сбой доверительных отношений между этой рабочей станцией и основным доменом

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
  5. Реклама Обратитесь к разработчикам и технологам со всего мира
.

NLTEST для проверки доверительных отношений между рабочей станцией и доменом — статьи TechNet — США (английский)

1. NLTEST может использоваться для демонстрации доверительных отношений.

PS C: \> nltest / доверенные_домены

Список доверенных доменов:

0: GS gs.com (NT 5) (Прямой исходящий) (Прямой входящий) (Атрибут: 0x8)

1: CONTOSO contoso.com (NT 5) (корень лесного дерева) (основной домен) (собственный)

Команда успешно завершена

2.Чтобы определить контроллеры домена в домене CONTOSO:

PS C: \> nltest / dclist: contoso

Получите список контроллеров домена в домене contoso из \\ WIN-5Q4IM0060DO.

WIN-5Q4IM0060DO.contoso.com [PDC] [DS] Сайт: IND-BLR

Команда успешно завершена

3. Для определения контроллеров домена в домене CONTOSO:

PS C: \> nltest / dclist: contoso

Получите список контроллеров домена в домене contoso из \\ WIN-5Q4IM0060DO.

WIN-5Q4IM0060DO.contoso.com [PDC] [DS] Сайт: IND-BLR

Команда успешно завершена

4. Ниже показаны безопасные каналы между каждым контроллером домена в CONTOSO и контроллером домена в домене MICROSOFT.

C: \> nltest / server: test1 / sc_query: microsoft

Флаги: 0

Состояние подключения = 0 0x0 NERR_Succmicrosoft

Имя доверенного контроллера домена \\ NET1

Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft

Команда выполнена успешно Microsoft

C: \> nltest / server: test2 / sc_query: microsoft

Флаги: 0

Состояние подключения = 0 0x0 NERR_Succmicrosoft

Имя доверенного контроллера домена \\ NET1

Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft

Команда выполнена успешно Microsoft

5.Рабочая станция, которая является членом домена CONTOSO, имеет неявное доверие с контроллером домена.

C: \> nltest / server: Computer1 / sc_query: contoso

Флаги: 0

Состояние подключения = 0 0x0 NERR_Succmicrosoft

Имя доверенного контроллера домена \\ TEST2

Статус надежного подключения постоянного тока Статус = 0 0x0 NERR_Succmicrosoft

Команда выполнена успешно Microsoft

6.Чтобы определить, может ли контроллер домена аутентифицировать учетную запись пользователя:

PS C: \> nltest / whowill: contoso biz
[11:06:22] Почтовое сообщение 0 успешно отправлено (\ MAILSLOT \ NET \ GETDC834)
[11:06:22] Ответ 0: NetpDcAllocateCacheEntry: новая запись 0x000000D83F9ADBD0 -> DC: WIN-5Q4IM0060DO DnsDomName: (null) Флаги: 0x0

S: WIN-5Q4IM0060DO D: CONTOSO A: biz (акт найден)

Команда успешно завершена


7.NLTEST можно использовать для поиска доверенного домена, имеющего данную учетную запись пользователя.

8. Определите приоритеты и веса SRV (команда для доверенного и доверенного домена)

PS C: \> nltest / dnsgetdc: contoso . ком

Список из ДЦ в псевдослучайный порядок с учетом приоритетов SRV , и весов:

Вне зависимости от места установки:

win-5q4im0060do . contoso . ком fe80 :: e0a8: 9c56: ba17: df5d% 12 10.224.34.1

Команда успешно завершена

PS C: \> nltest / dnsgetdc: gs . ком

Список из ДЦ в псевдослучайный порядок с учетом приоритетов SRV , и весов:

Вне зависимости от места установки:

ban-dc01 . GS . ком 10.224.34.10

Команда успешно завершена

PS C: \>
9. Определите сбои для всех записей DNS, связанных с контроллером домена

PS C: \> nltest / DSQUERYDNS

Флаги: 0

Состояние подключения = 0 0x0 NERR_Success

В последнем обновлении не было сбоев для всех DNS-записей DC

Команда успешно завершена

10.Сбросьте безопасный канал NETLON

nltest / sc_reset: < имя домена >

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *