it-swarm.com.de

Erneutes Hinzufügen eines Computers zur Domäne

Ich habe ein Problem mit einem Windows 7-PC, der Mitglied der Domäne war. Wenn ich versuche, mich mit Domänenanmeldeinformationen an diesem PC anzumelden, erhalte ich eine Meldung ähnlich der folgenden

The trust relationship between this workstation and the primary domain could not be established.

Jetzt muss ich die Mitgliedschaft des PCs in der Domäne wiederherstellen. Da ich mich jedoch nicht anmelden kann, kann ich weder den Computernamen noch die Domänenmitgliedschaft ändern.

  • Wie kann ich PC und Domain wieder vertrauen?
  • Kann ich die Mitgliedschaft über die Domänencontrollerkonsole hinzufügen oder erneuern?

Bearbeiten :

Auf dem Computer befinden sich keine aktiven lokalen Konten, mit denen ich mich anmelden könnte.

14
harper

Das Hinzufügen des PCs ist nur möglich, wenn Sie über Administratorrechte am PC und das Recht zum Ändern des DC verfügen.

Daher ist es notwendig, das Administratorkennwort am PC zurückzusetzen. Eine Möglichkeit, diese Aufgabe auszuführen, ist die Verwendung der Installations-DVD und der Reparaturkonsole. Auf diese Weise können Sie die volle Kontrolle wiedererlangen.

1
harper

Dieser Trick kommt über meine Active Directory-Lerngruppe. Ich schlage vor, dass jeder einer Benutzergruppe und/oder einer Lerngruppe beitritt. Es ist nicht so, dass wir AD nicht kennen, es ist so, dass wir neue Funktionen vergessen oder verpassen. Ein Auffrischungskurs macht auch Spaß.

Gelegentlich wird ein Computer von der Domäne getrennt. Die Symptome können sein, dass sich der Computer nicht anmelden kann, wenn er mit dem Netzwerk verbunden ist, die Meldung, dass das Computerkonto abgelaufen ist, das Domänenzertifikat ungültig ist usw. Dies alles beruht auf dem gleichen Problem und dem sicheren Kanal zwischen dem Computer und domain wird abgespritzt. (das ist ein Fachbegriff. Lächeln)

Die klassische Möglichkeit, dieses Problem zu beheben, besteht darin, die Domain zu trennen und erneut zu verbinden. Dies ist sehr schmerzhaft, da einige Neustarts erforderlich sind und das Benutzerprofil nicht immer neu verbunden wird. Mutterschaf. Wenn Sie diesen Computer in einer Gruppe hatten oder ihm bestimmte Berechtigungen zugewiesen haben, sind diese nicht mehr vorhanden, da Ihr Computer jetzt eine neue SID hat und der AD ihn nicht mehr als denselben Computer ansieht. Sie müssen all dieses Zeug aus der hervorragenden Dokumentation, die Sie aufbewahrt haben, neu erstellen. Äh, huh, deine exzellente Dokumentation. Doppeltes Mutterschaf.

Stattdessen können wir einfach den sicheren Kanal zurücksetzen. Hierfür gibt es verschiedene Möglichkeiten:

  1. Klicken Sie in AD mit der rechten Maustaste auf den Computer und wählen Sie Konto zurücksetzen.
    Dann erneut beitreten, ohne den Computer der Domäne zuzuordnen.
    Neustart erforderlich.
  2. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten Folgendes ein: dsmod computer "ComputerDN" -reset
    Dann erneut beitreten, ohne den Computer der Domäne zuzuordnen.
    Neustart erforderlich.
  3. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten Folgendes ein: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Das Konto, dessen Anmeldeinformationen Sie angegeben haben, muss Mitglied der Gruppe "Lokale Administratoren" sein.
    Kein Wiedereintritt. Kein Neustart.
  4. Geben Sie in einer Eingabeaufforderung mit dem Befehl elevate Folgendes ein: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Kein Wiedereintritt. Kein Neustart.
6
Ahmed Raza

Hören Sie auf, mit diesem Problem auf Kundenseite zu kämpfen. Wenn Sie sich nicht bei der Domäne anmelden können, müssen Sie sich entweder mit einem aktivierten lokalen Konto anmelden oder eine Boot-CD verwenden, um eines zu aktivieren.

Entfernen Sie den Computer aus Active Directory-Benutzer und -Computer. Es sollte sich in den Verwaltungstools auf Ihrem Server befinden. Öffnen Sie die Organisationseinheit, die den Computer enthält. Suchen Sie den Computer, klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Löschen.

enter image description here

Es kann nicht schaden, geduldig zu sein und die Replikation zuzulassen, je nachdem, wie viele DCs Sie haben. Wenn Ihre Domain ziemlich einfach ist (keine Sites und nur zwei Domänencontroller), können Sie repadmin /replicate verwenden, um die Replikation zu erzwingen. Lesen Sie dies vorher durch .

Fügen Sie nun den PC erneut mit AD UC hinzu und warten Sie entweder auf die Replikation oder erzwingen Sie sie.

Wenn es Sie immer noch anstößt, geben Sie netdom /remove eine Manpage hier und versuchen Sie, es von Ihrer Domain zu bekommen. Wenn Sie Probleme damit haben, werfen Sie einen Blick auf diese Frage . Es ist ein anderes Szenario, aber im Wesentlichen dasselbe Konzept: Es wird versucht, einen Computer aus einer Domäne zu entfernen, wenn keine Verbindung zum Domänencontroller hergestellt werden kann.

5
Tanner Faulkner

Möglicherweise müssen Sie sich mit Anmeldeinformationen anmelden, die für diesen Computer lokal sind. Bei der Erstinstallation des Betriebssystems wurde ein lokales Konto eingerichtet.

Melden Sie sich mit diesem Konto unter Verwendung des Computernamens als Domäne an (z. B. MYCOMP\JSmith). Normalerweise ist das lokale Computeradministratorkonto vorhanden, aber standardmäßig deaktiviert.

Sobald Sie als lokaler Benutzer angemeldet sind, sollten Sie die Domain verlassen und wieder beitreten können.

3
Rich G

Ab Server 2008 R2 ist die Aufgabe sehr einfach. Wir können jetzt das Cmdlet Test-ComputerSecureChannel verwenden.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Screen Shot

Fügen Sie den Parameter -Repair hinzu, um die eigentliche Reparatur durchzuführen. Verwenden Sie Anmeldeinformationen für ein Konto, das berechtigt ist, Computer der Domäne hinzuzufügen.

Referenz:

https://msdn.Microsoft.com/en-us/powershell/reference/3.0/Microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- EDIT -

Wenn Sie hierfür keine lokalen Administratorkonten verwenden können, können Sie mit dem bekannten Sticky Keys -Hack ein Konto erstellen (oder das deaktivierte integrierte Administratorkonto aktivieren).

Gehen Sie folgendermaßen vor, um ein vergessenes Administratorkennwort zurückzusetzen: ^

  1. Booten Sie von Windows PE oder Windows RE und rufen Sie die Eingabeaufforderung auf.
  2. Suchen Sie den Laufwerksbuchstaben der Partition, auf der Windows installiert ist. In Vista und Windows XP ist es normalerweise C :, in Windows 7 ist es D: in den meisten Fällen, weil die erste Partition Startup Repair enthält. Um den Laufwerksbuchstaben zu finden, geben Sie C: (bzw. D:) ein und suchen Sie nach dem Windows-Ordner. Beachten Sie, dass sich Windows PE (RE) normalerweise auf X: befindet. Für die Zwecke dieser Demonstration nehmen wir an, dass Windows auf Laufwerk C installiert ist:
  3. Geben Sie den folgenden Befehl ein: copy C:\Windows\System32\sethc.exe C:\ Damit wird eine Kopie von sethc.exe erstellt, die später wiederhergestellt wird.
  4. Geben Sie diesen Befehl ein, um sethc.exe durch cmd.exe zu ersetzen: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Starten Sie Ihren Computer neu und führen Sie die Windows-Instanz aus, für die Sie kein Administratorkennwort haben.
  5. Wenn Sie den Anmeldebildschirm sehen, drücken Sie fünfmal die UMSCHALTTASTE.
  6. Es sollte eine Eingabeaufforderung angezeigt werden, in der Sie den folgenden Befehl zum Zurücksetzen des Windows-Kennworts eingeben können: Net User [username] [password] Wenn Sie Ihren Benutzernamen nicht kennen, geben Sie einfach Net User ein, um die verfügbaren Benutzernamen aufzulisten.
  7. Sie können sich jetzt mit dem neuen Passwort anmelden.

Wenn Sie das standardmäßig deaktivierte integrierte Administratorkonto aktivieren möchten, anstatt das Kennwort für ein vorhandenes Konto zurückzusetzen, lautet der Befehl:

  1. Net User administrator /active:yes.

Wenn Sie ein neues Konto erstellen und es der lokalen Administratorgruppe hinzufügen möchten, lautet die Befehlsfolge :

  1. Net User /add [username] [password]
  2. net localgroup administrators [username] /add
3
InteXX

Die einzige Lösung, wenn Sie ein Problem mit der PC/Server-Vertrauenswürdigkeit haben (nach dem Zurücksetzen auf DC neu erstellen usw.), um dieses Problem ohne Wiederherstellung zu beheben!

Deaktivieren Sie alle NICS, damit die Vertrauensstellung mit dem Anmelde-DC nicht überprüft werden kann. Melden Sie sich dann mit einem zuvor angemeldeten Domänenkonto auf Administratorebene an (muss sich in lokalen PC-Administratorgruppen befinden), das zuvor angemeldet war, d. H. Um die zwischengespeicherten Anmeldeinformationen zu nutzen. Mein Problem war, dass ich ein W7 VM von Prod in ein Testlabor verlegt habe und damit gerechnet habe, dass ein Vertrauensbruch eintreten würde. alte Domains "zwischengespeicherte Anmeldeinformationen.

Wenn das Deaktivieren der Netzwerkkarte und der zwischengespeicherten Anmeldeinformationen funktioniert, können Sie mit netdom join erneut der Domäne beitreten.

Wenn die zwischengespeicherten Anmeldeinformationen nicht mehr ausreichen (abhängig von den lokalen Betriebssystemrichtlinien/GPO - bis zu 50), führen Sie eine Systemwiederherstellung auf die vorherigen Tage durch. Dies funktioniert auch.

1
reg one
  1. Trennen Sie das Netzwerkkabel und melden Sie sich bei der betroffenen Arbeitsstation an (zwischengespeicherte Anmeldeinformationen ermöglichen dies.) Schließen Sie anschließend das Netzwerkkabel wieder an.

  2. Laden Sie das RSAT-Paket (Remote Server Administration Tools) von Microsoft hier herunter: http://www.Microsoft.com/en-us/download/details.aspx?id=7887 (Wählen Sie je nach Betriebssystem der Workstation die richtige 32-Bit- oder 64-Bit-Version aus, nicht die des Servers.)

  3. Installieren Sie das heruntergeladene Paket. Wir hatten Probleme damit, bis wir den Clean-Boot-Modus verwendet haben. Möglicherweise müssen Sie die Workstation nach der Konfiguration für Clean-Boot neu starten, was nach diesem Vorgang rückgängig gemacht werden kann.

  4. Das Installieren von RSAT stellt es nicht automatisch zur Verfügung. Gehen Sie zu Systemsteuerung -> Programme -> Windows-Funktionen hinzufügen/entfernen und suchen Sie nach Remote Server Administrator Tools. Erweitern Sie dies und gehen Sie zu AD/AS/Command Line und aktivieren Sie das.

  5. Öffnen Sie ein Befehlsfenster als Administrator und geben Sie den folgenden Befehl ein:

NETDOM.EXE resetpwd/s: (Server)/ud: (Benutzername)/pd: *

Wobei (server) der Netbios-Name des Domain-Servers und (username) das Anmeldekonto der betroffenen Workstation im Format DOMAIN\Benutzername ist

Das ist es. Danach kehrte alles auf der Workstation zum Normalzustand zurück.

0
user473120

Versuchen Sie zunächst, sich mit Administrator (Computername\Administrator) anzumelden, dann die Verbindung zur WorkGroup zu trennen und anschließend neu zu starten. Ihr PC befindet sich nun in WorkGrup als lokales Konto. Versuchen Sie nun erneut, der Domain beizutreten. (Klicken Sie mit der rechten Maustaste auf Arbeitsplatz -> Eigenschaft -> Ändern -> Doamin -> Ex Fu-com.com -> Dann wird es als Administratorkennwort für den Server verwendet. Geben Sie dann den Benutzernamen als Administrator und dann das Kennwort ein. Starten Sie dann Ihren Computer neu. Jetzt befindet sich Ihr Computer in der Domäne und versuchen Sie, sich mit Ihrer Benutzer-ID und Ihrem Kennwort anzumelden.

0
Ahmed Raza