重新将计算机加入域

18

我曾经是域成员的Windows 7 PC出现问题。当我尝试使用域凭据登录到此PC时,收到类似以下消息

The trust relationship between this workstation and the primary domain could not be established.

现在,我需要重新建立域中PC的成员身份。但是由于无法登录,因此无法更改计算机名称或域成员身份。

  • 如何重新信任PC和域?
  • 是否可以从域控制器控制台添加或续订成员资格?

编辑

我可以用来登录的计算机上没有活动的本地帐户。

windows  domain  active-directory 
哈珀
source
您可以使用AD UC吗?
Tanner Faulkner
获得什么?我假设:AD =活动目录UC =?但是:是,我对该域具有管理权限。
哈珀

Answers:

9

这个技巧来自我的Active Directory学习小组。我建议每个人都加入一个用户组和/或一个研究组。并不是说我们不了解广告,而是我们忘记或错过了新功能。进修课程也很有趣。

有时,计算机将与域“脱节”。症状可能是计算机连接到网络后无法登录,出现计算机帐户已过期,域证书无效的消息等。所有这些都源于同一问题,即计算机之间的安全通道和域是软管。(这是一个技术术语。微笑)

解决此问题的经典方法是取消加入并重新加入域。这样做有点麻烦,因为它需要重新启动两次,并且用户配置文件并非总是重新连接。母羊。此外,如果您在任何组中都拥有该计算机或为其分配了特定权限,那么这些计算机就都消失了,因为现在您的计算机有了新的SID,因此AD不再将其视为同一台计算机。您必须从一直保留的出色文档中重新创建所有这些内容。嗯,你的优秀文档。双母羊。

不用这样做,我们可以重置安全通道。有两种方法可以做到这一点:

  1. 在AD中,右键单击计算机,然后选择“重置帐户”。
    然后重新加入,而无需取消将计算机加入域。
    需要重启。
  2. 在提升权限的命令提示符下,键入:dsmod computer "ComputerDN" -reset
    然后重新加入而不会取消将计算机加入域的过程。
    需要重启。
  3. 在提升的命令提示符下,键入:netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    您提供其凭据的帐户必须是Local Administrators组的成员。
    没有重新加入。没有重启。
  4. 在提升命令提示符中,键入:nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    No rejoin。没有重启。
艾哈迈德·拉扎(Ahmed Raza)
source
6

停止从客户端解决此问题。如果您无法登录到域,则要么必须使用已启用的本地帐户登录,要么使用启动CD来启用该帐户。

尝试从Active Directory用户和计算机中删除计算机。它应该在服务器上的管理工具中。打开包含计算机的OU(组织单位)。找到计算机,右键单击它,然后单击删除。

在此处输入图片说明

耐心等待可能不会有什么坏处,只是让复制来完成它,这取决于您有多少个DC。如果您的域非常简单(没有站点,只有两个DC),则可以使用repadmin /replicate强制复制。在这样做之前,请先阅读此书。

现在,使用AD UC再次添加PC,然后等待复制或强制复制。

如果它仍然对您发牢骚,请netdom /remove尝试一下(在此处的手册页),看看是否可以解决该问题。如果您对此有疑问,请看一下这个问题。这是一个不同的场景,但本质上是相同的概念:尝试在无法联系DC时从域中删除计算机。

坦纳·福克纳
source
1
这将从域中删除PC,不是吗?当PC不再是域成员时,如何使用域身份验证在PC上登录?我不能用ADUC添加它吗?
harper 2013年
你是对的。还没喝咖啡吗?
Tanner Faulkner
4

您可能必须使用该计算机本地的凭据登录。首次安装操作系统时,将设置一个本地帐户。

使用“计算机名”作为域(例如MYCOMP \ JSmith)使用该帐户登录。通常,本地计算机管理员帐户存在,但默认情况下被禁用。

以本地用户身份登录后,您应该可以离开并重新加入域。

富G
source
首选的解决方法是离开并重新进入域。但是,有时它只是行不通,而且如果Active Directory由于某种原因无法理解更改,则还需要更改计算机名称。
Lee Harrison
4

从Server 2008 R2开始,该任务非常简单。我们现在可以使用该Test-ComputerSecureChannelcmdlet。

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

屏幕截图

添加-Repair参数以执行实际维修;对被授权将计算机加入域的帐户使用凭据。

参考:

https://msdn.microsoft.com/zh-cn/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-编辑-

如果没有可用于此目的的本地管理员帐户,则可以使用众所周知的Sticky Keys hack 创建一个(或启用禁用的内置Administrator帐户)。

要重置忘记的管理员密码,请按照下列步骤操作:^

  1. 从Windows PE或Windows RE引导并访问命令提示符。
  2. 查找安装Windows的分区的驱动器号。在Vista和Windows XP中,通常为C :,在Windows 7中通常为D :,因为第一个分区包含启动修复。要查找驱动器号,请键入C :(或分别为D :)并搜索Windows文件夹。请注意,Windows PE(RE)通常位于X:上。为了演示的目的,我们假定Windows安装在驱动器C上:
  3. 键入以下命令:copy C:\Windows\System32\sethc.exe C:\这将创建sethc.exe的副本以供以后还原。
  4. 键入以下命令以将sethc.exe替换为cmd.exe:copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe重新启动计算机并运行您没有管理员密码的Windows实例。
  5. 在看到登录屏幕后,按SHIFT键五次。
  6. 您应该看到命令提示符,您可以在其中输入以下命令来重置Windows密码: net user [username] [password] 如果您不知道用户名,只需键入net user以列出可用的用户名。
  7. 现在,您可以使用新密码登录。

如果您希望启用默认禁用的内置管理员帐户,而不是在现有帐户上重置密码,则命令为:

  1. net user administrator /active:yes

如果希望创建一个新帐户并将其添加到本地Administrators组,则命令序列为:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
source
极好的信息来源!$credential = Get-Credential,按Enter键,在提示符下键入密码,然后Test-ComputerSecureChannel -Credential $credential -Repair -Verbose便是我们为我们所做的工作(基本上是您所描述的内容,但对于那些可能很难遵循的内容略有细微差别)。sethc.exe的绝妙技巧,并再次拥有本地管理员帐户。
vapcguy
1
@vapcguy-这些年来,他们仍然没有解决这个问题。知道Windows安装很容易受到威胁,这有点令人不安。
InteXX
InteXX-是的,但是当您丢失本地管理员帐户的密码时,这还是不错的-或永远不会收到它,因为即将离任的承包商希望成为@#&%!,大声笑
vapcguy
1
每把剑都有两个边缘:-)
InteXX '17
2

仅当您具有PC的管理员权限和更改DC的权限时,才可以添加PC。

因此,有必要在PC上重置管理员密码。一种执行此任务的方法是使用安装DVD和使用修复控制台。这使您可以重新获得完全控制权。

哈珀
source
1

唯一的解决方案,如果您遇到PC /服务器信任问题(重置后,在DC上重新创建等),则无需进行任何还原即可解决该问题!

禁用所有NICS,因此它无法验证与登录DC的信任关系。然后使用先前登录的管理员级别的域帐户(必须驻留在本地PC管理员组中)登录,该帐户即已利用缓存的凭据。我的问题是我将W7虚拟机从产品转移到测试实验室,并预期会破坏信任,但是并不是我无法使用本地管理员/用户帐户,甚至无法使用“旧域”缓存的凭据登录。

禁用NIC,并且缓存的凭据有效,然后您可以使用重新加入域netdom join

如果您用尽了缓存的凭据尝试次数(取决于本地OS策略/ GPO-最多50个),请将系统还原到前几天,这也将起作用。

一级
source
0

首先,尝试使用Administrator(计算机名\ Administrator)登录,然后取消将域加入WorkGroup,然后重新启动。现在,您的PC作为本地帐户位于WorkGrup中。现在尝试再次加入域。(右键单击我的电脑->属性->更改-> Doamin-> Ex Fu-com.com->然后它将作为服务器的管理员密码,然后输入用户名作为管理员,然后输入密码。然后重新启动计算机,现在您的计算机在域中,尝试使用您的用户名和密码登录。

艾哈迈德·拉扎(Ahmed Raza)
source
1
请在发布前阅读。最后一句话(在Edit之后)表明我不能使用本地帐户。
哈珀
0

  1. 断开网络电缆的连接,然后登录到受影响的工作站(缓存的凭据将允许这样做。)之后,请重新连接网络电缆。

  2. 从Microsoft此处下载远程服务器管理工​​具(RSAT)软件包:http : //www.microsoft.com/zh-cn/download/details.aspx?id= 7887 (根据需要选择适当的32位或64位版本工作站的操作系统,而不是服务器的操作系统。)

  3. 安装下载的软件包。在使用干净启动模式之前,我们一直遇到问题,因此您可能必须在配置干净启动后重新启动工作站,此过程之后可以撤消。

  4. 安装RSAT不会自动使其可用。转到控制面板->程序->添加/删除Windows功能,然后查找“远程服务器管理员工具”。展开它并向下钻取到AD / AS /命令行并启用它。

  5. 以管理员身份打开命令窗口,然后输入以下命令:

NETDOM.EXE resetpwd / s :(服务器)/ ud :(用户名)/ pd:*

其中(server)是域服务器的Netbios名称,而(username)是受影响的工作站的登录帐户,格式为DOMAIN \ Username

而已。完成此操作后,工作站上的所有内容恢复正常。

用户473120
source
-3

我曾经发生过这种情况,对我有用的是登录管理员帐户并重新添加到工作组,然后在此之后重新添加到域。

克里斯
source
There are no active local accounts on the machine that I could use to logon.此答案也类似于接受的答案。
Rsya Studios 2014年
-3

如果您已安装防病毒软件,请执行以下操作...

开始==>运行==> ncpa.cpl ==>按下Alt+ N按钮==> 高级设置 ==>选项卡提供程序顺序 ==>按下上按钮将Microsoft Windows Network置于顶部。

在客户端和域控制器(DC)上执行此操作。

哈立德汗
source
4
为什么?这如何解决客户端和域控制器之间的信任关系?
CVn 2015年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.