Volver a unir una computadora al dominio

18

Tengo un problema con una PC con Windows 7 que había sido miembro del dominio. Cuando intento iniciar sesión en esta PC con credenciales de dominio, aparece un mensaje similar a

The trust relationship between this workstation and the primary domain could not be established.

Ahora necesito restablecer la membresía de la PC en el dominio. Pero como no puedo iniciar sesión, no puedo cambiar el nombre de la computadora ni la membresía del dominio.

  • ¿Cómo puedo volver a confiar en PC y dominio?
  • ¿Puedo agregar o renovar la membresía desde la consola de controladores de dominio?

Editar :

No hay cuentas locales activas en la máquina que pueda usar para iniciar sesión.

harper
fuente
¿Tienes acceso a AD UC?
Tanner Faulkner
¿Acceso a qué? Supongo: AD = directorio activo UC = ?? Pero: Sí, tengo derechos administrativos para el dominio.
Harper

Respuestas:

9

Este truco se realiza a través de mi grupo de estudio de Active Directory. Sugiero que todos se unan a un grupo de usuarios y / o un grupo de estudio. No es que no conozcamos AD, es que olvidamos o perdemos nuevas funciones. Un curso de actualización también es divertido.

Ocasionalmente, una computadora vendrá "desunida" del dominio. Los síntomas pueden ser que la computadora no puede iniciar sesión cuando está conectada a la red, un mensaje de que la cuenta de la computadora ha caducado, el certificado de dominio no es válido, etc. Todo esto proviene del mismo problema y es que el canal seguro entre la computadora y dominio es manguera. (ese es un término técnico. Sonríe)

La forma clásica de solucionar este problema es desunir y volver a unir el dominio. Hacerlo es una molestia porque requiere un par de reinicios y el perfil del usuario no siempre se vuelve a conectar. Oveja. Además, si tenía esa computadora en algún grupo o le asignó permisos específicos, esas se han ido porque ahora su computadora tiene un nuevo SID, por lo que el AD ya no lo ve como la misma máquina. Tendrá que recrear todo eso a partir de la excelente documentación que ha estado guardando. Uh, eh, tu excelente documentación. Oveja doble

En lugar de hacerlo, podemos restablecer el canal seguro. Hay un par de maneras de hacer esto:

  1. En AD, haga clic derecho en la computadora y seleccione Restablecer cuenta.
    Luego, vuelva a unirse sin desunir la computadora al dominio.
    Reinicio requerido.
  2. En un símbolo del sistema elevado, escriba: dsmod computer "ComputerDN" -reset
    luego vuelva a unir sin desunir la computadora al dominio.
    Reinicio requerido.
  3. En un símbolo del sistema elevado, escriba: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    La cuenta cuyas credenciales que proporcionó debe ser miembro del grupo de Administradores locales.
    No te reúnas. No reiniciar
  4. En un símbolo del sistema elevar, escriba: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    No volver a unirse. No reiniciar
Ahmed Raza
fuente
6

Deja de luchar con este problema desde el lado del cliente. Si no puede iniciar sesión en el dominio, tendrá que iniciar sesión con una cuenta local habilitada o utilizar un CD de arranque para habilitar una.

Intente eliminar la máquina de usuarios y computadoras de Active Directory. Debe estar en las Herramientas administrativas de su servidor. Abra la OU (unidad organizativa) que contiene la computadora. Encuentra la computadora, haz clic derecho sobre ella y presiona Eliminar.

ingrese la descripción de la imagen aquí

Es posible que no sea doloroso ser paciente y dejar que la replicación haga lo suyo, dependiendo de cuántas CD tenga. Si su dominio es bastante simple (sin sitios y solo dos DC), puede usar repadmin /replicatepara forzar la replicación. Lee esto antes de hacerlo.

Ahora agregue la PC nuevamente usando AD UC y espere la replicación o forzarla.

Si todavía te queja, netdom /removepruébalo ( página de manual aquí ) y mira si eso lo sacará de tu dominio. Si tiene problemas con eso, eche un vistazo a esta pregunta . Es un escenario diferente pero esencialmente el mismo concepto: tratar de eliminar una computadora de un dominio cuando no puede contactar al DC.

Tanner Faulkner
fuente
1
Esto eliminará la PC del dominio, ¿no? ¿Cómo uso la autenticación de dominio para iniciar sesión en la PC cuando ya no es miembro del dominio? ¿No puedo agregarlo con ADUC?
Harper
Tienes razón. Todavía no había tomado mi café ...
Tanner Faulkner
4

Es posible que deba iniciar sesión con credenciales locales de esa máquina. Cuando se instaló el sistema operativo por primera vez, hay una cuenta local configurada.

Inicie sesión con esa cuenta utilizando el nombre de la computadora como dominio (ej. MYCOMP \ JSmith). Por lo general, la cuenta del administrador de la máquina local está presente pero está deshabilitada de manera predeterminada.

Una vez que haya iniciado sesión como usuario local, debería poder salir y volver a unirse al dominio.

Rico g
fuente
Dejar y volver a ingresar al dominio es la solución preferida para esto. Sin embargo, a veces simplemente no funciona y también necesitará cambiar el nombre de su computadora si Active Directory no entiende el cambio por cualquier razón.
Lee Harrison
4

A partir de Server 2008 R2, la tarea es muy simple. Ahora podemos usar el Test-ComputerSecureChannelcmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Captura de pantalla

Agregue el -Repairparámetro para realizar la reparación real; use credenciales para una cuenta que esté autorizada para unir computadoras al dominio.

Referencia:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- EDITAR--

Si no hay ninguna cuenta de administrador local que pueda usar para esto, puede crear una (o habilitar la cuenta de administrador incorporada deshabilitada) con el conocido truco de Sticky Keys .

Para restablecer una contraseña de administrador olvidada, siga estos pasos: ^

  1. Arranque desde Windows PE o Windows RE y acceda al símbolo del sistema.
  2. Encuentre la letra de unidad de la partición donde está instalado Windows. En Vista y Windows XP, generalmente es C :, en Windows 7, es D: en la mayoría de los casos porque la primera partición contiene Reparación de inicio. Para encontrar la letra de unidad, escriba C: (o D :, respectivamente) y busque la carpeta de Windows. Tenga en cuenta que Windows PE (RE) generalmente reside en X :. Para los fines de esta demostración, asumiremos que Windows está instalado en la unidad C:
  3. Escriba el siguiente comando: copy C:\Windows\System32\sethc.exe C:\Esto crea una copia de sethc.exe para restaurar más tarde.
  4. Escriba este comando para reemplazar sethc.exe con cmd.exe: reinicie copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exesu computadora y ejecute la instancia de Windows para la cual no tiene la contraseña de administrador.
  5. Después de ver la pantalla de inicio de sesión, presione la tecla MAYÚS cinco veces.
  6. Debería ver un símbolo del sistema donde puede ingresar el siguiente comando para restablecer la contraseña de Windows: net user [username] [password] Si no conoce su nombre de usuario, simplemente escriba net userpara enumerar los nombres de usuario disponibles.
  7. Ahora puede iniciar sesión con la nueva contraseña.

Si desea habilitar la cuenta de administrador incorporada deshabilitada por defecto en lugar de restablecer la contraseña en una cuenta existente, el comando es:

  1. net user administrator /active:yes.

Si desea crear una nueva cuenta y agregarla al grupo de administradores locales, la secuencia de comandos es:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
InteXX
fuente
Excelente fuente de información aquí! $credential = Get-Credential, presione Entrar , escriba la contraseña en el símbolo del sistema, luego Test-ComputerSecureChannel -Credential $credential -Repair -Verbosees lo que hicimos y trabajamos para nosotros (básicamente lo que describió, pero ligeramente matizado para aquellos que podrían tener dificultades para seguir). Gran truco en el sethc.exe y obtener la cuenta de administrador local nuevamente.
vapcguy
1
@vapcguy: todos estos años, y todavía no lo han solucionado. Es un poco desconcertante, saber que una instalación de Windows puede verse comprometida tan fácilmente.
InteXX
InteXX - Sí, pero es algo agradable cuando pierdes la contraseña de la cuenta de administrador local, o nunca la recibes porque los contratistas salientes quieren ser @ # &% !, jajaja
vapcguy
1
Cada espada tiene dos filos :-)
InteXX
2

Solo es posible agregar la PC cuando tiene los derechos de administrador en la PC y el derecho de cambiar el DC.

Por lo tanto, es necesario restablecer la contraseña de administrador en la PC. Una forma de realizar esta tarea es usar el DVD de instalación y usar la consola de reparación. Esto le permite recuperar el control total.

harper
fuente
1

¡La única solución, si tiene un problema de PC / Server Trust, (después de reiniciar, recrear en DC, etc.) para resolverlo sin ninguna restauración!

Deshabilite todos los NICS, por lo que no puede verificar la relación de confianza con el DC de inicio de sesión. Luego, inicie sesión con una cuenta de dominio de nivel de administrador que haya iniciado sesión previamente (debe residir en Grupos de administradores de PC locales) que haya iniciado sesión anteriormente, es decir, para aprovechar las credenciales almacenadas en caché. Mi problema fue que moví una VM W7 de prod a un laboratorio de pruebas, y anticipé que se rompería una confianza, sin embargo, no es que no pudiera iniciar sesión con cuentas de administrador / usuario locales, o incluso con las credenciales en caché de "dominios antiguos".

Deshabilite los trabajos de NIC y credenciales en caché, luego puede volver a unirse al dominio con netdom join.

Si se queda sin intentos de credenciales en caché (depende de las políticas del sistema operativo local / GPO - hasta 50), haga una restauración del sistema a días anteriores, esto también funcionará.

reg one
fuente
0

Primero intente iniciar sesión con el Administrador (nombre de la computadora \ Administrador), luego desactive el dominio en WorkGroup y luego reinicie. Ahora su PC está en WorkGrup como cuenta local. Ahora intente unirse al dominio nuevamente. (Haga clic derecho en Mi computadora-> Propiedad-> Cambiar-> Doamin-> Ex Fu-com.com -> Luego, como contraseña de administrador para el Servidor, ingrese el nombre de usuario como administrador y luego la contraseña. luego reinicie su computadora. Ahora su computadora está en el dominio, intente iniciar sesión con su ID de usuario y contraseña.

Ahmed Raza
fuente
1
Por favor lea antes de publicar. La última oración (después de Editar ) muestra que no puedo usar cuentas locales.
Harper
0
  1. Desconecte el cable de red e inicie sesión en la estación de trabajo afectada (las credenciales en caché lo permitirán). Después de hacer esto, vuelva a conectar el cable de red.

  2. Descargue el paquete de herramientas de administración remota del servidor (RSAT) de Microsoft aquí: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (seleccione la versión adecuada de 32 bits o 64 bits de acuerdo con al sistema operativo de la estación de trabajo, no al servidor).

  3. Instala el paquete descargado. Tuvimos problemas con esto hasta que usamos el modo de inicio limpio, por lo que es posible que deba reiniciar la estación de trabajo después de configurar el inicio limpio, que se puede deshacer después de este proceso.

  4. La instalación de RSAT no lo pone automáticamente a disposición para su uso. Vaya al Panel de control -> Programas -> Agregar o quitar características de Windows y busque las Herramientas de administrador del servidor remoto. Expanda esto y profundice en AD / AS / Línea de comando y habilítelo.

  5. Abra una ventana de comando como Administrador e ingrese este comando:

NETDOM.EXE resetpwd / s: (servidor) / ud: (nombre de usuario) / pd: *

Donde (servidor) es el nombre de Netbios del servidor de dominio y (nombre de usuario) es la cuenta de inicio de sesión de la estación de trabajo afectada en el formato DOMINIO \ Nombre de usuario

Eso es. Después de hacer esto, todo volvió a la normalidad en la estación de trabajo.

usuario473120
fuente
-3

Me ha sucedido esto y lo que funcionó para mí es iniciar sesión en la cuenta de administrador y volver a agregar al grupo de trabajo, luego volver a agregar al dominio después de eso.

Chris
fuente
There are no active local accounts on the machine that I could use to logon.Esta respuesta también es similar a la respuesta aceptada.
Rsya Studios
-3

Si tiene instalado un software antivirus, haga lo siguiente ...

Inicio ==> ejecutar ==> ncpa.cpl ==> presione el botón Alt+ N==> Configuración avanzada ==> pestaña Orden del proveedor ==> presione el botón hacia arriba para obtener la red de Microsoft Windows en la parte superior.

Haga esto en el cliente y el controlador de dominio (DC).

khalid khan
fuente
44
¿Por qué? ¿Cómo soluciona esto la relación de confianza entre el cliente y el controlador de dominio?
un CVn