Bergabung kembali dengan komputer ke domain


18

Saya memiliki masalah dengan PC Windows 7 yang telah menjadi anggota domain. Ketika saya mencoba masuk ke PC ini dengan kredensial domain saya mendapatkan pesan yang mirip dengan

The trust relationship between this workstation and the primary domain could not be established.

Sekarang saya perlu membangun kembali keanggotaan PC di domain. Tetapi karena saya tidak bisa masuk saya tidak bisa mengubah nama komputer atau keanggotaan domain.

  • Bagaimana saya bisa mempercayai kembali PC dan domain?
  • Bisakah saya menambah atau memperbarui keanggotaan dari konsol pengontrol domain?

Edit :

Tidak ada akun lokal aktif di mesin yang bisa saya gunakan untuk masuk.


Apakah Anda memiliki akses ke AD UC?
Tanner Faulkner

Akses ke apa? Saya berasumsi: AD = direktori aktif UC = ?? Tetapi: Ya, saya memiliki hak administratif untuk domain tersebut.
pemain harpa

Jawaban:


9

Trik ini datang melalui grup studi Active Directory saya. Saya menyarankan agar semua orang bergabung dengan grup pengguna dan / atau kelompok belajar. Bukannya kita tidak tahu AD, itu karena kita lupa atau ketinggalan fitur baru. Kursus penyegaran juga menyenangkan.

Kadang-kadang komputer akan datang "terpisah" dari domain. Gejala-gejalanya adalah bahwa komputer tidak dapat login ketika terhubung ke jaringan, pesan bahwa akun komputer telah kadaluwarsa, sertifikat domain tidak valid, dll. Semua ini berasal dari masalah yang sama dan itu adalah bahwa saluran aman antara komputer dan domain disemprot. (Itu istilah teknis. Senyum)

Cara klasik untuk memperbaiki masalah ini adalah dengan bergabung dan bergabung kembali dengan domain. Melakukannya agak merepotkan karena membutuhkan beberapa reboot dan profil pengguna tidak selalu terhubung kembali. Ewe. Lebih lanjut jika Anda memiliki komputer itu dalam grup apa pun atau diberikan izin khusus untuk itu, komputer itu hilang karena sekarang komputer Anda memiliki SID baru, sehingga AD tidak lagi melihatnya sebagai mesin yang sama. Anda harus membuat ulang semua hal itu dari dokumentasi bagus yang telah Anda simpan. Eh, huh, dokumentasi Anda yang luar biasa. Ewe ganda.

Alih-alih melakukan itu kita bisa mereset saluran aman. Ada beberapa cara untuk melakukan ini:

  1. Dalam AD, klik kanan komputer dan pilih Reset Akun.
    Kemudian gabung kembali tanpa melepas komputer ke domain.
    Diperlukan boot ulang.
  2. Dalam jenis prompt perintah yang ditinggikan: dsmod computer "ComputerDN" -reset
    Kemudian gabung kembali tanpa melepas komputer ke domain.
    Diperlukan boot ulang.
  3. Dalam jenis prompt perintah yang ditinggikan: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    Akun yang kredensial yang Anda berikan harus menjadi anggota grup Administrator Lokal.
    Tidak bergabung kembali. Tidak perlu reboot.
  4. Dalam jenis command prompt elevate: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    Tidak bergabung kembali. Tidak perlu reboot.

6

Berhentilah berjuang dengan masalah ini dari sisi klien. Jika Anda tidak dapat masuk ke domain, Anda harus masuk dengan akun lokal yang diaktifkan, atau menggunakan CD boot untuk mengaktifkannya.

Coba lepaskan mesin dari Pengguna dan Komputer Direktori Aktif. Itu harus di Alat Administratif di server Anda. Buka OU (unit organisasi) yang berisi komputer. Temukan komputer, klik kanan padanya, dan tekan delete.

masukkan deskripsi gambar di sini

Mungkin tidak ada salahnya bersabar dan biarkan replikasi melakukan hal itu, tergantung pada berapa banyak DC yang Anda miliki. Jika domain Anda cukup sederhana (tidak ada situs dan hanya dua DC) yang dapat Anda gunakan repadmin /replicateuntuk memaksa replikasi. Bacakan ini sebelum melakukannya.

Sekarang tambahkan PC lagi menggunakan AD UC dan tunggu replikasi atau memaksanya.

Jika masih merengek pada Anda, netdom /removecobalah ( halaman manual di sini ) dan lihat apakah itu akan keluar dari domain Anda. Jika Anda memiliki masalah dengan itu, lihat pertanyaan ini . Ini adalah skenario yang berbeda tetapi pada dasarnya konsep yang sama: mencoba untuk menghapus komputer dari domain ketika itu tidak dapat menghubungi DC.


1
Ini akan menghapus PC dari domain, bukan? Bagaimana cara menggunakan otentikasi domain untuk masuk di PC ketika bukan anggota domain lagi? Bisakah saya menambahkannya dengan ADUC?
pemain harper

Kamu benar. Belum minum kopi saya ...
Tanner Faulkner

4

Anda mungkin harus masuk menggunakan kredensial yang lokal untuk mesin itu. Ketika OS pertama kali diinstal, ada akun lokal yang diatur.

Masuk dengan akun itu menggunakan Nama Komputer sebagai domain (mis. MYCOMP \ JSmith). Biasanya akun administrator mesin lokal ada tetapi dinonaktifkan secara default.

Setelah Anda masuk sebagai pengguna lokal, Anda harus dapat meninggalkan dan bergabung kembali dengan domain.


Meninggalkan dan memasukkan kembali domain adalah perbaikan yang lebih disukai untuk ini. Namun, kadang-kadang itu tidak berfungsi dan Anda juga harus mengubah nama komputer Anda jika Active Directory tidak memahami perubahan untuk alasan apa pun.
Lee Harrison

4

Pada Server 2008 R2, tugasnya sangat sederhana. Kita sekarang dapat menggunakan Test-ComputerSecureChannelcmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Tangkapan Layar

Tambahkan -Repairparameter untuk melakukan perbaikan yang sebenarnya; gunakan kredensial untuk akun yang diotorisasi untuk bergabung dengan komputer ke domain.

Referensi:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- EDIT--

Jika tidak ada akun administrator lokal yang dapat Anda gunakan untuk ini, Anda dapat membuatnya (atau mengaktifkan akun Administrator bawaan yang dinonaktifkan) dengan peretasan Sticky Keys yang terkenal .

Untuk mengatur ulang kata sandi administrator yang terlupakan, ikuti langkah-langkah ini: ^

  1. Boot dari Windows PE atau Windows RE dan akses command prompt.
  2. Temukan huruf drive dari partisi tempat Windows diinstal. Di Vista dan Windows XP, biasanya C :, di Windows 7, itu adalah D: dalam banyak kasus karena partisi pertama berisi Perbaikan Startup. Untuk menemukan huruf drive, ketikkan C: (atau D :, masing-masing) dan cari folder Windows. Perhatikan bahwa Windows PE (RE) biasanya berada di X :. Untuk keperluan demonstrasi ini, kami akan menganggap bahwa Windows diinstal pada drive C:
  3. Ketik perintah berikut: copy C:\Windows\System32\sethc.exe C:\Ini membuat salinan sethc.exe untuk memulihkan nanti.
  4. Ketik perintah ini untuk mengganti sethc.exe dengan cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exeReboot komputer Anda dan jalankan instance Windows yang Anda tidak memiliki kata sandi administrator.
  5. Setelah Anda melihat layar masuk, tekan tombol SHIFT lima kali.
  6. Anda akan melihat prompt perintah di mana Anda dapat memasukkan perintah berikut untuk mereset kata sandi Windows: net user [username] [password] Jika Anda tidak tahu nama pengguna Anda, cukup ketik net useruntuk mendaftar nama-nama pengguna yang tersedia.
  7. Anda sekarang dapat masuk dengan kata sandi baru.

Jika Anda ingin mengaktifkan akun Administrator bawaan yang dinonaktifkan secara bawaan alih-alih mengatur ulang kata sandi pada akun yang ada, perintahnya adalah:

  1. net user administrator /active:yes.

Jika Anda ingin membuat akun baru dan menambahkannya ke grup Administrator lokal, urutan perintahnya adalah:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

Sumber info hebat di sini! $credential = Get-Credential, tekan Enter , ketikkan kata sandi saat diminta, lalu Test-ComputerSecureChannel -Credential $credential -Repair -Verboseitulah yang kami lakukan dan bekerja untuk kami (pada dasarnya apa yang Anda uraikan tetapi sedikit bernuansa untuk yang mungkin sulit diikuti). Trik hebat pada sethc.exe dan mendapatkan akun admin lokal lagi.
vapcguy

1
@ vapcguy - Bertahun-tahun, dan mereka masih belum memperbaikinya. Agak membingungkan, mengetahui bahwa instalasi Windows dapat dengan mudah dikompromikan.
InteXX

InteXX - Ya, tapi agak menyenangkan ketika Anda kehilangan kata sandi untuk akun admin lokal, meskipun - atau tidak pernah menerimanya karena kontraktor keluar ingin menjadi @ # &% !, lol
vapcguy

1
Setiap pedang memiliki dua sisi :-)
InteXX

2

Itu hanya mungkin untuk menambahkan PC ketika Anda memiliki hak administrator di PC dan hak untuk mengubah DC.

Oleh karena itu perlu untuk mereset kata sandi administrator di PC. Salah satu cara untuk melakukan tugas ini adalah penggunaan DVD instalasi dan menggunakan konsol perbaikan. Ini memungkinkan Anda untuk mendapatkan kembali kendali penuh.


1

Satu-satunya solusi, jika Anda memiliki masalah PC / Server Trust, (setelah reset, buat ulang di DC, dll.) Untuk menyelesaikannya tanpa pemulihan!

Nonaktifkan semua NICS, sehingga tidak dapat memverifikasi hubungan kepercayaan dengan logon DC. Kemudian login dengan akun domain tingkat administrator yang sebelumnya login (harus berada di Grup Administrator PC lokal) yang sebelumnya login yaitu untuk memanfaatkan kredensial yang di-cache. Masalah saya adalah saya memindahkan VM W7 dari prod ke lab uji, dan mengantisipasi kepercayaan untuk dilanggar, namun saya tidak dapat login dengan admin / akun pengguna lokal, atau bahkan dengan kredensial cache "domain lama".

Nonaktifkan NIC dan kredensial yang di-cache berfungsi, lalu Anda dapat bergabung kembali dengan domain netdom join.

Jika Anda kehabisan percobaan kredensial yang di-cache (tergantung pada Kebijakan OS / GPO lokal - hingga 50), lakukan pengembalian sistem ke hari-hari sebelumnya, ini juga akan berhasil.


0

Pada awalnya coba masuk dengan Administrator (Computer name \ Administrator), lalu lepas domain ke WorkGroup kemudian reboot. Sekarang PC Anda ada di WorkGrup sebagai akun lokal. Sekarang cobalah untuk bergabung dengan domain lagi. (Klik kanan pada My computer-> Property-> Change-> Doamin-> Ex Fu-com.com -> Kemudian sebagai kata sandi administrator untuk Server kemudian masukkan nama pengguna sebagai administrator dan kata sandi. lalu reboot komputer Anda. Sekarang komputer Anda ada di domain, coba login dengan User ID dan kata sandi Anda.


1
Silakan baca sebelum posting. Kalimat terakhir (setelah Edit ) menunjukkan bahwa saya tidak dapat menggunakan akun lokal.
pemain

0
  1. Lepaskan koneksi kabel jaringan dan masuk ke workstation yang terpengaruh (kredensial yang di-cache akan memungkinkan ini.) Setelah melakukan ini, sambungkan kembali kabel jaringan.

  2. Unduh paket Remote Server Administration Tools (RSAT) dari Microsoft di sini: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (pilih versi 32-bit atau 64-bit yang sesuai menurut ke sistem operasi workstation, bukan server.)

  3. Instal paket yang diunduh. Kami mengalami masalah dengan ini sampai kami menggunakan mode boot bersih, jadi Anda mungkin harus me-restart workstation setelah mengkonfigurasi untuk boot bersih, yang dapat dibatalkan setelah proses ini.

  4. Menginstal RSAT tidak secara otomatis membuatnya tersedia untuk digunakan. Pergi ke Control Panel -> Program -> Tambah / Hapus Fitur Windows dan cari Remote Server Administrator Tools. Perluas ini dan telusuri baris AD / AS / Command dan aktifkan itu.

  5. Buka jendela perintah sebagai Administrator dan masukkan perintah ini:

NETDOM.EXE resetpwd / s: (server) / ud: (nama pengguna) / pd: *

Di mana (server) adalah nama Netbios dari server domain dan (nama pengguna) adalah akun login workstation yang terpengaruh dalam format DOMAIN \ Username

Itu dia. Setelah melakukan ini, semuanya kembali normal di workstation.


-3

Saya telah mengalami hal ini dan yang berhasil bagi saya adalah masuk ke akun admin dan menambahkan kembali ke workgroup, kemudian menambahkan kembali ke domain setelah itu.


There are no active local accounts on the machine that I could use to logon.Jawaban ini juga mirip dengan jawaban yang diterima.
Rsya Studios

-3

Jika Anda menginstal perangkat lunak antivirus, lakukan yang berikut ...

Mulai ==> jalankan ==> ncpa.cpl ==> tekan Alt+ Ntombol ==> Pengaturan Lanjut ==> tab Penyedia Pesanan ==> tekan tombol atas untuk membawa Microsoft Windows Network ke atas.

Lakukan ini pada klien dan pengontrol domain (DC).


4
Mengapa? Bagaimana cara memperbaiki hubungan kepercayaan antara klien dan pengontrol domain?
CVn
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.