J'ai un problème avec un PC Windows 7 qui était membre du domaine. Lorsque j'essaie de me connecter à ce PC avec des identifiants de domaine, je reçois un message semblable à
The trust relationship between this workstation and the primary domain could not be established.
Maintenant, je dois rétablir la composition du PC dans le domaine. Mais comme je ne peux pas me connecter, je ne peux changer ni le nom de l'ordinateur ni l'appartenance au domaine.
Éditer :
Il n'y a pas de compte local actif sur la machine que je pourrais utiliser pour me connecter.
Il est uniquement possible d'ajouter le PC lorsque vous disposez des droits d'administrateur sur le PC et du droit de changer de contrôleur de domaine.
Il est donc nécessaire de réinitialiser le mot de passe de l’administrateur sur le PC. L’utilisation du DVD d’installation et de la console de réparation est un moyen d’exécuter cette tâche. Cela vous permet de reprendre le contrôle total.
Cette astuce vient de se faire via mon groupe d'étude Active Directory. Je suggère à tout le monde de rejoindre un groupe d'utilisateurs et/ou un groupe d'étude. Ce n’est pas que nous ne connaissions pas AD, mais que nous oublions ou manquions de nouvelles fonctionnalités. Un cours de recyclage est amusant aussi.
De temps en temps, un ordinateur vient "disjoint" du domaine. Les symptômes peuvent être que l’ordinateur ne peut pas se connecter lorsqu’il est connecté au réseau, un message indiquant que le compte de l’ordinateur a expiré, que le certificat de domaine est invalide, etc. Ces problèmes découlent tous du même problème, c’est-à-dire que le canal sécurisé entre l’ordinateur et le domaine est arrosé. (c’est un terme technique. Sourire)
La méthode classique pour résoudre ce problème consiste à annuler la jonction et à rejoindre le domaine. Cela est un peu pénible car il nécessite quelques redémarrages et le profil de l’utilisateur n’est pas toujours reconnecté. Ewe. De plus, si vous avez eu cet ordinateur dans un groupe ou si des autorisations spécifiques lui ont été attribuées, celles-ci ont disparu parce que votre ordinateur a maintenant un nouveau SID, de sorte que l'AD ne le voit plus comme le même ordinateur. Vous devrez recréer tous ces éléments à partir de l’excellente documentation que vous avez conservée. Euh, hein, votre excellente documentation. Double Ewe.
Au lieu de cela, nous pouvons simplement réinitialiser le canal sécurisé. Il y a deux façons de le faire:
dsmod computer "ComputerDN" -reset
netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Arrêtez de vous battre avec ce problème du côté client. Si vous ne pouvez pas vous connecter au domaine, vous devrez soit vous connecter avec un compte local activé, soit utiliser un CD de démarrage pour en activer un.
Essayez de supprimer la machine de Utilisateurs et ordinateurs Active Directory. Il devrait être dans les outils d'administration sur votre serveur. Ouvrez l'unité d'organisation (unité organisationnelle) contenant l'ordinateur. Recherchez l'ordinateur, cliquez dessus avec le bouton droit de la souris et appuyez sur Supprimer.
Il n’est pas douloureux d’être patient et de laisser la réplication agir, en fonction du nombre de PED que vous avez. Si votre domaine est assez simple (pas de sites et seulement deux contrôleurs de domaine), vous pouvez utiliser repadmin /replicate
pour forcer la réplication. Donnez-lui une lecture avant de le faire.
Maintenant, ajoutez à nouveau le PC en utilisant AD UC et attendez la réplication ou forcez-le.
Si le problème persiste, donnez à netdom /remove
un essai ( page de manuel ici ) et voyez si cela l'obtiendra de votre domaine. Si vous avez des problèmes avec cela, jetez un oeil à cette question . Le scénario est différent mais repose essentiellement sur le même concept: essayer de supprimer un ordinateur d'un domaine lorsqu'il ne peut pas contacter le DC.
Vous devrez peut-être vous connecter à l'aide des informations d'identification locales pour cet ordinateur. Lors de la première installation du système d'exploitation, un compte local est configuré.
Connectez-vous avec ce compte en utilisant le nom de l'ordinateur comme domaine (par exemple, MYCOMP\JSmith). En règle générale, le compte d'administrateur de l'ordinateur local est présent mais désactivé par défaut.
Une fois que vous êtes connecté en tant qu'utilisateur local, vous devriez pouvoir quitter et rejoindre le domaine.
Depuis Server 2008 R2, la tâche est très simple. Nous pouvons maintenant utiliser la cmdlet Test-ComputerSecureChannel
.
Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
Ajoutez le paramètre -Repair
pour effectuer la réparation réelle. utiliser les informations d'identification d'un compte autorisé à joindre des ordinateurs au domaine.
Référence:
http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined
- EDIT -
S'il n'y a pas de compte d'administrateur local que vous pouvez utiliser pour cela, vous pouvez en créer un (ou activer le compte d'administrateur intégré désactivé) avec les touches connues des touches rémanentes bidouille.
Pour réinitialiser un mot de passe administrateur oublié, procédez comme suit: ^
copy C:\Windows\System32\sethc.exe C:\
Ceci crée une copie de sethc.exe pour une restauration ultérieure.copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
Redémarrez votre ordinateur et exécutez l'instance Windows pour laquelle vous ne possédez pas le mot de passe administrateur.Net User [username] [password]
Si vous ne connaissez pas votre nom d'utilisateur, entrez simplement Net User
pour répertorier les noms d'utilisateur disponibles.Si vous souhaitez activer le compte administrateur intégré désactivé par défaut au lieu de réinitialiser le mot de passe d'un compte existant, la commande est la suivante:
Net User administrator /active:yes
.Si vous souhaitez créer un nouveau compte et l'ajouter au groupe Administrateurs local, la séquence de commandes est la suivante:
Net User /add [username] [password]
net localgroup administrators [username] /add
La seule solution, si vous avez un problème PC/Server Trust (après la réinitialisation, la recréation sur le DC, etc.) pour le résoudre sans aucune restauration!
Désactivez tous les NICS afin qu'il ne puisse pas vérifier la relation de confiance avec le DC d'ouverture de session. Ensuite, connectez-vous à l’aide d’un compte de domaine de niveau administrateur précédemment connecté (qui doit résider dans des groupes d’administrateurs de PC locaux) préalablement connecté, c’est-à-dire pour exploiter les informations d’identification mises en cache. Mon problème était que je déplaçais un W7 VM d'un prod à un laboratoire de test et que j'anticipais une relation de confiance, cependant, je ne pouvais pas me connecter avec un compte d'utilisateur ou d'administrateur local, ni même avec le " anciens domaines "informations d'identification mises en cache.
Désactivez la carte réseau et les informations d'identification mises en cache fonctionnent. Vous pouvez ensuite rejoindre le domaine avec netdom join
.
Si vous manquez de tentatives d'identification d'informations d'identification mises en cache (dépend des stratégies du système d'exploitation local/GPO - jusqu'à 50), effectuez une restauration du système sur une période antérieure, cela fonctionnera également.
Déconnectez le câble réseau et connectez-vous au poste de travail concerné (les informations d'identification mises en cache le permettront.) Après cela, reconnectez le câble réseau.
Téléchargez le package RSAT (Remote Server Administration Tools) de Microsoft ici: http://www.Microsoft.com/en-us/download/details.aspx?id=7887 (sélectionnez la version 32 bits ou 64 bits appropriée en fonction du système d'exploitation du poste de travail et non du serveur.)
Installez le package téléchargé. Nous avions des problèmes avec cela jusqu'à ce que nous utilisions le mode de démarrage en mode minimal, vous devrez peut-être redémarrer le poste de travail après la configuration pour un démarrage en mode minimal, ce qui peut être annulé après ce processus.
L’installation de RSAT ne le rend pas automatiquement disponible. Allez au Panneau de configuration -> Programmes -> Ajouter/Supprimer des fonctionnalités Windows et recherchez Outils d’administrateur de serveur distant. Développez ceci et accédez à AD/AS/Command line et activez-le.
Ouvrez une fenêtre de commande en tant qu’administrateur et entrez cette commande:
NETDOM.EXE resetpwd/s: (serveur)/ud: (nom d'utilisateur)/pd: *
Où (serveur) est le nom Netbios du serveur de domaine et (nom d'utilisateur) le compte de connexion du poste de travail affecté au format DOMAINE\Nom d'utilisateur.
C'est tout. Après cela, tout est revenu à la normale sur le poste de travail.
Essayez d'abord de vous connecter avec Administrateur (nom de l'ordinateur\Administrateur), puis dissociez le domaine dans le groupe de travail, puis redémarrez. Maintenant, votre PC est dans WorkGrup en tant que compte local. Maintenant, essayez de rejoindre le domaine à nouveau. (Cliquez avec le bouton droit de la souris sur Poste de travail-> Propriété-> Modifier-> Doamin-> Ex Fu-com.com -> Ensuite, il servira de mot de passe administrateur pour Serveur, puis entrez le nom d'utilisateur en tant qu'administrateur, puis le mot de passe. puis redémarrez votre ordinateur.Votre ordinateur est maintenant dans le domaine, essayez de vous connecter avec votre identifiant et votre mot de passe.