2013-02-21 13:51:57 +0000 2013-02-21 13:51:57 +0000
18
18

Erneutes Verbinden eines Computers mit der Domäne

Ich habe ein Problem mit einem Windows 7 PC, der Mitglied der Domäne war. Wenn ich versuche, mich an diesem PC mit Domänenanmeldeinformationen anzumelden, erhalte ich eine Meldung ähnlich wie

The trust relationship between this workstation and the primary domain could not be established.

Nun muss ich die Mitgliedschaft des PCs in der Domäne wiederherstellen. Aber da ich mich nicht anmelden kann, kann ich weder den Computernamen noch die Domänenmitgliedschaft ändern.

  • Wie kann ich die Zugehörigkeit von PC und Domäne wiederherstellen? & - Kann ich die Mitgliedschaft über die Konsole des Domänencontrollers hinzufügen oder erneuern?

Edit :

Es gibt keine aktiven lokalen Konten auf dem Rechner, die ich zur Anmeldung verwenden könnte.

回答 (10)

9
9
9
2015-01-18 13:24:34 +0000

Dieser Trick kommt über meine Active Directory-Studiengruppe zustande. Ich schlage vor, dass jeder einer Benutzergruppe und/oder einer Studiengruppe beitritt. Es ist nicht so, dass wir AD nicht kennen, es ist so, dass wir neue Funktionen vergessen oder verpassen. Ein Auffrischungskurs macht auch Spaß.

Gelegentlich kommt es vor, dass ein Computer von der Domäne “abgekoppelt” wird. Die Symptome können sein, dass der Computer sich nicht anmelden kann, wenn er mit dem Netzwerk verbunden ist, die Meldung, dass das Computerkonto abgelaufen ist, das Domänenzertifikat ungültig ist, usw. Alle diese Symptome beruhen auf demselben Problem, nämlich dass der sichere Kanal zwischen dem Computer und der Domäne gestört ist. (Das ist ein Fachbegriff. Lächeln)

Der klassische Weg, dieses Problem zu beheben, ist, die Verbindung zur Domäne zu lösen und ihr wieder beizutreten. Das ist ziemlich mühsam, weil es ein paar Neustarts erfordert und das Benutzerprofil nicht immer wieder verbunden wird. Ewe. Wenn Sie den Computer in irgendwelchen Gruppen hatten oder ihm bestimmte Berechtigungen zugewiesen haben, sind diese nicht mehr vorhanden, da der Computer jetzt eine neue SID hat, so dass das AD ihn nicht mehr als denselben Computer ansieht. Sie müssen all diese Dinge anhand der hervorragenden Dokumentation, die Sie aufbewahrt haben, neu erstellen. Äh, hm, Ihre ausgezeichnete Dokumentation. Double Ewe.

Anstatt das zu tun, können wir einfach den sicheren Kanal zurücksetzen. Es gibt mehrere Möglichkeiten, das zu tun:

  1. Klicken Sie im AD mit der rechten Maustaste auf den Computer und wählen Sie Konto zurücksetzen.
    Dann verbinden Sie den Computer erneut mit der Domäne, ohne die Verbindung zu lösen.
    Neustart erforderlich.
  2. Geben Sie in einer erweiterten Eingabeaufforderung ein: dsmod computer "ComputerDN" -reset Verbinden Sie sich dann erneut, ohne die Verbindung des Computers zur Domäne zu lösen.
    Neustart erforderlich.
  3. Geben Sie in einer erweiterten Eingabeaufforderung ein: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password Das Konto, dessen Anmeldeinformationen Sie angegeben haben, muss ein Mitglied der Gruppe “Lokale Administratoren” sein.
    Keine erneute Verbindung. Kein Neustart.
  4. Geben Sie in einer Eingabeaufforderung “Erhöhen” ein: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Kein Rejoin. Kein Neustart.
5
5
5
2013-02-21 16:01:45 +0000

Hören Sie auf, mit diesem Problem von der Client-Seite aus zu kämpfen. Wenn Sie sich nicht an der Domäne anmelden können, müssen Sie sich entweder mit einem aktivierten lokalen Konto anmelden oder eine Boot-CD verwenden, um eines zu aktivieren.

Versuchen Sie, den Rechner aus dem Active Directory Benutzer und Computer zu entfernen. Er sollte sich in den Verwaltungstools auf Ihrem Server befinden. Öffnen Sie die OU (Organisationseinheit), die den Computer enthält. Suchen Sie den Computer, klicken Sie ihn mit der rechten Maustaste an und wählen Sie “Löschen”.

Es kann nicht schaden, geduldig zu sein und die Replikation ihre Arbeit tun zu lassen, je nachdem, wie viele DCs Sie haben. Wenn Ihre Domäne ziemlich einfach ist (keine Standorte und nur zwei DCs), können Sie repadmin /replicate verwenden, um die Replikation zu erzwingen. Lesen Sie dies bevor Sie dies tun.

Fügen Sie nun den PC erneut mit AD UC hinzu und warten Sie entweder auf die Replikation oder erzwingen Sie sie.

Wenn er immer noch meckert, versuchen Sie es mit netdom /remove man page here ) und sehen Sie, ob Sie ihn damit aus Ihrer Domäne bekommen. Wenn Sie damit Probleme haben, werfen Sie einen Blick auf diese Frage . Es ist ein anderes Szenario, aber im Wesentlichen das gleiche Konzept: Sie versuchen, einen Computer aus einer Domäne zu entfernen, wenn er den DC nicht kontaktieren kann.

4
4
4
2017-05-06 22:00:03 +0000

Ab Server 2008 R2 ist die Aufgabe sehr einfach. Wir können nun das Cmdlet Test-ComputerSecureChannel verwenden.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Fügen Sie den Parameter -Repair hinzu, um die eigentliche Reparatur durchzuführen; verwenden Sie Anmeldeinformationen für ein Konto, das berechtigt ist, Computer der Domäne beizutreten.

Referenz: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Wenn es keine lokalen Administratorkonten gibt, die Sie dafür verwenden können, können Sie eines erstellen (oder das deaktivierte eingebaute Administratorkonto aktivieren) mit dem bekannten Sticky Keys -Hack.

Um ein vergessenes Administratorkennwort zurückzusetzen, gehen Sie folgendermaßen vor: ^

  1. Booten Sie von Windows PE oder Windows RE und rufen Sie die Eingabeaufforderung auf.
  2. Suchen Sie den Laufwerksbuchstaben der Partition, auf der Windows installiert ist. In Vista und Windows XP ist es normalerweise C:, in Windows 7 ist es in den meisten Fällen D:, da die erste Partition die Startup-Reparatur enthält. Um den Laufwerksbuchstaben zu finden, geben Sie C: (bzw. D:) ein und suchen Sie den Windows-Ordner. Beachten Sie, dass sich Windows PE (RE) normalerweise auf X: befindet. Für die Zwecke dieser Demonstration nehmen wir an, dass Windows auf Laufwerk C: 3 installiert ist. Geben Sie den folgenden Befehl ein: copy C:\Windows\System32\sethc.exe C:Ab Server 2008 R2 ist die Aufgabe sehr einfach. Wir können nun das CmdletTest-ComputerSecureChannel` verwenden.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4&

Fügen Sie den Parameter -Repair hinzu, um die eigentliche Reparatur durchzuführen; verwenden Sie Anmeldeinformationen für ein Konto, das berechtigt ist, Computer der Domäne beizutreten.

Referenz: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Wenn es keine lokalen Administratorkonten gibt, die Sie dafür verwenden können, können Sie eines erstellen (oder das deaktivierte eingebaute Administratorkonto aktivieren) mit dem bekannten [ Sticky Keys ]0x3&-Hack.

Um ein vergessenes Administratorkennwort zurückzusetzen, gehen Sie folgendermaßen vor: ^

  1. Booten Sie von Windows PE oder Windows RE und rufen Sie die Eingabeaufforderung auf.
  2. Suchen Sie den Laufwerksbuchstaben der Partition, auf der Windows installiert ist. In Vista und Windows XP ist es normalerweise C:, in Windows 7 ist es in den meisten Fällen D:, da die erste Partition die Startup-Reparatur enthält. Um den Laufwerksbuchstaben zu finden, geben Sie C: (bzw. D:) ein und suchen Sie den Windows-Ordner. Beachten Sie, dass sich Windows PE (RE) normalerweise auf X: befindet. Für die Zwecke dieser Demonstration nehmen wir an, dass Windows auf Laufwerk C: 3 installiert ist. Geben Sie den folgenden Befehl ein: Dadurch wird eine Kopie von sethc.exe erstellt, die Sie später wiederherstellen können.
  3. Geben Sie diesen Befehl ein, um sethc.exe durch cmd.exe zu ersetzen: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Starten Sie Ihren Computer neu und führen Sie die Windows-Instanz aus, für die Sie kein Administratorkennwort haben.
  4. Nachdem Sie den Anmeldebildschirm gesehen haben, drücken Sie fünfmal die SHIFT-Taste.
  5. Sie sollten eine Eingabeaufforderung sehen, in der Sie den folgenden Befehl eingeben können, um das Windows-Kennwort zurückzusetzen:net user [username] [password]Wenn Sie Ihren Benutzernamen nicht kennen, geben Sie einfach net user ein, um die verfügbaren Benutzernamen aufzulisten.
  6. Sie können sich nun mit dem neuen Kennwort anmelden.

Wenn Sie das standardmäßig deaktivierte integrierte Administratorkonto aktivieren möchten, anstatt das Kennwort eines vorhandenen Kontos zurückzusetzen, lautet der Befehl:

  1. net user administrator /active:yes.

Wenn Sie ein neues Konto erstellen und es der lokalen Administratorengruppe hinzufügen möchten, lautet die [ Befehlssequenz ]0x3&:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add
4
4
4
2013-02-21 13:57:34 +0000

Möglicherweise müssen Sie sich mit Anmeldeinformationen anmelden, die für diesen Computer lokal sind. Bei der Erstinstallation des Betriebssystems wurde ein lokales Konto eingerichtet.

Melden Sie sich mit diesem Konto unter Verwendung des Computernamens als Domäne an (z. B. MYCOMP\JSmith). Normalerweise ist das lokale Computer-Administratorkonto vorhanden, aber standardmäßig deaktiviert.

Sobald Sie als lokaler Benutzer angemeldet sind, sollten Sie in der Lage sein, die Domäne zu verlassen und ihr wieder beizutreten.

2
2
2
2013-02-22 09:13:21 +0000

Es ist nur möglich, den PC hinzuzufügen, wenn Sie die Administratorenrechte am PC und das Recht zum Ändern des DC haben.

Daher ist es notwendig, das Administratorkennwort auf dem PC zurückzusetzen. Eine Möglichkeit, diese Aufgabe auszuführen, ist die Verwendung der Installations-DVD und die Verwendung der Reparaturkonsole. Dadurch können Sie die volle Kontrolle wiedererlangen.

1
1
1
2015-02-20 21:14:19 +0000

Die einzige Lösung, wenn Sie ein PC-/Server-Vertrauensproblem haben, (nach Reset, Neuanmeldung am DC, etc.) um es ohne Wiederherstellung zu lösen!

Deaktivieren Sie alle NICS, so dass es die Vertrauensbeziehung mit dem Anmelde-DC nicht verifizieren kann. Dann melden Sie sich mit einem zuvor angemeldeten Domänenkonto auf Administratorebene an (muss sich in den lokalen PC-Administratorgruppen befinden), das zuvor angemeldet war, d. h. um die zwischengespeicherten Anmeldeinformationen zu nutzen. Mein Problem war, dass ich eine W7-VM von prod in ein Testlabor verschoben habe und erwartet habe, dass ein Trust gebrochen wird, jedoch nicht, dass ich nicht in der Lage war, mich mit lokalen Admin-/Benutzerkonten oder sogar mit den zwischengespeicherten Anmeldeinformationen der “alten Domänen” anzumelden.

Deaktivieren Sie die NICs und die zwischengespeicherten Anmeldeinformationen funktionieren, dann können Sie sich mit netdom join wieder an der Domäne anmelden.

Wenn Ihnen die Versuche mit zwischengespeicherten Anmeldeinformationen ausgehen (hängt von den lokalen Betriebssystemrichtlinien / GPO ab - bis zu 50), führen Sie eine Systemwiederherstellung auf einen früheren Tag durch, dies funktioniert ebenfalls.

0
0
0
2015-01-18 13:19:55 +0000

Versuchen Sie zunächst, sich mit Administrator anzumelden (Computername\Administrator), heben Sie dann die Verbindung der Domäne mit der Arbeitsgruppe auf und starten Sie den PC neu, so dass er in der Arbeitsgruppe als lokales Konto erscheint. Versuchen Sie nun, der Domäne erneut beizutreten (Rechtsklick auf Arbeitsplatz->Eigenschaften->Ändern->Doamin->Ex Fu-com.com -> Dann wird als Administrator-Passwort für den Server der Benutzername Administrator und dann das Passwort eingegeben. dann starten Sie Ihren Computer neu. Jetzt ist Ihr Computer in der Domäne und Sie können sich mit Ihrer Benutzer-ID und Ihrem Passwort anmelden.

0
0
0
2015-07-24 20:22:26 +0000
  1. Ziehen Sie das Netzwerkkabel ab und melden Sie sich an der betroffenen Arbeitsstation an (zwischengespeicherte Anmeldeinformationen ermöglichen dies.) Schließen Sie danach das Netzwerkkabel wieder an.

  2. Laden Sie das Paket Remote Server Administration Tools (RSAT) von Microsoft hier herunter: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (wählen Sie die richtige 32-Bit- oder 64-Bit-Version entsprechend dem Betriebssystem der Arbeitsstation, nicht des Servers).

  3. Installieren Sie das heruntergeladene Paket. Wir hatten damit Probleme, bis wir den Clean-Boot-Modus verwendet haben. Daher müssen Sie möglicherweise die Workstation neu starten, nachdem Sie sie für Clean-Boot konfiguriert haben, was nach diesem Vorgang rückgängig gemacht werden kann.

  4. Durch die Installation von RSAT wird es nicht automatisch für die Verwendung verfügbar. Gehen Sie zur Systemsteuerung -> Programme -> Windows-Funktionen hinzufügen/entfernen und suchen Sie nach Remote Server Administrator Tools. Erweitern Sie diese und suchen Sie nach AD/AS / Befehlszeile und aktivieren Sie diese.

  5. Öffnen Sie ein Befehlsfenster als Administrator und geben Sie diesen Befehl ein:

NETDOM.EXE resetpwd /s:(server) /ud:(username) /pd:*

Dabei ist (server) der Netbios-Name des Domänenservers und (username) das Anmeldekonto der betroffenen Arbeitsstation im Format DOMAIN\Username

Das war’s. Nachdem ich dies getan hatte, war auf der Arbeitsstation alles wieder normal.

-3
-3
-3
2014-11-28 23:19:18 +0000

Mir ist das auch schon passiert, und bei mir hat es funktioniert, wenn ich mich mit dem Administratorkonto anmelde und der Arbeitsgruppe neu hinzufüge, und danach der Domäne neu hinzufüge.

-3
-3
-3
2015-05-23 12:31:20 +0000

Wenn Sie eine Antiviren-Software installiert haben, gehen Sie wie folgt vor…

Start ==> Ausführen ==> ncpa.cpl ==> Drücken Sie die Taste Alt + N ==> Erweiterte Einstellungen ==> Registerkarte Provider-Reihenfolge ==> Drücken Sie die Taste nach oben, um Microsoft Windows Network an den Anfang zu bringen.

Tun Sie dies auf dem Client und Domänencontroller (DC).