Токарчук Андрей
Довольно часто после всяческих экспериментов с сетевыми подключениями, переустановкой винды и прочего может возникнуть такая ситуация, что рабочая станция перестанет входить в домен. Это бывает по нескольким причинам. В этом посте я расскажу о двух из них
Ошибка при запросе DNS записи ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory
Полный текст ошибки может быть такой:
Ошибка при запросе DNS записи ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «domain.loc»:
Произошла ошибка: «DNS-имя не существует.»
(код ошибки: 0x0000232B RCODE_NAME_ERROR)Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.exigeant.loc
Возможны следующие причины ошибки:
— SRV-записи DNS, необходимые для нахождения контроллера домена Active Directory в этом домене, не зарегистрированы в службе DNS. Эти записи регистрируются на DNS-сервере автоматически при добавлении контроллера домена Active Directory в домен. Они обновляются контроллером домена Active Directory через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:8.8.8.8
192.168.0.1
— Одна или несколько зон из указанных ниже не содержит делегирование к своей дочерней зоне:
domain.loc
loc
. (корневая зона)
Решение
- Контроллер домена должен быть первым DNS сервером в списке. Если у вас в сетевои соединении прописано два DNS серера, например внутренний и внешний, то важно помнить, чтобы их порядок был правильным. Вы можете настроить порядок через кнопку «Дополнительно», закладку «DNS» в настройках сетевого подключения.
- Также важным моментом является адрес DNS сервера, вы должны прописывать внутренний (а не вшешний) адрес вашего DNS-сервера (он же контроллер домена).
При присоединении к домену произошла следующая ошибка: Сетевая папка недоступна
Решение
Проверьте, включена ли галочка «Клиент для сетей Microsoft» в настройках сетевого соединения.
На этом домене превышено максимальное допустимое число учетных записей
Возникает это из за того, что для пользователя имеется определенное ограничение на количество компьютеров добавляемых им в домен. По это значение равно 10.
За редактирование этого параметра отвечает оснаска ADSI Edit, которая поставляется в пакете support tools
Устанавливаем supportools находящийся в дистрибутиве.
SUPPORTTOOLSSUPTOOLS.MSI
После чего заходим в C:Program FilesSupport Toolsadsiedit.msc
— щелкаем правой внопкой мыши на DC=ваш_домен, DC=corp — «свойства»
— находим параметр «ms-DS-MachineAccountQuota»
Дальше его можно изменить — или поставить в ноль или добавить количество разрешений.
Как Вы поняли если ни чего не менять, то в дальнейшем может возникнуть ошибка » на этом домене превышено максимальное допустимое число учетных записей «, это происходит из за того, что По умолчанию Windows 2000/2003 предоставляется право подключать рабочие станции к домену группе «Прошедшие проверку»
Для решения данной проблемы Microsoft рекомендует несколько способов, один из них наиболее подходящий это второй вариант:
— Открываем пункт «Администрирование» — «AD пользователи и компьютеры»
— В меню Вид выбираем Дополнительные функции для того, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.
— «Компьютеры» — «Свойства»
— «Безопасность» — «Дополнительно»
— Вкладка «Разрешения» — «Прошедшие проверку» — «Изменить»
— Обращаем внимание на поле «Применять», которое должно иметь значение «Этот объект и все дочерние объекты»
— В «Разрешения» необходимо установить флажок разрешить для Создание объектов компьютера и Удаление объектов компьютера
— ОК
Количество просмотров: 13697
Комментарии к статье:
Автор комментария: тетя
Дата: 2016-12-07
а у меня на тел что делать
Автор комментария: ваыаы
Дата: 2016-03-11
Автор комментария: Роман
Дата: 2015-03-28
а у меня тоже самое только на телефоне что делеть .
Автор комментария: Дмитрий
Дата: 2014-06-09
Автор комментария: fg
Дата: 2012-12-19
Компьютер не может быть присоединен к домену на этом домене превышено максимальное
Как изменить количество компьютеров, которое пользователь может добавить в домен в Windows Server 2008 R2-01
По умолчанию в домене Active Directory (в том числе, основанном на Windows Server 2008) любой пользователь домена может включить в состав этого же самого домена 10 компьютеров. При превышении этого лимита при попытке ввести в домен очередную машину, будут появляться следующие ошибки:
“The machine account for this computereither does not exist or is unavailable.”
“Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.”
“The following error occurred attempting to join the domain “winitpro.com”.
Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.”
На самом деле это, конечно, не проблема, ведь можно просто предварительно создать в Active Directory записи для всех компьютеров, которые планируется присоединить к домену, однако если таких ПК больше сотни, создавать учетку для каждого – неблагодарное занятие. И единственным приемлемым решением этой проблемы является изменение лимита числа ПК, которые может присоединить к домену рядовой пользователь.
Атрибут ms-DS-MachineAccountQuota содержит значение этого самого ограничения на количество объектов типа «Computers», которое может создать в домене простой пользователь. Этот атрибут Active Directory можно отредактировать при помощи оснастки Active Directory Service Interfaces Editors (ADSI Edit).
Процедура изменения атрибута Active Directory несложная, главное, чтобы у вас были на это права и была установлена оснастка ADSI Edit.
1. Нажмите Пуск>> adsiedit.msc
2. Если вы первый раз пытаетесь подключиться к узлу домена при помощи «ADSI Edit», тогда щелкните правой кнопкой мыши по ADSI Edit и выберите пункт «Connect to». В противном случае перейдите к шагу 4.
3. В окне Connection Settings в поле Computer Name введите имя вашего контроллера домена и нажмите кнопку ОК.
Как изменить количество компьютеров, которое пользователь может добавить в домен в Windows Server 2008 R2-02
4. В результате создастся узел с именем вашего домена. Нажмите правой кнопкой мыши на DC и выберите Properties.
5. Найдите атрибут «ms-DSMachineAccountQuota».
6. Нажмите на него, а затем нажмите кнопку Edit.
Как изменить количество компьютеров, которое пользователь может добавить в домен в Windows Server 2008 R2-03
7. Как вы видите, значение по умолчанию 10. Введите желаемое значение и нажмите кнопку ОК дважды. раза, и все готово.
В результате, вы измените максимальное количество компьютеров, которое рядовой пользователь может включить в состав домена Active Directory в Windows Server 2008R2.
Как запретить пользователям добавлять компьютеры в домен
Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
- Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
- Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так :
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo
Невозможно присоединиться к домену с Windows 7 Professional
Я только что получил новый ноутбук с призрачным образом Windows 7 Professional. Когда я присоединяюсь к машине в домене, я вижу серое текстовое поле «Домен» (система на испанском языке):
Моя локальная учетная запись имеет права администратора. Чтобы убедиться, что виновата не моя учетная запись, я включил учетную запись администратора и попытался присоединиться, войдя в систему с этой учетной записью, но безуспешно. Кто-нибудь знает, почему эта коробка неактивна? Кнопка «Сетевой идентификатор» также отображается серым цветом в диалоговом окне свойств системы.