Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
- Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
- Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так :
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo
Способ 2 — командная строка
Запускаем командную строку от имени администратора и вводим следующую команду:
> netdom join %computername% /domain:dmosk.local /userd:dmoskadmin /passwordd:pass
* данная команда выполняется в командной строке (cmd). Она добавить компьютер к домену dmosk.local под учетными данными admin с паролем pass.
После отработки команды необходимо перезагрузить компьютер.
Переименовать компьютер в домене удаленно из командной строки
Прежде чем приступить к переименованию компьютера в домене , необходимо понимать, что сертификаты выданные на компьютер, перестанут работать. Т.е. всевозможные площадки, банк-клиенты могут перестать работать.
Итак, как переименовать компьютер в домене из командной строки?
Заходим в командную строку на контроллере домена и выполняем команду:
netdom renamecomputer ИмяКомпьютера /newname:НовоеИмяКомпьютера /userd:ИмяДоменаИмяАдминистратора /passwordd:*
Например:
netdom renamecomputer pc-123 /newname:pc-001 /userd:hdsystems.localAdmin01 /passwordd:*
После выполнения команды вводим пароль от пользователя Admin01
Следует отметить, что после переименования компьютер пользователя необходимо будет перезагрузить во избежание всевозможных глюков. Дать команду на удаленную перезагрузку можно ключом /reboot:ВремяВСекундахДоПерезагрузки
Как восстановить доверительные отношения через командную строку (cmd)
Восстановить доверительные отношения можно при помощи утилиты netdom. Она идёт штатно вместе с Windows Server от 2008. На рабочие машины её можно установить с RSAT (Скачать средств администрирования windows можно с официального сайта Microsoft). Для использования утилиты Netdom необходимо командную строку запустить от имени Администратора . И выполнить команду:
Где dc-03 – контроллер домена; admin – учётная запись администратора домена; pass – пароль от этой учётной записи.
Теперь ошибка Не удалось установить доверительные отношения устарнена до следующего отката системы с точки восстановления .
Удаленное переименование компьютера в доменной сети
Для переименования компьютера или рядового сервера в доменной сети, необходимо использовать системную утилиту netdom, которая идет в редакциях Windows Server. Данная утилита идет в комплекте с Active Directory Domain Services Tools, которую устанавливают на простых ПК для удаленного администрирования серверов под управлением Windows Server. Переименование производиться под доменной ученой записью.
Иногда достаточно ввести:
По пунктам подробней:
• renamecomputer — ключ для переименования;
компьютер — компьютер до переименования;
• /newname: — желаемое имя компьютера после переименования(кавычки не нужны!);
• /userd:имя_домена – тут необходимо поставить имя доменного администратора;
• /passwordd: — оставить в точности как написано, на самом деле данный ключ определяет символ подстановки при вводе пароля;
• /usero: — тут необходимо ввести имя пользователя локального администратора (или повторить ввод доменного, если он имеет права администратора на локальной машине);
• /passwordo: — пароль локального администратора.
Сценарий Microsoft Visual Basic
Переустановку учетной записи компьютера можно выполнить с помощью сценария Visual Basic. Для этого следует подключиться к учетной записи компьютера с помощью интерфейса IADsUser. Затем необходимо использовать метод SetPassword для присвоения паролю начального значения. Начальным паролем компьютера всегда является «имя_компьютера$».
Приведенные примеры сценариев могут работать не на всех компьютерах и должны быть проверены перед использованием. Первый пример рассчитан на учетную запись компьютера под управлением Windows NT, а второй – на учетную запись компьютера под управлением Windows 2000 или Windows XP.