Три способа добавить компьютер с Windows к домену

Компьютер не вводится в домен

Есть компьютер с winxp_sp1. Пытаюсь завести его в домен — ввожу имя домена, пользователя и пароль. После непродолжительной паузы появляется надпись — в доступе отказано. Посмотрел на сервере в логах — пишется, что данный пользователь успешно подключился и тут же отключился. Кто-нибудь знает почему такое происходит?

Прошу прощения что написал не в ту секцию — выбирал IT-admin, но с первого раза сообщение не отправилось.

(0) XP Home в домен ввести можно, но нужно заставить её «думать», что она Pro.
Запускаем regedit (кто не знает что это — то лезем в пуск->выполнить набираем regedit и жмем «ок»)
2. Лезем в раздел реестра: HKEY_LOCAL_MASHINESYSTEM
3. Видим там несколько разделов ControlSet с номерами (например ControlSet001 и ControlSet003) — нам нужен тот, у которого самый большой из всех номер!
4. Далее лезем в Control ProductOptions
5. Там в версии Home есть параметр ProductSuite типа «мультистроковый параметр» со значением Personal — его нужно удалить и взамен него создать там же параметр с именем Brand типа «DWORD» со значением равным нулю!
6. Закрываем Regedit и перегружаем машину — при загрузке жмем F8 и входим в меню выбора варантов загрузки и выбираем тот что «загрузка в последней удачной конфигурации»
7. Чтобы переделать XP Pro в Home — нужно ключи поменять в обратной последовательности!

(8) а разве аккаунт ПК не создается сам при подключении к домену? Щас попробую. нет, все равно не пускает.
(9) Новый пользователь.

Сегодня переводил сетку на AD, полдня пробегал по кабинетам, заводил компы в домен — никаких пробем не возникало. Вот остался один самый уперый 🙁
Всё — оставляю проблему на завтра, пора домой.

(11)Можно и заранее, заодно указать кто имеет право ввести его в домен.
Теперь непонятно, создаешь аккаунт при вводе или заранее.

(13) аккаунт усера ненужен, а машины пусть при вводе, есть еще Support Tools там
netdom join compname /Domain:domainName(DomainController) /UserD:domainNameадминистратор /PasswordD:парольдоменногоадмина /UserO:администратор(локальный) /PasswordO:парольлокальногоадмина /ReBoot

(18)Поэтому и спрашивал, если учетная запись уже была для другого ПК с таким именем, то надо ресетнуть её на.

(18) Вобщем, перепробовал я все способы, описанные в kb216393 — ни один не помогает. Netdom join завершился с ошибкой «the command failed to complete succefully».
Переустановка учетной записи, как я понял требуется если в домене раньше был компьютер с именем совпадающим с именем вводимого компьютера. Команда Netdom reset говорит что «этот компьютер в данный момент не присоединен в домен». Какие-нибудь еще способы есть?

(20) Я тупо выдергивал его из сетки, менял имя (и делал членом вымышленной группы) перезагружал, втыкал в сеть и вводил в домен как вновь-прибывшего свежачка. Хотя сначала копался в DNS базе, её репликах, снижал время аренды на пол-часа. надоело. Если имя компа клиента не критично, то попробовать имхо можно.

И с другим именем не вводится.
А вообще у компа две сетевые карты, вторая карта используется для подключения к сети другой организации, через нее работают программы баз данных Oracle

Способ 2 — командная строка

Запускаем командную строку от имени администратора и вводим следующую команду:

> netdom join %computername% /domain:dmosk.local /userd:dmoskadmin /passwordd:pass

* данная команда выполняется в командной строке (cmd). Она добавить компьютер к домену dmosk.local под учетными данными admin с паролем pass.

После отработки команды необходимо перезагрузить компьютер.

Восстановление доверительных отношений в домене

Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:

  • После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
  • Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
  • Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Основные признаки возможных неполадок учетной записи компьютера:

  • Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
  • Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
  • Учетная запись компьютера в Active Directory отсутствует.

Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.

Поэтому необходимо сделать так :

Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.

Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.

C помощью учетной записи, относящейся к локальной группе «Администраторы»:

netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

trust-relationship-failed-005.jpg

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Описание проблемы с вводом в домен

По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft

переустановка учетной записи компьютера

После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:

«Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»

DNS-имя основного контроллера домена на

После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение

база данных диспетчера учетных записей на сервере не содержит записи

Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.

Добавление компьютера в домен.

Начало процедуры подключения к домену семейства операционных систем Windows начинается с настройки сетевого соединения и проверки связи между сервером и ПК.

1. Нажимаем комбинацию клавиш Win+R и в открывшемся окне набираем ncpa.cpl.

add comp in domain1

2. В открывшемся окне выбираем нужный сетевой контроллер (на обычном комьютере он как правило один) и нажимаем правой клавишей мышки на этом интерфейсе. Далее в появившемся меню выбираем «Свойства«.

add comp in domain2

3. Затем в новом окне выделяем «Протокол Интернета версии 4 (TCP/IPv4 IP)«. Далее «Свойства«.

add comp in domain3

4. В открывшемся окне появится возможность настройки сетевого интерфейса. Если в домене имеется DHCP сервер и клиентам не надо настраивать статические адреса, то проверяем, что чекбоксы стоят напротив «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически«. Нажимаем «ОК» и можно закрывать все открытые окна.

add comp in domain4

5. Если в домене не используется DHCP сервер или для клиентов настраивают статические адреса, то надо прописать необходимые сетевые настройки (например как на рисунке).

add comp in domain5

После того, как прописали IP-адрес, Маска подсети, Основной шлюз (если есть), Предпочитаемый DNS-сервер, Альтернативный DNS-сервер (если есть), нажимаем «ОК» и закрываем все окна.

6. После того, как настроили сеть, появится окно «Настройка сетевого размещения«. Выбираем «Сеть предприятия«.

add comp in domain6

7. Появится подтверждение сети о том, что «Расположение сети изменилось на «Предприятия».

add comp in domain7

8. Снова нажимаем комбинацию клавиш Win+R и набираем cmd для того, чтобы открылась командная строка.

add comp in domain8

9. В командной строке проверяем связь с сервером. Для этого набираем ping и IP-адрес сервера (например ping 192.168.56.10). Получаем ответ от сервера.

add comp in domain9

10. На клиентском компьютере правой клавишей мыши нажимаем на «Компьютер«, далее «Свойства«.

add comp in domain10

11. В открывшемся окне выбираем «Изменить параметры«.

add comp in domain11

12. Затем нажимаем «Изменить«.

add comp in domain12

13. Выбираем «Является членом домена:» и вписываем имя домена (например syst.local), нажимаем «ОК«.

add comp in domain13

14. Для изменения имени компьютера или домена необходимо ввести логин и пароль (доменный пользователь должен иметь права для добавления компьютера в домен), далее «ОК«.

add comp in domain14

15. После успешного добавления компьютера в домен, появится соответствующее уведомление — «Добро пожаловать в домен syst.local» (вместо syst.local будет имя домена).

add comp in domain15

16. Если открыть контроллер домена, то в остнастке «Пользователи и компьютеры Active Directory» в контейнере Computers появится ПК, который был введен в домен.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector