Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор
и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене. - Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory
помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности. - Секрет LSA
компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Как лечить
?
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так
:
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom
, либо Nltest
.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo {Пароль | *}
На компьютере, где утрачены доверительные отношения:
nltest /server:Имя_сервера /sc_reset:ДОМЕНКонтроллер_домена
Переустановка учетной записи компьютера в windows 2008 r2 -Что выполняется ?
>
-
Вопрос
-
Что выполняется при выполнении — Переустановка учетной записи компьютера в AD на windows 2008 r2
Читал тут . Какие именно действия происходят на котролере , обновление данных ? компа? в каких случаях необходимо применять данную операцию ???
windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro , Контроллер домена-Один —-> Заранее благодарен !
- Изменено
23 октября 2011 г. 9:18
22 октября 2011 г. 8:49Ответить|Цитировать - Изменено
Ответы
-
Происходит пароля учетной записи компьютера. Сброс происходит только для записи в AD — реальный компьютер не затрагивается, но после этой операции он уже не в домене, т.к. его учетку фактически аннулировали. Чтобы он оказался в домене, придется снова выполнить процедуру включения в домен.
Использование следует из этого. Например, компьютер вышел из строя или утерян, сбрасываете его учетку и добавляете в домен новый компьютер с тем же именем — он привязывается к уже существующей учетке и автоматически оказывается во всех группах, в которые эта учетка была ранее включена.
Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
- Предложено в качестве ответа
24 октября 2011 г. 7:03 - Помечено в качестве ответа
24 октября 2011 г. 7:09
24 октября 2011 г. 7:01Ответить|Цитировать - Предложено в качестве ответа
-
Например, здесь.
- Помечено в качестве ответа
24 октября 2011 г. 7:08
24 октября 2011 г. 7:07Ответить|Цитировать - Помечено в качестве ответа
Все ответы
-
Происходит пароля учетной записи компьютера. Сброс происходит только для записи в AD — реальный компьютер не затрагивается, но после этой операции он уже не в домене, т.к. его учетку фактически аннулировали. Чтобы он оказался в домене, придется снова выполнить процедуру включения в домен.
Использование следует из этого. Например, компьютер вышел из строя или утерян, сбрасываете его учетку и добавляете в домен новый компьютер с тем же именем — он привязывается к уже существующей учетке и автоматически оказывается во всех группах, в которые эта учетка была ранее включена.
Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
- Предложено в качестве ответа
24 октября 2011 г. 7:03 - Помечено в качестве ответа
24 октября 2011 г. 7:09
24 октября 2011 г. 7:01Ответить|Цитировать - Предложено в качестве ответа
-
1 СПАСИБО
2 А где это все описано ?
windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro , Контроллер домена-Один —-> Заранее благодарен !
24 октября 2011 г. 7:03Ответить|Цитировать -
Например, здесь.
- Помечено в качестве ответа
24 октября 2011 г. 7:08
24 октября 2011 г. 7:07Ответить|Цитировать - Помечено в качестве ответа
Загрузка...
