Невозможно присоединить этот компьютер к домену из-за следующей ошибки: доступ запрещен

Обновлено: 21.11.2024

Эти советы по устранению неполадок стоит прочитать, если вы видите ошибку отказа в доступе при попытке присоединиться к домену на своем ПК. Это может быть связано с тем, что существующая учетная запись от производителя компьютера xxxx была ранее создана с лучшими альтернативными учетными данными. Пожалуйста, используйте другое подходящее имя компьютера или обратитесь к своему превосходному администратору, чтобы удалить устаревшие конфликтующие учетные записи. Ошибка доступа: отказано.

Как получить разрешение на присоединение к домену?

Пользователи Open и Active Directory. Щелкните правой кнопкой мыши нужный домен в сочетании с опцией делегирования управления. N На нашем первом экране нажмите «Далее». Нажмите «Добавить». Найдите используемую или нужную группу AD. Next.JoinВыберите компьютер с помощью Domain Assistant.

Чтобы решить проблемы с доверием, я попросил снова выйти из домена и снова войти в него. Однако я таков, что его нельзя повторно подключить. Отображается ошибка о том, что процесс «вложения» завершился неудачно. Это может быть связано с тем, что существующий компьютерный сценарий с именем Early (имя) был создан с другим набором учетных данных. Используйте другое официальное имя или обратитесь к администратору, чтобы отключить конфликтующие устаревшие учетные записи. было: Доступ запрещен».

Возможно, вы не сможете удалить/отредактировать первое объявление. Думаю решение это кат Другие переименовать весь ПК, но у меня не хватило сил.

Рабочая группа и переименовали/присоединились перезапустили и переименовали перезапустили, затем попытались присоединиться к домену торговой площадки. Ошибка

Домен переименован/присоединен. Ошибка

Какие разрешения необходимы для присоединения компьютера к домену?

Присоединитесь к домену с другим именем ПК, попробуйте переименовать имя ПК. Fix windows. Ошибка

Отказано в доступе Присоединиться к домену

У меня есть служба Windows 2003, которая работает уже около 5 месяцев. У меня есть 50 компьютеров,
использующих правильный домен в то время для этого. Я заметил, что
пользователь подошел ко мне, когда время было раннее утро, и он не мог представить, что его карта катится. Посидел немного перед машиной и следующее:
1 узнал. Считыватели карт получают сообщение «Отказано в доступе» при попытке
доступа к считывателям карт
2. Если вы попытаетесь использовать дополнительные диски, вам, вероятно, будет предложено ввести
имя пользователя/пароль. Даже после надлежащей проверки вам будет предложено
постоянно

Как вы даете разрешение объекту-компьютеру в домене?

Найдите CNO, щелкните его правой кнопкой мыши и выберите "Свойства". На каждой из наших вкладок безопасности выберите Добавить. В этом диалоговом окне «Выбор пользователей, компьютеров или групп» укажите учетную запись пользователя и группу, которым вы хотите предоставить разрешения, а затем нажмите «ОК».

Я отключил компьютер домена, удалил бумажник компьютера и
попробовал повторно присоединиться к домену. Когда я пытаюсь присоединиться к домену с i,
обычно он запрашивает имя пользователя/пароль from. Однако после
предоставления учетных данных я получаю сообщение об ошибке «Изменение имени компьютера» на /p>

К сожалению, средство просмотра событий ничего не показывает. Машины, правда, указывающие на 2k3-DC
DNS для. Я запускал Netdiag как DCDiag и DC, оба не показывают ошибок. Средство просмотра событий непосредственно на сервере не регистрирует никаких ошибок.

Любая помощь приветствуется. Мне не хватает советов. Попробуйте.

Отстает ли время ПК? от времени контроллера до домена 5 минут?

Как исправить следующую ошибку при попытке присоединиться к домену?

Предоставлено JD
Я работаю в сети Windows 2003 уже несколько месяцев. Я показываю 50
компьютеров, которые давно используют интернет-домен. Пользователь
пришел к нам сегодня утром и пожаловался, что его карта не видна
1. Диски подключены, но при попытке доступа к дискам на
2. Если вы попытаетесь смонтировать дополнительные диски, вам может быть предложено ввести
имя пользователя/пароль. Даже после правильной проверки я все равно получаю
сообщение
Я удалил компьютер из большей части домена, удалил учетную запись из компьютерной системы и
пытался присоединиться к сайту. Когда я пытаюсь присоединиться к функциям I-Domain, мне выдается
запрос, потому что я ввожу свое имя пользователя/пароль как обычно. Однако, когда я предоставляю необходимые учетные данные, я получаю сообщение об ошибке «Изменение имени компьютера». der br>Ничего не отображается в средстве просмотра событий. Компьютер указывает этот адрес на конкретный 2k3-DC для
DNS. Я запускал Netdiag и dcdiag dc, часто никаких ошибок не выводится. Событие
обычно просмотрщик на сервере не показывает ошибок.
Любая помощь приветствуется. У меня больше нет вариантов экзамена.
Спасибо,
Джош

JD .
Я подозреваю, что проблема с конфигурацией заключается в подписи SMB.
Проверьте следующие значения реестра для рабочей станции и контроллера домена.>HKLMsystemccsserviceslanmanworkstationparameters

Для
hklmsystemccsserviceslanmanserverparameters
инициируйте связь с корпоративным сервером на сервере. Если для службы рабочей станции требуется SMB,
службе подписывания сервера может потребоваться включить подписывание SMB.
Если для сетевого системного сервера требуется подписывание SMB, то рабочее пространство службы сервера
должно быть включено. Это

Существуют планы страхования, определяемые коллективным полисом. Поэтому, если вы редактируете реестр
вручную, этот способ, скорее всего, сбросит настройки при применении политики

Поскольку вы упомянули, что рабочая станция к этому привыкла, вполне вероятно, что служба рабочей станции
требует подписи SMB сегодня, а в
DC ИТ-отдел отключил SMB-набор IL, а рабочая станция Workstation Center теперь является SMB. отключен, посещающий и требуется для контроллера домена.

Заставьте свой компьютер работать как новый за считанные минуты!

Если вы ищете способ ускорить работу вашего ПК, не ищите дальше. Restoro — это комплексное решение, которое исправит распространенные ошибки Windows, защитит вас от потери файлов и вредоносного ПО, оптимизирует ваш компьютер для достижения максимальной производительности и многое другое. Он даже поставляется с бесплатным сканированием, чтобы вы могли увидеть, какие проблемы он может решить, прежде чем покупать! Нажмите, чтобы скачать прямо сейчас, чтобы начать:

В этой статье описывается несколько распространенных сообщений об ошибках, которые могут появиться при присоединении клиентских компьютеров под управлением Windows к домену. В этой статье также приводятся рекомендации по устранению этих ошибок.

Применимо к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 4341920

Где найти файл Netsetup.log

Клиенты Windows регистрируют сведения об операциях присоединения к домену в файле %windir%\debug\Netsetup.log.

Сообщения об сетевых ошибках и решения

Ошибка 1

Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя системы доменных имен (DNS), а не имя сетевой базовой системы ввода-вывода (NetBIOS). Например, если DNS-имя целевого домена — contoso.com , убедитесь, что вы вводите contoso.com вместо имени домена NetBIOS «contoso».

Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

Ошибка 2

Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

Ошибка 3

Попытка выполнения операции с несуществующим сетевым подключением.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.

Ошибка 4

Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку.

Разрешение

Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Ошибка 5

Разрешение

Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Кроме того, вы можете обновить драйвер сетевого адаптера.

Ошибка 6

В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже есть столько подключений, сколько компьютер может принять.

Разрешение

Прежде чем присоединять компьютер к домену, убедитесь, что вы удалили все сопоставленные подключения к любым дискам.

Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Ошибка может быть временной. Попробуйте позже. Если проблема не устранена, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, сетевое подключение и т. д.). Вы можете перезапустить контроллер домена, если проблема не устранена.

Ошибка 7

Недопустимый формат указанного имени сети.

Разрешение

Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Убедитесь, что у вас установлены самые последние версии драйверов для сетевого адаптера клиентского компьютера. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

Ошибка 8

Служба каталогов исчерпала пул относительных идентификаторов.

Разрешение

Убедитесь, что контроллер домена, на котором размещен мастер операций с относительным идентификатором (RID), находится в сети и работает. Дополнительные сведения см. в разделе Событие с кодом 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.

Вы можете использовать команду netdom query fsmo, чтобы определить, какой контроллер домена имеет роль хозяина RID.

Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Вы можете использовать следующую команду для обнаружения ошибок:

Ошибка 9

Вызов удаленной процедуры завершился неудачно и не был выполнен.

Разрешение

Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние версии драйверов. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

Эта проблема также может быть вызвана одним из следующих условий:

  • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
  • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между подключаемым клиентом и контроллером домена.

Ошибка 10

Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется ".". Указанный сервер не может выполнить операцию.

Разрешение

Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы исправить эту ошибку, см. 2018583. При присоединении к домену Windows 7 или Windows Server 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного домена этого компьютера на «».

Сообщения об ошибках аутентификации и решения

Ошибка 1

Вы превысили максимальное количество учетных записей компьютеров, которые вам разрешено создавать в этом домене.

Разрешение

Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что вы не превысили квоту, установленную вашим администратором домена.

Чтобы присоединить компьютер к домену, учетной записи пользователя должны быть предоставлены разрешения на создание объектов компьютеров в Active Directory.

По умолчанию пользователь без прав администратора может присоединять к домену Active Directory не более 10 компьютеров.

Ошибка 2

Разрешение

Убедитесь, что контроллеры домена (DC) зарегистрированы с использованием правильных IP-адресов на DNS-сервере, а их имена участников-служб (SPN) правильно зарегистрированы в их учетных записях Active Directory.

Ошибка 3

Разрешение

Убедитесь, что у вас есть права на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя должно быть предоставлено разрешение на создание объекта компьютера в Active Directory.

Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер.Для этого настройте параметр Разрешить локальный вход в групповую политику в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.

Ошибка 4

Разрешение

Убедитесь, что вы используете правильную комбинацию имени пользователя и пароля существующей учетной записи пользователя Active Directory, когда вам будет предложено ввести учетные данные для добавления компьютера в домен.

Ошибка 5

Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.

Разрешение

Эта ошибка, скорее всего, является временной ошибкой, которая регистрируется, когда присоединение к домену выполняет поиск в целевом домене, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или операция присоединения должна динамически создавать учетную запись компьютера в целевом домене.

Ошибка 6

Недостаточно памяти для выполнения этой операции.

Разрешение

Эта ошибка может возникнуть, если размер токена Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер токена Kerberos компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
935744 Сообщение об ошибке «Недостаточно памяти для выполнения этой операции» при использовании контроллера домена для присоединения компьютера к домену
327825 Проблемы с Kerberos аутентификация, когда пользователь принадлежит ко многим группам

Ошибка 7

Учетная запись не авторизована для входа с этой станции.

Разрешение

Эта проблема связана с несоответствием параметров подписи SMB между клиентским компьютером и контроллером домена, с которым связываются для операции присоединения к домену. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
281648 Сообщение об ошибке: учетная запись не авторизована для входа с этой станции 823659 Проблемы с клиентом, службой и программой могут возникнуть, если вы измените настройки безопасности и назначение прав пользователя

Ошибка 8

Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.

Разрешение

Убедитесь, что на контроллере домена, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.

В этой статье представлено решение для сообщения об ошибке, когда пользователи без прав администратора, которым было делегировано управление, пытаются присоединить компьютеры к контроллеру домена.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 932455

Симптомы

После того как определенному пользователю или определенной группе предоставлено разрешение на добавление или удаление объектов-компьютеров в домен в организационном подразделении (OU) с помощью мастера делегирования, пользователи не могут добавлять некоторые компьютеры в домен. . Когда пользователь пытается присоединить компьютер к домену, пользователи могут получить следующее сообщение об ошибке:

Администраторы могут без проблем присоединять компьютеры к домену.

Пользователи, являющиеся членами группы «Операторы учетных записей» или которым делегировано управление, не могут создавать новые учетные записи пользователей или сбрасывать пароли при локальном входе в систему или при входе через службы терминалов на контроллер домена.

Когда пользователи пытаются сбросить пароль, они могут получить следующее сообщение об ошибке:

Windows не может завершить смену пароля для имени пользователя, потому что: Отказано в доступе.

Когда пользователи пытаются создать новую учетную запись пользователя, они получают следующее сообщение об ошибке:

Пароль для имени пользователя не может быть установлен из-за недостаточных привилегий, Windows попытается отключить эту учетную запись. Если эта попытка не удастся, учетная запись станет угрозой безопасности. Свяжитесь с администратором как можно скорее, чтобы исправить это. Прежде чем этот пользователь сможет войти в систему, необходимо установить пароль и активировать учетную запись.

Причина

Эти симптомы могут возникнуть, если выполняется одно или несколько из следующих условий:

Пользователю или группе не предоставлено разрешение на сброс паролей для объектов-компьютеров.

Пользователь или группа не могут присоединить компьютер к домену, если указанный пользователь или указанная группа не имеет разрешения на сброс пароля для объектов-компьютеров. Пользователи могут создавать новые учетные записи компьютеров для домена без этого разрешения. Но если учетная запись компьютера уже присутствует в Active Directory, они получат сообщение об ошибке «Отказано в доступе», поскольку для сброса свойств объекта компьютера для существующего объекта компьютера требуется разрешение на сброс пароля.

Пользователям делегирован контроль над группой «Операторы учетных записей», или они являются членами группы «Операторы учетных записей». Этим пользователям не предоставлено разрешение на чтение встроенной организационной единицы в разделе «Пользователи и компьютеры Active Directory».

Разрешение

Чтобы решить проблему, из-за которой пользователи не могут присоединить компьютер к домену, выполните следующие действия:

  1. Нажмите «Пуск», выберите «Выполнить», введите dsa.msc и нажмите «ОК».
  2. На панели задач разверните узел домена.
  3. Найдите и щелкните правой кнопкой мыши подразделение, которое вы хотите изменить, а затем выберите "Делегировать управление".
  4. В мастере делегирования управления нажмите "Далее".
  5. Нажмите "Добавить", чтобы добавить определенного пользователя или определенную группу в список "Выбранные пользователи и группы", а затем нажмите "Далее".
  6. На странице "Задачи для делегирования" выберите "Создать пользовательскую задачу для делегирования", а затем нажмите "Далее".
  7. Выберите «Только следующие объекты в папке», а затем в списке установите флажок «Объекты компьютера». Затем установите флажки под списком Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке.
  8. Нажмите "Далее".
  9. В списке разрешений установите следующие флажки:
    • Сбросить пароль
    • Чтение и запись ограничений учетной записи
    • Подтверждена запись в DNS-имя хоста
    • Подтверждена запись в имя субъекта-службы
  10. Нажмите "Далее", а затем "Готово".
  11. Закройте оснастку MMC «Active Directory — пользователи и компьютеры».

Чтобы решить проблему, из-за которой пользователи не могут сбросить пароли, выполните следующие действия:

Выберите «Пуск», выберите «Выполнить», введите dsa.msc и нажмите «ОК».

На панели задач разверните узел домена.

Найдите и щелкните правой кнопкой мыши встроенный, а затем выберите "Свойства".

В диалоговом окне "Встроенные свойства" выберите вкладку "Безопасность".

В списке имен групп или пользователей выберите Операторы учетных записей.

В разделе «Разрешения для операторов учетных записей» установите флажок «Разрешить» для разрешения «Чтение», а затем нажмите «ОК».

Если вы хотите использовать группу или пользователя, отличного от группы «Операторы учетной записи», повторите шаги 5 и 6 для этой группы или этого пользователя.

В этой статье мы обсудим причины ошибки доверительного отношения. В этом руководстве рассматриваются возможные решения по восстановлению безопасного канала между рабочей станцией и доменом Active Directory.

В каком случае вы можете столкнуться с этой ошибкой? Например, когда пользователь пытается войти на рабочую станцию ​​или сервер с учетными данными учетной записи домена. После ввода логина и пароля появляется окно (с сообщением об ошибке):

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Или ошибка выглядит следующим образом:

В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции

В то же время события с EventID 5719 с исходным NETLOGON отображаются в разделе "Система" средства просмотра событий:

Этому компьютеру не удалось установить безопасный сеанс с контроллером домена в домене «» по следующим причинам:
В настоящее время нет доступных серверов входа для обслуживания запроса на вход. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена.

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
Если этот компьютер является контроллером домена для указанного домена, он устанавливает безопасный сеанс для эмулятора основного контроллера домена в указанный домен. В противном случае этот компьютер устанавливает безопасный сеанс с любым контроллером домена в указанном домене.

Также в разделе "Система" средства просмотра событий можно найти ошибку с идентификатором события 3210 из источника NETLOGON:

Этому компьютеру не удалось аутентифицироваться с помощью \\ny-dc01 контроллера домена Windows для домена THEITBROS, поэтому этот компьютер может отклонять запросы на вход. Эта невозможность аутентификации может быть вызвана тем, что другой компьютер в той же сети использует то же имя или пароль для этой учетной записи компьютера не распознан. Если это сообщение появится снова, обратитесь к системному администратору.

Попробуем разобраться, что означает эта ошибка и как ее исправить.

Пароль учетной записи компьютера Active Directory

Когда вы присоединяете компьютер к домену Active Directory, для вашего устройства создается новая учетная запись компьютера и для нее устанавливается пароль (как и для пользователей AD).Доверительные отношения на этом уровне обеспечиваются тем, что присоединение к домену осуществляется администратором домена. Или другой пользователь с делегированными правами администратора выполнил присоединение.

Каждый раз, когда компьютер домена входит в домен AD, он устанавливает безопасный канал с ближайшим контроллером домена (переменная среды %logonserver%). DC проверяет учетные данные компьютера. В этом случае между рабочей станцией и доменом устанавливается доверие. Дальнейшее взаимодействие происходит в соответствии с политиками безопасности, определенными администратором.

Пароль учетной записи компьютера действителен в течение 30 дней (по умолчанию), а затем меняется. Вы должны иметь в виду, что компьютер меняет пароль в соответствии с настроенной групповой политикой домена. Это похоже на процесс смены пароля пользователя.

Совет. Максимальный срок действия пароля учетной записи для компьютеров домена можно настроить с помощью параметра GPO Член домена: Максимальный срок действия пароля учетной записи компьютера. Он находится в следующем разделе редактора групповой политики: Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности. Вы можете указать количество дней от 0 до 999 (по умолчанию 30 дней).

Вы можете настроить политику паролей учетной записи компьютера для одного компьютера через реестр.

Для этого запустите regedit.exe и перейдите в раздел реестра HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Отредактируйте параметр MaximumPasswordAge и установите максимальное время действия пароля компьютера в домене (в днях).

Другой вариант — полностью отключить смену пароля учетной записи компьютера. Для этого установите для параметра DisablePasswordChange REG_DWORD значение 1. Хотя это решение не рекомендуется для производственных сред и допустимо только для тестовых стендов.

Вы также можете изменить параметры смены пароля компьютера для домена с помощью групповой политики. Параметры для изменения паролей учетных записей компьютеров находятся в разделе: Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности. Нас интересуют следующие параметры:

  • Член домена: отключить изменение пароля учетной записи компьютера — отключает запрос на изменение пароля на локальном компьютере;
  • Член домена: максимальный срок действия пароля учетной записи компьютера — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию период составляет 30 дней; максимальное значение может быть установлено на 999 дней;
  • Контроллер домена: запретить изменение пароля учетной записи компьютера — запрещает изменение пароля на контроллерах домена. Если вы включите эту опцию, то контроллеры будут отклонять запросы от компьютеров на смену пароля.

Домен Active Directory хранит текущий пароль компьютера, а также предыдущий. Если пароль был изменен дважды, компьютер, использующий старый пароль, не сможет пройти аутентификацию на контроллере домена. Он не установит безопасный канал подключения.

Срок действия паролей учетных записей компьютеров в Active Directory не ограничен. Это происходит потому, что политика паролей домена не применяется к объектам AD Computer. Ваш компьютер может использовать службу NETLOGON для смены пароля при следующем входе в домен. Это возможно, если его пароль старше 30 дней. Обратите внимание, что паролем локального компьютера управляет не AD, а сам компьютер.

Компьютер пытается изменить свой пароль на контроллере домена. Только после успешного изменения он обновляет свой локальный пароль. Локальная копия пароля хранится в разделе реестра HKLM\SECURITY\Policy\Secrets$machine.ACC).

Вы можете просмотреть время установки последнего пароля для учетной записи объекта компьютера в домене AD с помощью командлета PowerShell Get-ADComputer. Это можно сделать из модуля AD Windows PowerShell. Запустите команду с именем компьютера:

Поэтому, даже если вы не включали компьютер в течение нескольких месяцев, доверительные отношения между компьютером и доменом сохранятся. В этом случае пароль компьютера будет изменен при первой регистрации вашей рабочей станции в домене.

Доверительные отношения разрываются, когда компьютер пытается пройти аутентификацию в домене с неверным паролем.

В чем причина ошибки «Сбой доверительных отношений между этой рабочей станцией и основным доменом»?

Эта ошибка указывает на то, что этот компьютер больше не является доверенным. Пароль локального компьютера не совпадает с паролем объекта этого компьютера, хранящимся в базе данных AD.

Доверительные отношения могут не установиться, если компьютер попытается пройти аутентификацию в домене с неверным паролем. Обычно это происходит после переустановки Windows. Кроме того, при восстановлении состояния системы из резервной копии образа (или SystemState), моментального снимка виртуальной машины или при выполнении клонирования компьютера без запуска файла Sysprep. В этом случае текущее значение пароля на локальном компьютере и пароль, сохраненный для объекта-компьютера в домене AD, будут отличаться.

Как проверить защищенный канал между рабочей станцией и основным доменом?

Вы можете проверить, синхронизирован ли локальный пароль компьютера с паролем учетной записи компьютера в контролируемом домене. Для этого войдите на компьютер под учетной записью локального администратора (. ), запустите консоль PowerShell и выполните командлет Test-ComputerSecureChannel. Вы можете использовать простую форму:

Или вы можете добавить параметр переключателя –Verbose:

Подсказка. Если вы не можете войти в свой компьютер, используя учетную запись домена, попробуйте временно отключить сетевой кабель. В этом случае вы сможете войти на компьютер под кэшированными учетными данными пользователя AD. Повторно подключите сетевой кабель после входа в систему с кэшированными учетными данными.

Исправление доверительных отношений путем повторного присоединения к домену

Прежде всего откройте оснастку "Пользователи и компьютеры Active Directory" (ADUC). Убедитесь, что учетная запись проблемного компьютера присутствует в домене и не отключена.

Самый очевидный старый способ восстановить доверительные отношения вашего компьютера в домене:

Этот способ самый простой, но не самый быстрый и удобный — требует многократных перезагрузок. Также известны случаи, когда после повторного присоединения компьютера к домену локальные профили пользователей переподключаются некорректно.

Кроме того, вы можете отсоединить компьютер от домена AD и снова присоединить его к домену AD с помощью WMI. Используйте следующий сценарий PowerShell:

Совет. Вы также можете решить эту проблему, удалив учетную запись компьютера в Active Directory и создав ее заново без пароля.

Мы покажем, как восстановить доверительные отношения и восстановить безопасный канал без повторного присоединения к домену и перезагрузки!

Кроме того, вы можете использовать PowerShell для отключения и присоединения вашего компьютера к домену AD. Используйте следующие встроенные командлеты PowerShell: Remove-Computer и Add-Computer.

Чтобы отключить устройство от домена и принудительно перезапустить хост, выполните команду:

Это предполагает, что вы знаете учетные данные локальной учетной записи пользователя из встроенной группы администраторов.

Затем войдите под учетной записью локального администратора и присоедините хост Windows к Active Directory:

Важно убедиться, что разница во времени между контроллером домена и клиентским компьютером не превышает 5 минут. Чтобы настроить синхронизацию времени в домене, прочитайте статью Настройка NTP в Windows с помощью GPO.

Ваш компьютер не может установить доверительные отношения с контроллером домена, если время на вашем устройстве отличается от времени на контроллере домена, прошедшем проверку подлинности, более чем на 5 минут.

Проверьте средство просмотра событий на наличие события с идентификатором 130 из источника Time-Service:

NtpClient не удалось установить одноранговый домен для использования в качестве источника времени из-за сбоя в установлении доверительных отношений между этим компьютером и доменом для безопасной синхронизации времени. NtpClient повторит попытку через 15 минут и удвоит интервал повторных попыток после этого. Ошибка была следующей: не удалось установить доверительные отношения между этой рабочей станцией и основным доменом. (0x800706FD)

Проверьте источник службы Window Time с помощью команды:

Если вы получаете время по локальным часам CMOS (BIOS), убедитесь, что время на компьютере совпадает со временем на контроллере домена.

Используйте следующее руководство для проверки и синхронизации с DC.

Reset-ComputerMachinePassword: как исправить сбой доверительных отношений с PowerShell?

Проверьте, не была ли удалена учетная запись вашего компьютера из Active Directory:

Если учетной записи компьютера не существует, создайте ее на контроллере домена с помощью команды:

Вы можете сбросить пароль компьютера с помощью командлета PowerShell Reset-ComputerMachinePassword.

Совет. Командлет PowerShell Reset-ComputerMachinePassword изменяет пароль учетной записи, которую компьютеры используют для проверки подлинности на контроллерах домена. Этот командлет можно использовать для сброса пароля локального компьютера.

Это самый быстрый и удобный способ сбросить пароль компьютера, не требующий перезагрузки. В отличие от утилиты Netdom, PowerShell 3.0 или новее доступен для всех ОС Microsoft, начиная с Windows 8/Server 2012. Вы можете установить его вручную (см. здесь) в Windows 7, Server 2008 и Server 2008 R2 (также требуется Net Framework 4.0 или выше).

Подсказка. Командлеты Reset-ComputerMachinePassword и Test-ComputerSecureChannel недоступны в PowerShell Core 6.0 и 7.x из-за использования неподдерживаемых API.

Если вы хотите восстановить доверительные отношения под локальным администратором, запустите консоль PowerShell с повышенными правами. Выполните эту команду:

  • Сервер — полное доменное имя любого контроллера домена;
  • Учетные данные — пользователь домена (с разрешением на добавление компьютера в домен) или учетная запись администратора домена.

Появится окно учетных данных, и вы должны ввести пароль учетной записи домена.

Командлет не отображает никаких сообщений об успешном выполнении, поэтому просто повторно войдите в систему под учетной записью домена. Перезагрузка не требуется.

Если вы получили сообщение об ошибке Сервер RPC недоступен или Не удалось связаться с контроллером домена Active Directory (AD DC) для домена, попробуйте запустить командлет Reset-ComputerMachinePassword. Проверьте настройки DNS на своем компьютере и зоны DNS, следуя руководству. Не удалось связаться с контроллером домена Active Directory.

Совет. Вы также можете восстановить безопасный канал между компьютером и доменом Active Directory с помощью командлета PowerShell Test-ComputerSecureChannel:

Использование Netdom resetpwd для исправления сбоя доверительных отношений без перезагрузки

Вы можете найти утилиту Netdom в Windows Server, начиная с версии 2008. Его можно установить на ПК клиента в составе пакета RSAT (Remote Server Administration Tools). Метод быстрый и эффективный. Чтобы использовать его, войдите в целевую систему с учетными данными локального администратора (. ) (введя «.Administrator» в окне входа), откройте командную строку cmd.exe с повышенными привилегиями и выполните следующую команду:

  • Сервер — имя любого контроллера домена;
  • UserD — имя пользователя с правами администратора домена или делегированными правами;
  • PasswordD — пароль администратора.

После успешного выполнения этой команды перезагрузка не требуется. Просто выйдите из локальной учетной записи и войдите под учетными данными домена.

Вы можете проверить безопасное соединение с доменом AD с помощью Netdom с помощью следующей команды:

Этот метод работает не всегда. Не всегда возможно авторизоваться на контроллере домена под учетной записью администратора с компьютера с нарушенными доверительными отношениями.

Сбросить безопасный канал Active Directory и пароль компьютера с помощью NLTEST

Кроме того, вы можете сбросить пароль компьютера в домене и безопасном канале с помощью встроенного инструмента Nltest:

Эта команда попытается восстановить безопасный канал, сбросив пароль как на локальном компьютере, так и на компьютере домена. Не требуется повторное присоединение к домену или перезагрузка.

Netdom и Reset-ComputerMachinePassword позволяют указать учетные данные пользователя. Но Nltest работает в контексте текущего пользователя. Соответственно, если вы зайдете на компьютер под локальной учетной записью и попытаетесь выполнить команду, вы получите ошибку отказа в доступе. Из-за этого метод работает не всегда.

Вы можете проверить, успешно ли восстановлен безопасный канал, с помощью следующей команды:

Следующие строки подтверждают восстановление доверительных отношений:

Исправление: в базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции

При появлении ошибки «В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции» необходимо проверить журналы ошибок контроллера домена на наличие события с идентификатором 2974:

Предоставленное значение атрибута не является уникальным в лесу или разделе. Атрибут: servicePrincipalName Value=TERMSRV/PDC
CN=PC1,OU=Computers,DC=theitbros,DC=com Winerror: 8647

Эта проблема указывает на то, что атрибут учетной записи компьютера SPN (имя субъекта-службы) в AD заполнен неправильно. Также проверьте, есть ли в домене несколько компьютеров с одинаковым значением атрибута servicePrincipalName.

Найдите проблемный объект компьютера в консоли ADUC. Перейдите на вкладку Редактор атрибутов и проверьте значение атрибута servicePrincipalName.

Убедитесь, что объект вашего компьютера имеет заполненное значение свойства SPN в следующем формате:

Вы можете скопировать полное доменное имя (полное доменное имя) компьютера из атрибута dNSHostName. Если эти записи имени участника-службы отсутствуют, их необходимо создать вручную.

Теперь перезагрузите компьютер и попробуйте войти под учетными данными домена.

Повторяющиеся имена SPN в домене можно найти с помощью утилиты ldifde:

Как видите, решить проблему с доверительными отношениями в домене довольно просто! Надеюсь, это было полезно для вас!

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

Прочитайте разделы этой главы, чтобы решить проблемы с присоединением к домену.

10 основных причин сбоя присоединения к домену

Вот 10 основных причин неудачной попытки присоединения к домену:

  1. Корневой каталог не использовался для запуска команды присоединения к домену (или для запуска графического пользовательского интерфейса присоединения к домену).
  2. Неверное имя пользователя или пароль учетной записи, используемой для присоединения к домену.
  3. Ошибка в имени домена.
  4. Ошибка в названии организационной единицы.
  5. Недопустимое локальное имя хоста.
  6. Контроллер домена недоступен для клиента из-за брандмауэра или из-за того, что на контроллере домена не запущена служба NTP.
  1. Клиент использует RHEL 2.1 и старую версию SSH.
  2. В SUSE необходимо перезапустить GDM (dbus). Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с помощью графического пользовательского интерфейса.
  3. В Solaris необходимо перезапустить dtlogin. Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с графическим пользовательским интерфейсом Solaris. Чтобы перезапустить dtlogin, выполните следующую команду:
  4. SELinux настроен либо на принудительное, либо на разрешающее действие, скорее всего, в Fedora. Перед присоединением компьютера к домену необходимо отключить SELinux.

Чтобы отключить SELinux, см. справочную страницу SELinux.

Решение проблем с присоединением к домену

Чтобы устранить проблемы с присоединением компьютера Linux к домену, последовательно выполните следующую серию диагностических тестов на компьютере Linux с учетной записью root.

Эти тесты также можно использовать для устранения неполадок при присоединении к домену на компьютере Unix; однако синтаксис команд в Unix может немного отличаться.

В процедурах, описанных в этом разделе, предполагается, что вы уже проверили, относится ли проблема к 10 основным причинам неудачного присоединения к домену (см. выше). Мы также рекомендуем создать журнал присоединения к домену.

Убедитесь, что сервер имен может найти домен

Выполните следующую команду от имени пользователя root:

Убедитесь, что клиент может подключиться к контроллеру домена

Вы можете убедиться, что ваш компьютер может подключиться к контроллеру домена, отправив ему команду ping:

Проверьте подключение к DNS

Возможно, компьютер использует неправильный DNS-сервер или вообще не использует его. Убедитесь, что запись сервера имен в файле /etc/resolv.conf содержит IP-адрес DNS-сервера, который может разрешать имя домена, к которому вы пытаетесь присоединиться. Скорее всего, это IP-адрес одного из ваших контроллеров домена.

Убедитесь, что nsswitch.conf настроен на проверку имен хостов в DNS

Файл /etc/nsswitch.conf должен содержать следующую строку. (В AIX это файл /etc/netsvc.conf.)

В частности, компьютеры с ОС Solaris могут не содержать эту строку в nsswitch.conf, пока вы ее не добавите.

Убедитесь, что DNS-запросы используют правильную карту сетевого интерфейса

Если компьютер является многосетевым, DNS-запросы могут отправляться не на ту сетевую карту.

Временно отключите все сетевые адаптеры, кроме карты в той же подсети, что и ваш контроллер домена или DNS-сервер, а затем проверьте поиск DNS в домене AD.

Если это работает, снова включите все сетевые адаптеры и отредактируйте локальные или сетевые таблицы маршрутизации, чтобы контроллеры домена AD были доступны с хоста.

Определить, настроен ли DNS-сервер для возврата записей SRV

Ваш DNS-сервер должен быть настроен на возврат записей SRV, чтобы можно было найти контроллер домена. DNS-серверы, отличные от Windows (привязка), часто не настроены на возврат записей SRV.

Проверьте это, выполнив следующую команду:

Убедитесь, что глобальный каталог доступен

Должен быть доступен глобальный каталог Active Directory. Глобальный каталог в другой зоне может не отображаться в DNS. Диагностируйте его, выполнив следующую команду:

Из списка IP-адресов в результатах выберите один или несколько адресов и проверьте, доступны ли они через порт 3268 с помощью telnet.

Убедитесь, что клиент может подключиться к домену через порт 123

Следующий тест проверяет, может ли клиент подключиться к контроллеру домена через порт 123 и запущена ли служба протокола сетевого времени (NTP) на контроллере домена. Чтобы клиент мог присоединиться к домену, NTP, служба времени Windows, должна работать на контроллере домена.

На компьютере с Linux выполните следующую команду от имени пользователя root:

Дополнительную информацию см. в разделе Диагностика NTP на порту 123

Кроме того, проверьте журналы контроллера домена на наличие ошибок из источника с именем w32tm, который является службой времени Windows.

FreeBSD: запустите ldconfig, если не удается перезагрузить компьютер

При установке AD Bridge Enterprise на новый компьютер с FreeBSD, в котором ничего нет в /usr/local, запустите /etc/rc.d/ldconfig start после установки, если вы не можете перезагрузить компьютер. В противном случае /usr/local/lib не будет в пути поиска библиотеки.

Игнорировать недоступные доверительные отношения

Недоступное доверие может помешать успешному присоединению к домену. Если вы знаете, что в вашей сети Active Directory есть недоступные доверительные отношения, вы можете настроить AD Bridge Enterprise на игнорирование всех доверительных отношений, прежде чем пытаться присоединиться к домену. Для этого используйте инструмент настройки, чтобы изменить значения параметра DomainManagerIgnoreAllTrusts.

Результаты будут выглядеть примерно так. Параметр, о котором идет речь, — DomainManagerIgnoreAllTrusts.

  1. Перечислите сведения о параметре DomainManagerIgnoreAllTrusts, чтобы увидеть, какие значения он принимает:
    1. Измените значение параметра на true, чтобы AD Bridge Enterprise игнорировал доверительные отношения при попытке присоединиться к домену.
      1. Проверьте, чтобы изменения вступили в силу:

      Теперь попробуйте снова присоединиться к домену. В случае успеха имейте в виду, что только пользователи и группы, которые находятся в локальном домене, смогут войти в систему на компьютере.

      В приведенном выше примере вывода, который показывает текущие значения параметра, указана локальная политика, что означает, что параметр управляется локально через конфигурацию, поскольку параметр групповой политики предприятия AD Bridge не управляет параметром. Как правило, в AD Bridge Enterprise вы должны управлять параметром DomainManagerIgnoreAllTrusts с помощью соответствующего параметра групповой политики, но вы не можете применять объекты групповой политики (GPO) к компьютеру до тех пор, пока он не будет добавлен в домен. Соответствующий параметр политики AD Bridge Enterprise называется Lsass: игнорировать все доверительные отношения при перечислении доменов.

      Для получения информации об аргументах config выполните следующую команду:

      Устранение распространенных сообщений об ошибках

      В этом разделе перечислены решения для распространенных ошибок, которые могут возникнуть при попытке присоединиться к домену.

      Конфигурация krb5

      Удалите /etc/krb5.conf и попробуйте снова присоединиться к домену.

      Ошибка Chkconfig

      Эта ошибка может возникнуть, когда вы пытаетесь присоединиться к домену или пытаетесь выполнить команду domain-join с параметром, но демон netlogond еще не запущен.

      Описание: Произошла ошибка при использовании chkconfig для обработки демона netlogond, который необходимо добавить в список процессов, запускаемых при перезагрузке компьютера. Проблема может быть вызвана сценариями запуска в дереве /etc/rc.d/, несовместимыми с LSB.

      Проверка. Выполнение следующей команды от имени пользователя root может предоставить информацию об ошибке:

      Удалите сценарии запуска, не соответствующие LSB, из дерева /etc/rc.d/.

      Проблемы репликации

      При наличии задержек репликации в вашей среде может возникнуть следующая ошибка. Задержка репликации может возникнуть, если клиент находится на том же сайте, что и контроллер домена только для чтения.

      После возникновения ошибки подождите 15 минут, а затем выполните следующую команду, чтобы перезапустить AD Bridge Enterprise:

      Диагностика NTP на порту 123

      При использовании утилиты присоединения к домену AD Bridge Enterprise для присоединения клиента Linux или Unix к домену эта утилита может быть не в состоянии связаться с контроллером домена через порт 123 с помощью UDP.Агент AD Bridge Enterprise требует, чтобы порт 123 был открыт на клиенте, чтобы он мог получать данные NTP от контроллера домена. Кроме того, на контроллере домена должна быть запущена служба времени.

      Вы можете диагностировать подключение NTP, выполнив следующую команду от имени пользователя root в командной строке вашего компьютера с Linux:

      Если все в порядке, результат должен выглядеть следующим образом:

      Вывод при отсутствии службы NTP

      Если контроллер домена не использует NTP на порту 123, команда возвращает ответ, например подходящий сервер для синхронизации не найден, как показано в следующем выводе:

      Отключить Apache для присоединения к домену

      Веб-сервер Apache блокирует файл keytab, что может заблокировать попытку присоединения к домену. Если на компьютере работает Apache, остановите Apache, присоединитесь к домену и перезапустите Apache.

      BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

      ©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

      Читайте также: