В базе данных менеджера учетных записей на сервере нет записи для регистрации компьютера
Обновлено: 21.11.2024
Compute Engine предоставляет общедоступные образы с Windows Server, которые можно использовать для создания экземпляров. Инструкции по созданию экземпляра Windows Server с предустановленным SQL Server см. в разделе Создание экземпляров SQL Server.
Более общие сведения об экземплярах Windows Server и приложениях Windows, которые можно запускать на Compute Engine, см. в разделе Windows на Compute Engine.
Цены
Образы Windows Server являются образами премиум-класса, и за их использование взимается дополнительная плата.
Виртуальные машины Windows Server не включены в бесплатную пробную версию.
Прежде чем начать
- Если вы хотите использовать примеры командной строки из этого руководства, сделайте следующее:
- Установите или обновите до последней версии интерфейс командной строки Google Cloud.
- Установите регион и зону по умолчанию.
- Если вы хотите использовать примеры API из этого руководства, настройте доступ к API.
- Включение оплаты для вашего проекта.
Создание экземпляра Windows Server
Чтобы создать экземпляр с Windows Server, укажите семейство образов для конкретной версии Windows, которая вам нужна. Compute Engine предлагает несколько версий Windows Server, большинство из которых доступны в виде образов экранированных виртуальных машин. Экранированные образы виртуальных машин предлагают функции безопасности, такие как встроенное ПО, совместимое с UEFI, безопасная загрузка и измеряемая загрузка с защитой vTPM. Список доступных семейств изображений см. в общедоступных изображениях.
Если вам нужно более двух одновременных сеансов удаленного рабочего стола, вам потребуется приобрести клиентские лицензии (CAL) на сеанс удаленного рабочего стола (RDS). Дополнительные сведения см. в статье Лицензирование развертывания RDS с помощью клиентских лицензий (CAL).
Работа с Microsoft Active Directory
Если вы планируете использовать Microsoft Active Directory (AD) с новым экземпляром, убедитесь, что имя экземпляра не длиннее 15 символов, чтобы соответствовать установленным в системе ограничениям на максимальную длину имени.
AD использует NetBIOS-имена машин, которые генерируются как имя экземпляра, усеченное до 15 символов. В результате вы можете столкнуться со следующей ошибкой при попытке войти в систему в качестве пользователя домена: База данных безопасности на сервере не имеет учетной записи компьютера для этого доверительного отношения рабочей станции.
Создание экземпляра Windows Server, который использует внешний IP-адрес для активации
Консоль
Чтобы создать базовую виртуальную машину Windows:
В Google Cloud Console перейдите на страницу создания экземпляра.
Для загрузочного диска выберите Изменить и выполните следующие действия:
- На вкладке Общедоступные образы выберите операционную систему Windows Server.
- Нажмите "Выбрать".
Чтобы создать виртуальную машину, нажмите "Создать".
Чтобы создать экземпляр экранированной виртуальной машины Windows, выполните следующие действия:
В Cloud Console перейдите на страницу создания экземпляра.
Для загрузочного диска выберите Изменить и выполните следующие действия:
- На вкладке Общедоступные образы выберите операционную систему Windows Server.
- Чтобы сохранить конфигурацию загрузочного диска, нажмите "Выбрать".
При необходимости, чтобы изменить параметры экранированной виртуальной машины, разверните раздел Сеть, диски, безопасность, управление, единоличное владение. Затем сделайте следующее:
- Разверните раздел "Безопасность".
- Если вы хотите отключить безопасную загрузку, снимите флажок Включить безопасную загрузку. Безопасная загрузка помогает защитить ваши экземпляры виртуальных машин от вредоносных программ и руткитов на уровне загрузки и ядра. Дополнительные сведения см. в разделе Безопасная загрузка.
Если вы хотите отключить модуль виртуальной доверенной платформы (vTPM), снимите флажок Включить vTPM. vTPM включает измеряемую загрузку, которая проверяет целостность виртуальной машины перед загрузкой и загрузкой. Дополнительные сведения см. в разделе Виртуальный доверенный платформенный модуль (vTPM).
Если вы хотите отключить мониторинг целостности, снимите флажок Включить мониторинг целостности. Мониторинг целостности позволяет отслеживать целостность загрузки виртуальных машин Shielded VM с помощью облачного мониторинга. Дополнительные сведения см. в разделе Мониторинг целостности.
Чтобы создать виртуальную машину, нажмите "Создать".
gcloud
Используйте команду Compute Images list, чтобы просмотреть список доступных образов Windows Server:
Чтобы определить, поддерживает ли образ функции экранированной виртуальной машины, выполните следующую команду и проверьте наличие UEFI_COMPATIBLE в выходных данных:
где [IMAGE_NAME] — это имя образа, который нужно проверить на поддержку функций защищенной виртуальной машины.
Используйте команду создания экземпляров вычисления, чтобы создать новый экземпляр и указать семейство образов для одного из общедоступных образов Windows Server.
- [INSTANCE_NAME] — это имя нового экземпляра.
- [IMAGE_FAMILY] — одно из общедоступных семейств образов для образов Windows Server.
- [MACHINE_TYPE] — один из доступных типов машин.
- [BOOT_DISK_SIZE] — размер загрузочного диска в ГБ. Большие постоянные диски имеют более высокую пропускную способность.
- [BOOT_DISK_TYPE] — это тип загрузочного диска для вашего экземпляра. Например, pd-ssd .
Если вы выбрали образ, который поддерживает экранированную виртуальную машину, вы можете при желании изменить параметры экранированной виртуальной машины, используя один из следующих флагов:
-
--no-shielded-secure-boot : отключить безопасную загрузку. Безопасная загрузка помогает защитить ваши экземпляры виртуальных машин от вредоносных программ и руткитов на уровне загрузки и ядра. Дополнительные сведения см. в разделе Безопасная загрузка.
--no-shielded-vtpm : отключить модуль виртуальной доверенной платформы (vTPM). vTPM включает измеряемую загрузку, которая проверяет целостность виртуальной машины перед загрузкой и загрузкой. Дополнительные сведения см. в разделе Виртуальный доверенный платформенный модуль (vTPM).
--no-shielded-integrity-monitoring : отключить мониторинг целостности. Мониторинг целостности позволяет отслеживать целостность загрузки экземпляров защищенных виртуальных машин с помощью облачного мониторинга. Дополнительные сведения см. в разделе Мониторинг целостности.
В следующем примере создается экземпляр экранированной виртуальной машины Windows 2012 с отключенной безопасной загрузкой:
Чтобы создать экземпляр с помощью API, включите свойство initializeParams в запрос на создание экземпляра и укажите образ Windows. Например, текст вашего запроса может выглядеть следующим образом:
- [INSTANCE_NAME] — это имя нового экземпляра.
- [IMAGE_FAMILY] — это одно из общедоступных семейств образов для образов Windows Server или SQL Server.
- [ZONE] – это зона для данного экземпляра.
- [MACHINE_TYPE] — один из доступных типов машин.
- [BOOT_DISK_SIZE] — размер загрузочного диска в ГБ. Большие постоянные диски имеют более высокую пропускную способность.
- [BOOT_DISK_TYPE] — это тип загрузочного диска для вашего экземпляра. Например, pd-ssd .
Если вы выбрали образ, который поддерживает экранированную виртуальную машину, вы можете дополнительно изменить параметры экранированной виртуальной машины, используя следующие логические элементы тела запроса:
-
enableSecureBoot : включить или отключить безопасную загрузку. Безопасная загрузка помогает защитить ваши экземпляры виртуальных машин от вредоносных программ и руткитов на уровне загрузки и ядра. Дополнительные сведения см. в разделе Безопасная загрузка.
enableVtpm : включение или отключение модуля виртуальной доверенной платформы (vTPM). vTPM включает измеряемую загрузку, которая проверяет целостность виртуальной машины перед загрузкой и загрузкой. Дополнительные сведения см. в разделе Виртуальный доверенный платформенный модуль (vTPM).
enableIntegrityMonitoring : включить или отключить мониторинг целостности. Мониторинг целостности позволяет отслеживать и проверять целостность загрузки экземпляров защищенных виртуальных машин во время выполнения с помощью отчетов облачного мониторинга. Дополнительные сведения см. в разделе Мониторинг целостности.
Дополнительную информацию о создании экземпляра см. в документации instances.insert().
После создания экземпляра Windows или SQL Server установите начальный пароль для экземпляра, чтобы можно было подключиться к экземпляру через RDP.
Создание экземпляра Windows Server, использующего для активации внутренний IP-адрес
Когда вы создаете новый экземпляр с помощью интерфейса командной строки gcloud, вы можете использовать флаг --no-address, чтобы убедиться, что ему не назначен внешний IP-адрес:
Замените следующие заполнители допустимыми значениями:
- [INSTANCE_NAME] — это имя нового экземпляра.
- [SUBNET_NAME] — это имя подсети в сети VPC, которую будет использовать экземпляр. Подсеть должна находиться в том же регионе, что и зона, выбранная для экземпляра.
- [IMAGE_FAMILY] — одно из общедоступных семейств образов для образов Windows Server.
- [MACHINE_TYPE] — один из доступных типов машин.
- [BOOT_DISK_SIZE] — размер загрузочного диска в ГБ. Большие постоянные диски имеют более высокую пропускную способность.
- [BOOT_DISK_TYPE] — это тип загрузочного диска для вашего экземпляра. Например, pd-ssd .
Поскольку у этого экземпляра нет внешнего IP-адреса, вы не можете подключиться к нему напрямую через Интернет. Вы можете подключиться из другой сети, подключенной к вашей сети VPC, с помощью Cloud Interconnect или Cloud VPN, или вы можете сначала подключиться к инстансу-бастиону через RDP, а затем подключиться к инстансу, который имеет только внутренний IP-адрес.
Для активации и продления Windows ваша сеть VPC должна соответствовать следующим требованиям правил маршрутизации и брандмауэра.
Требования к маршрутизации
Замените [ROUTE_NAME] названием этого маршрута, а [NETWORK] — названием вашей сети VPC.
Требования к правилам брандмауэра
Если вы настраиваете правила брандмауэра, рекомендуется создать правило разрешения выхода с высоким приоритетом, которое явно разрешает связь с 35.190.247.13 . Таким образом, изменяя правила брандмауэра, вы случайно не отключите активацию Windows.
В следующих примерах gcloud создается рекомендуемое правило разрешения исходящего трафика с наивысшим приоритетом:
Замените [RULE_NAME] именем этого правила брандмауэра, а [NETWORK] — именем вашей сети VPC.
Проверка успешного запуска экземпляра
Экземпляры Windows загружаются дольше из-за процесса sysprep. Облачная консоль может показать, что экземпляр запущен, даже если процесс sysprep еще не завершен. Чтобы убедиться, что ваш экземпляр успешно запущен и готов к использованию, проверьте выходные данные последовательного порта с помощью следующей команды:
где [INSTANCE_NAME] — имя экземпляра, который вы хотите проверить.
Включение и отключение функций экземпляра Windows
Если у вас есть экземпляры Windows с версией образа v20170509 и выше или с версией агента 4.1.0 и выше, вы можете задать конфигурацию экземпляра в файле конфигурации или в настраиваемых метаданных проекта или экземпляра. Файл конфигурации имеет формат INI и находится по следующему пути:
Система переопределяет параметры конфигурации в следующем порядке приоритета от самого высокого до самого низкого приоритета:
- Параметры конфигурации, заданные в файле конфигурации.
- Параметры конфигурации, заданные в пользовательских метаданных на уровне экземпляра.
- Параметры конфигурации, заданные в пользовательских метаданных на уровне проекта.
Например, если вы можете включить функцию accountManager в файле конфигурации, ваш экземпляр игнорирует параметры, которые вы установили в пользовательских метаданных для отключения этой функции.
Одно из преимуществ установки этих параметров в файле конфигурации заключается в том, что эти настройки сохраняются при создании пользовательского образа для экземпляра Windows Server. Пользовательские метаданные на уровне экземпляра не сохраняются после окончания срока службы экземпляра.
Вы можете отключить различные функции экземпляра Windows, используя следующие примеры:
Отключите диспетчер учетных записей, который также отключает сброс паролей с помощью Google Cloud CLI или консоли:
В пользовательских метаданных установите для параметра disable-account-manager значение true в метаданных.
Отключить диспетчер адресов:
Запись файла конфигурации:
В пользовательских метаданных установите для параметра disable-address-manager значение true в метаданных.
Отказоустойчивая кластеризация Windows Server
Включите агент отказоустойчивой кластеризации Windows Server:
Запись файла конфигурации:
В пользовательских метаданных задайте для параметра enable-wsfc значение true в метаданных.
Использование нескольких внутренних балансировщиков нагрузки
Укажите IP-адрес внутреннего экземпляра балансировки нагрузки для отказоустойчивого кластера. Это расширенная конфигурация, которую не нужно настраивать для выделенного отказоустойчивого кластера.
Обычно экземпляр внутренней балансировки нагрузки используется для одновременного направления сетевого трафика на один экземпляр ВМ. Если вы добавите второй экземпляр внутренней балансировки нагрузки, который использует экземпляры виртуальных машин отказоустойчивого кластера как часть серверной части веб-сайта с балансировкой нагрузки, у вас будет два внутренних IP-адреса балансировки нагрузки. Если отказоустойчивый кластер использует 10.0.0.10, а балансировщик нагрузки веб-сайта использует 10.0.0.11 , необходимо указать IP-адрес балансировщика нагрузки, который вы используете для отказоустойчивого кластера. Это устраняет неоднозначность того, какой адрес используется для кластера.
Запись файла конфигурации:
В пользовательских метаданных задайте для wsfc-addrs значение 10.0.0.10 .
Изменение порта агента кластеризации
Установите порт агента отказоустойчивой кластеризации. Порт по умолчанию — 59998. Вам нужно указать порт, только если вы хотите использовать другой порт:
Запись файла конфигурации:
В пользовательских метаданных задайте для wsfc-agent-port номер порта.
Примечания к версии изображения
Старые образы не используют файл конфигурации и имеют только часть функций. Для версий образа от версии v20160112 до версии v20170509 или версии агента Windows от 3.2.1.0 до 4.0.0 необходимо использовать следующие значения настраиваемых метаданных:
- Установите для параметра disable-account-manager значение true в метаданных экземпляра, чтобы отключить диспетчер учетных записей.
- Установите для параметра disable-address-manager значение true в метаданных экземпляра, чтобы отключить диспетчер адресов.
Что дальше
Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.
ДжонЛФ
Ваш вопрос не очень ясен. Похоже, что никто не может войти на рабочую станцию, так как она потеряла доверие к домену. В этом случае используйте учетную запись администратора домена для входа с другой рабочей станции, а затем удалите и снова добавьте проблемную рабочую станцию в домен.
Также неправильная группа, она должна быть в группе Windows, а не в группе spiceworks.
бадбанана
почему пользователь может потерять данные?
просто присоединитесь к домену.
и вы не в той группе!
Рокн
Это постоянная проблема с рабочими станциями или это разовая проблема? Если это один раз, вы можете сбросить пароль безопасного канала, если действительно есть учетная запись компьютера в AD, без необходимости повторного присоединения к домену. Зайдите в ADUC, щелкните правой кнопкой мыши учетную запись компьютера и выберите «Сбросить учетную запись». Затем перейдите в Панель управления > Система > Дополнительные параметры системы > Имя компьютера > Идентификатор сети и следуйте до конца.
ТФЛ
- отметить 32 лучших ответа
- thumb_up – 106 благодарных отзывов
Что такое точное сообщение об ошибке и как оно генерируется??
В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции
EminentX
- отметить 55 лучших ответов
- thumb_up – 202 благодарных голоса
- format_list_bulleted 3 инструкции
Пожалуйста, найдите приведенный ниже результат, и он выглядит как проблема репликации сервера с другим контроллером домена (BT-AD1-VM), но этот сервер больше не доступен
DC: LL-AD1-VM.bml.co.mz
Домен: bml.co.mz
ТЕСТ: Базовый (Basc)
Для этого контроллера домена не найдено ни одной записи хоста (A или AAAA)
ТЕСТ: серверы пересылки/корневые ссылки (Forw)
Ошибка: все серверы пересылки в списке серверов пересылки недействительны.
DC: BT-AD1-VM.bml.co.mz
Домен: bml.co.mz
ТЕСТ: Аутентификация (Аутентификация)
Ошибка: Ошибка аутентификации с указанными учетными данными
ТЕСТ: базовый (Basc)
Ошибка: нет подключения к LDAP
Ошибка: нет подключения к WMI
Для этого контроллера домена не найдены записи узлов (A или AAAA)
В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции. Я не уверен, многие ли из вас сталкивались с ошибкой, которая гласит: «В базе данных безопасности на сервере нет учетной записи компьютера для это доверительное отношение рабочей станции».
В большинстве случаев я видел эту ошибку, когда компьютер был выключен в течение очень длительного периода времени, а при включении, если пользователь пытается войти в систему, возникает ошибка доверительных отношений рабочей станции.
Одним из самых простых способов устранения этой ошибки является повторное присоединение компьютера к домену. Это потребует присоединения учетной записи компьютера к домену и перезагрузки.
Это решение работает в большинстве случаев, однако я сталкивался со многими случаями, когда повторное присоединение к домену не устраняло эту проблему.
Так почему же мы видим эту ошибку? – эта проблема возникает из-за несоответствия атрибутов учетной записи компьютера в Active Directory и этих значений в самой системе.
В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции
Если вы планируете исправить эту ошибку путем повторного присоединения компьютера к домену, выполните следующие шаги: -
1) Сначала отсоедините компьютер от домена и убедитесь, что вы установили пароль локального администратора на компьютере или установили пароль учетной записи пользователя, который является членом группы локальных администраторов.
2) Перезагрузите компьютер.
3) На контроллере домена перейдите в раздел Пользователи и компьютеры Active Directory и удалите учетную запись компьютера.
4) Репликация изменений между всеми контроллерами домена Active Directory может занять несколько минут. Так что подождите несколько минут.
5) Повторно присоедините машину к домену.
Если описанный выше метод не устраняет проблему, попробуйте выполнить следующие действия: -
Предположим, что имя вашего компьютера — WIN7.PRAJWAL.LOCAL. Откройте Active Directory Users and Computers, найдите объект компьютера, щелкните правой кнопкой мыши объект компьютера и выберите Редактор атрибутов. Вы должны увидеть перечисленные ниже пары атрибутов или значения в списке атрибутов.
dNSHostName: WIN7.PRAJWAL.LOCAL
servicePrincipalName:
HOST/WIN7
HOST/WIN7.PRAJWAL.LOCAL
RestrictedKrbHost/WIN7
RestrictedKrbHost/WIN7.PRAJWAL.LOCAL
Если вы обнаружите, что какие-либо из этих записей неверны для вашего объекта-компьютера, измените их на правильные. Как только вы исправите записи, вы сможете войти в систему. Обратите внимание, что когда вы вносите какие-либо изменения, помните, что репликация изменений между всеми контроллерами домена Active Directory может занять до нескольких минут. Таким образом, этот метод работает нормально и не требует перезагрузки компьютера.
Праджвал Десаи
Праджвал Десаи — Microsoft MVP в области корпоративной мобильности. Имея за плечами более 10 лет опыта написания контента, это одно из его любимых занятий. Его цель — писать исчерпывающие посты и руководства, всегда стремясь помочь людям важной информацией.
нет, это правильное место.
на ПК возникли проблемы, перейдите
вероятно, появится функция UAC, просто войдите в систему с правами администратора.
затем перейдите в указанное выше место (конфигурация компьютера/административные шаблоны/сеть/dns-клиент/) и посмотрите, установлен ли основной DNS-суффикс. Если это так, то у вас где-то есть другая политика, которая ее устанавливает... если она не установлена. тогда вы можете застрять
удалил компьютер из Active Directory на SBS2003, затем перезагрузил рабочую станцию (фактически также перезагрузил сервер) и снова смог войти в систему. фу . Спасибо, парни . это, по крайней мере, поставило меня в правильном направлении. к вашему сведению, мои bluetooth (logitech) и радиоуправляемые (SONY) клавиатуры и мыши на нескольких машинах перестали работать на прошлой неделе из-за какой-то странной ошибки несовместимости/Win95. Я надеялся, что SP1 это исправит, что он и сделал!
Точно такая же проблема возникла при установке Vista Business PC/SBS2003. До того, как я обновился до VistaSP1, я получил это, но после 4 или 5 попыток он в конечном итоге подключился. Однако я только что закончил обновление до SP1, и ничего не работает. Я пытался удалить ПК из Active Directory и сбросить его, я пытался просто удалить его из AD, я проверил RSOP (там вообще нет настроек), все равно ничего не работает! Есть ли у кого-нибудь другие идеи, которые я могу попробовать.
попробуйте удалить рабочую станцию из домена и сделать ее "рабочей группой". затем перезапустите и присоединитесь к домену. затем перезапустите и посмотрите, работает ли он (я не говорю, что это красиво, но это единственный способ заставить его работать на одной из машин).
Попробуйте это на контроллере домена:
A) Пуск > Выполнить > ADSIEDIT.MSC
B) Перейдите в раздел домена и отметьте соответствующий компьютер
C) Щелчок правой кнопкой мыши и свойства.
D) Дважды щелкните ServicePrincipalName
E) Добавьте новое значение: HOST/имя_вашего_компьютера.ваш_домен.xyz или любое другое значение HOST.
Спасибо за это, я сделал именно это, и да, это работает, и да, это серьезно некрасиво!!
Несмотря на то, что эта проблема исчезла, и вход теперь в порядке, я получил нового пользователя в формате имя_пользователя.имя_домена.локальный.001. Поскольку все мои настройки относятся к предыдущему пользователю, большая проблема! Поэтому я собираюсь удалить SP1 и восстановление системы до вчерашнего дня и надеюсь, что верну своего первоначального пользователя!
Я действительно не понимаю, почему Vista изобретает нового пользователя и не дает вам возможности подключиться к предыдущему, и я все еще не приблизился к выяснению того, что стоит за этой проблемой входа; есть ли параметр на ПК с Vista, который содержит настройки отношения ПК/сервер?
У кого-нибудь есть дополнительные идеи?
PS Я также собираюсь попробовать идею Роберто и посмотреть, поможет ли это
Это сработало отлично. похоже, что объект групповой политики суффикса домена выполнял свою работу, но имя участника-службы не обновлялось должным образом.
Очевидно, что это обходной путь, а не исправление, но пока что сойдет.Мы не сможем развернуть SP1 в нашей среде, пока эта ошибка не будет исправлена. Облом.
Просто любопытно, не сталкивался ли кто-нибудь с этой проблемой. Мы все еще в Принстоне. Если мы либо отправим пакет обновления 1 через WSUS, либо даже попросим кого-то применить его вручную, примерно в 1 из каждых 5 установок будет получено сообщение «База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции» после установки пакета обновления 1. У нас есть главный запрос в Microsoft, но ответов пока нет.
Питер, в моем случае это работает нормально, но после двух перезагрузок проблема возвращается. Я также попробую решение ASDI ниже.
Vista Business, проблема появилась сразу после установки SP1.
Я нашел решение. Просто вернитесь к XP.
ВСЕ решения на этом и других форумах не имеют постоянного решения. Существует обновление от Microsoft, которое по-прежнему не устраняет проблему.
В моем случае все обходные пути не помогли. По-видимому, мне просто нужно подождать, пока MS уделит этому больше внимания, хотя я сомневаюсь, что они будут теперь с 2008 годом и всем остальным.
вероятно, в ваших локальных администраторах есть пользователь domainName\MachineName, удалите его из группы администраторов,
это работает для меня
У меня такая же проблема с ошибкой при подключении сеанса терминала к домену. Это не проблема, которую можно изменить, добавив/удалив этот «компьютер» из домена. Отсутствует ли настройка политики учетной записи в Server 2008? Или как мне найти учетную запись компьютера для сеанса терминала? Является ли это проблемой аутентификации, потому что на сервере пока нет настроек. Невозможно будет добавить пользователя в качестве администратора, поскольку он является членом группы Пользователи удаленного рабочего стола и Пользователи домена. Я что-то пропустил?
Привет, я все еще не могу решить эту проблему!! Каким было обновление MS, у вас есть номер базы знаний для этого (или любой другой идентификатор)?
Я попробую что угодно!!
Свойства компьютера
Выберите вкладку, которая позволяет изменить имя компьютера.
Убедитесь, что домен имени компьютера и суффикс синхронизированы с доменом (именем).
ПЛОХОЙ пример> (ЧТО ВЫЗЫВАЕТ ОШИБКУ после обновления до Windows Vista SP1)
Полное имя компьютера: DougLubeyComputerName.mydomain
Плохой пример: отсутствует ".com" после "mydomain".
примечание: старый стиль/старая процедура в нашей сети заключалась в том, чтобы использовать плохой пример, потому что наши компьютеры
неправильное присоединение к домену, если мы использовали полное доменное имя "mydomain.com". Нам пришлось использовать просто
"mydomain" для имени компьютера, в то время как полное доменное имя было выбрано автоматически независимо от того,
мы ввели "mydomain.com" или просто "mydomain".
В любом случае. это было довольно просто исправить. я просто добавляю ".com" в имя компьютера. Не нужно было повторно присоединяться к домену, удалять имена учетных записей компьютеров, редактировать реестр или что-то еще. какое-то 30-секундное исправление.
КОНКРЕТНАЯ ОШИБКА БЫЛА: в базе данных безопасности на сервере нет учетной записи компьютера для этого доверительного отношения рабочей станции.
Дуг Лубей из Луизианы
- Мои сетевые настройки идеальны. xxx.xxx.loc и DNS идеальны
- Установил Vista SP1 (переформатировал мою систему из-за других проблем с Vista - в предыдущей версии Vista Ultimate SP1 этой проблемы не было)
- Я могу присоединиться к домену, но получаю сообщение об ошибке
- У меня нет используемых объектов групповой политики
Моя последняя система Vista нормально работала с пакетом обновления 1 (SP1), а эта — нет. Приятно! Я больше не могу терпеть боль Vista. Я ненавижу говорить это, так как я был таким стойким Microsoft, но это смешно, так что купите компьютер, который работает. она же НЕ Виста
Если кто-то действительно знает, что вызывает это, сообщите мне. спасибо.
Я не уверен, что это сработает с указанными выше проблемами Vista, но я решил свою проблему с терминалом Server 2008, "базу данных безопасности". К счастью, мы наткнулись на настройку учетной записи локальной политики (gpedit.msc) и пришлось добавить группу терминальных пользователей в политику удаленного рабочего стола; или наоборот (забыл, это было пару недель назад). В связи с упомянутыми выше проблемами Vista было бы целесообразно просмотреть различные политики безопасности на стороне сервера вашего домена и убедиться, что у вас есть все соответствующие разрешения, связанные с профилем вашей учетной записи. Удачи!!
Это проблема с Windows Vista при обновлении до SP1.
Повторное присоединение к домену (перерегистрация) может решить проблему.
Нажмите "Компьютер".
Щелкните правой кнопкой мыши Свойства.
В разделе Имя компьютера, домен и настройки рабочей группы-
В разделе переименовать этот компьютер в его домен или
рабочая группа, нажмите "Изменить".
Под участником:
Введите свое доменное имя.
Нажмите "ОК". и перезагрузите систему.
Вы ничего не изменили, но повторная регистрация вашей системы в вашем домене МОЖЕТ решить проблему (так было с моей системой).
Очевидно, что при обновлении ОС, вызвавшей проблему, возникают проблемы.
Как я всегда говорю, если сомневаетесь, перезагрузитесь. Очистка системы таким образом помогает во многих случаях.
У меня возникла аналогичная проблема с нашей фермой Terminal Server 2008: я мог войти в систему, используя учетную запись домена из домена хоста, но при попытке из доверенного домена произошла ошибка, описанная выше.
То, что Microsoft реализовала в SP1 для Vista и Server 2008, было изменением дизайна для решения проблем безопасности, связанных с атакой на более раннюю версию. Таким образом, если тип доверия к домену – NT4, после сбоя проверки подлинности Kerberos не будет выполнено переключение на проверку подлинности NTLM, что приведет к сбою входа в систему с указанным выше сообщением.
После проверки статуса доверия с помощью replmon все отказные домены имели тип DOWNLEVEL, т. е. NT4, перестроение двухсторонних доверительных отношений из контроллера домена Windows 2003 и включение фильтрации SID позволило учетным записям доверенного домена войти в ферму Terminal Server 2008. .
Поэтому проверьте все доверительные отношения домена, особенно если они были установлены до Windows 2000 SP4, и убедитесь, что тип — NT5, т. е. UPLEVEL
Я тоже только что столкнулся с этой проблемой, но что я сделал, я проверил имя своего компьютера/имя хоста в Active Directory, существует ли мое имя хоста, но, к сожалению, оно исчезло. Поэтому я попытался отключить свой компьютер от сети и снова подключиться, и это работает.
Если вы видите имя вашего компьютера/имя хоста в AD при поиске на компьютерах, но все равно появляется ошибка, просто удалите свой компьютер из списка компьютеров AD, а затем попробуйте отключиться и присоединиться к сети.
Моей ОС также является ПК VISTA.
Присоединиться к рабочей группе
войдите как администратор
Изменить имя компьютера
Войти в домен
работает очень хорошо,
у нас есть доменное имя, не совместимое с RFC, из-за владельца компании .
dhcp и dns работают под linux, контроллер домена является подчиненным DNS (все это так глупо, я знаю, но не моя работа!)
поэтому, если я добавлю компьютер Vista Busines в домен, вы сможете войти в систему после первой перезагрузки (без регистрации доменного суффикса), но не после второй перезагрузки, потому что доменный суффикс добавляется позже контроллером домена
Миллион благодарностей!
6 рабочих часов для решения проблемы из-за несовместимых с rfc установок в нашей сети
Попробуйте это на контроллере домена:
A) Пуск > Выполнить > ADSIEDIT.MSC
B) Перейдите в раздел домена и отметьте соответствующий компьютер
C) Щелчок правой кнопкой мыши и свойства.
D) Дважды щелкните ServicePrincipalName
E) Добавьте новое значение: HOST/имя_вашего_компьютера.ваш_домен.xyz или любое другое значение HOST.
В чем причина этих сообщений?
Попробуйте это на контроллере домена:
A) Пуск > Выполнить > ADSIEDIT.MSC
B) Перейдите в раздел домена и отметьте соответствующий компьютер
C) Щелчок правой кнопкой мыши и свойства.
D) Дважды щелкните ServicePrincipalName
E) Добавьте новое значение: HOST/имя_вашего_компьютера.ваш_домен.xyz или любое другое значение HOST.
Это решение сработало и для меня.
Примечание. Проблема возникла, когда основной суффикс DNS был изменен с суффикса домена по умолчанию.
Когда я снова присоединил машину к домену, меня приветствовало сообщение об ошибке "база данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции".
Я также заметил, что при каждой попытке входа в систему с идентификатором домена в журнале появляется ошибка Kerberos. Первоначально я не обращал особого внимания на эту ошибку, но, перепробовав все, что мне говорили люди (включая множественные попытки отсоединения и повторного присоединения к домену), и ничего не получалось, я решил еще немного изучить ошибку Kerberos.
Описание:
Получено сообщение об ошибке Kerberos:
при входе в систему
Время клиента:
Время сервера: 11:28:8.0000 25/6/2008 Z
Код ошибки: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Расширенная ошибка: 0xc0000035 KLIN(0)
Я просмотрел KDC_ERR_S_PRINCIPAL_UNKNOWN и получил ответы по всем направлениям. Там не было быстрых решений. Но ошибка 0xC0000035 обеспечила гораздо более быстрое понимание. 0xC0000035 соответствует символическому имени STATUS_OBJECT_NAME_COLLISION. Это было интересно. где у меня был конфликтующий именованный объект в моей Active Directory?
Эта команда была в упомянутой выше теме и представлена здесь для удобства:
ldifde -f C:\SPNs.txt -t 3268 -d dc=domain,dc=com -l serviceprincipalname -r (serviceprincipalname =*) -p поддерево
Я просмотрела результаты и проверила наличие конфликтующего имени, в данном случае "ustrsctc002" или "ustrsctc002.dct.com"
Несколько лет назад мы проводили бета-тестирование Windows Vista и пересобрали эту машину до версии Vista build 5270, а после проблем с ней пересобрали ее до Server 2003 и забыли отсоединить ее от домена.
Спустя годы старая запись о компьютере Vista Dev Server все еще оставалась в AD. Я смог найти его в ADSI Edit.По сути, у меня было два разных объекта Computer, обладающих одинаковыми значениями servicePrincipalName. Мой машинный объект USTRSCTC002 был правильным:
Но у моего старого Vista Dev Server для servicePrincipalName было следующее:
Насколько я понимаю, Vista SP-1 и Server 2008 больше подходят для Kerberos, чем для NTLM, и будут использовать его, если он доступен. Тем не менее, поскольку это была свежая сборка Server 2008, которая хотела использовать Kerberos, старая компьютерная запись, которая висела вокруг, была крахом. Как только я удалил вызывающий нарушение компьютерный объект (Vista Dev Server), жизнь наладилась. :)
Дэнни Мерфи
Отслеживание удаления учетных записей пользователей и компьютеров Active Directory — важная часть вашего плана ИТ-безопасности. Возможно, в вашей организации есть сотни учетных записей пользователей и компьютеров Active Directory, которыми нужно управлять. Если учетная запись пользователя удалена, это означает, что этому конкретному пользователю запрещен доступ к данным, службам, системам и сетевым ресурсам. Точно так же, если учетная запись компьютера удалена, этот конкретный компьютер не сможет использовать серверные программы. Обычно старые учетные записи пользователей и компьютеров необходимо удалять, чтобы очистить Active Directory и устранить потенциальные угрозы безопасности, но иногда может быть удалена действующая учетная запись пользователя/компьютера, что может помешать нормальной работе ИТ-среды.
Понимаете, почему так важно отслеживать все удаления учетных записей в Active Directory? В этой статье я собираюсь показать вам шаги, которые необходимо предпринять для отслеживания удаления учетных записей пользователей и компьютеров в вашей ИТ-инфраструктуре. Мы рассмотрим как нативные методы, так и использование нашего решения для аудита; Lepide Active Directory Auditor (и вы сами можете решить, какой из них вам больше нравится!).
Шаги по отслеживанию удаления учетных записей пользователей и компьютеров с помощью собственного аудита
Шаг 1. Используйте «Редактирование ADSI», чтобы включить аудит
Чтобы отслеживать удаленные учетные записи пользователей и компьютеров, необходимо включить аудит в интерфейсе службы Active Directory (ADSI). Выполните следующие шаги:
- Введите «ADSIEdit.MSC» в поле «Выполнить» или в «Командной строке». Нажмите клавишу «Enter» и откройте его консоль.
- Щелкните правой кнопкой мыши самый верхний узел на левой панели («Редактирование ADSI»). Рисунок 1. Щелкните правой кнопкой мыши «Редактирование ADSI»
Здесь добавьте запись аудита для пользователей, действия которых вы хотите отслеживать. Если запись аудита уже добавлена, этот шаг можно пропустить.
- "Полный доступ"
- «Список содержания»
- "Читать все свойства"
- "Разрешения на чтение".
Шаг 2. Просмотр событий в средстве просмотра событий
После включения аудита удаленные объекты компьютеров и пользователей будут регистрироваться в средстве просмотра событий. Выполните следующие шаги для просмотра событий:
- Откройте консоль «Просмотр событий» и выберите «Журналы Windows» ➔ «Безопасность».
- Найдите идентификатор события: 4726 (удаление учетной записи пользователя) и 4743 (удаление учетной записи компьютера). Эти идентификаторы событий идентифицируют удаление учетных записей пользователей и компьютеров.
На следующих снимках экрана показан идентификатор события 4726 для удаления учетной записи пользователя.
Можно прокрутить вниз, чтобы просмотреть, какая учетная запись пользователя была удалена.
Рисунок 9. Отображение сведений об удаленном пользователе
Аналогичным образом на следующем снимке экрана с кодом события 4743 показана удаленная учетная запись компьютера.
Рисунок 10: Свойства события — удаление учетной записи компьютера
Можно прокрутить вниз, чтобы просмотреть объект компьютера, который был удален.
Рисунок 11. Отображение сведений об учетной записи удаленного компьютера
Отслеживание удаления учетных записей пользователей и компьютеров с помощью Lepide Active Directory Auditor
Решение Lepide для аудита Active Directory позволяет легко просматривать все изменения, внесенные в объекты Active Directory; включая учетные записи пользователей и компьютеров. Он может давать вам мгновенные оповещения о любых изменениях объектов, что позволяет вам действовать быстрее, чтобы смягчить последствия, которые могут возникнуть.
На следующем снимке экрана показан отчет «Пользователь удален». Вы можете выбрать событие, чтобы глубже изучить кто, что, когда и где произошло изменение. На левой панели вы можете увидеть список всех отчетов об аудите Active Directory, которые могут помочь вам получить полное представление об изменениях, происходящих в вашей AD:
Рисунок 12: Отчет об удалении пользователем
Аналогичным образом на следующих снимках экрана показан отчет «Компьютер удален»:
Рисунок 13: Отчет об удалении компьютера
Lepide Active Directory Auditor (часть Lepide Data Security Platform) — это больше, чем просто решение для аудита, это все, что вам когда-либо понадобится для обнаружения и отмены любых нежелательных или несанкционированных изменений в Active Directory. Решение для аудита Lepide AD помогает извлекать удаленные объекты и отменять изменения, внесенные в измененные объекты. Наше решение регулярно делает снимки резервных копий Active Directory через определенные промежутки времени. Вы можете восстановить удаленные и измененные объекты, включая учетные записи пользователей и учетные записи компьютеров, из этих моментальных снимков, даже если удаленные объекты не находятся в состоянии «захоронения» или «логически удаленного».
Заключение
Надеюсь, я выполнил то, что обещал в начале этой статьи. Это означает, что он показывает вам, как отслеживать удаленные учетные записи пользователей и компьютеров в Active Directory (и, надеюсь, демонстрирует, почему Lepide Active Directory Auditor — лучший способ сделать это). Совершенно очевидно, что собственный аудит создает так много журналов, что администраторам может быть трудно извлечь из них какой-либо смысл. Аудитор Active Directory от Lepide, с другой стороны, представляет собой автоматизированное решение, которое активно проверяет, отслеживает и предупреждает об изменениях в Active Directory и объектах групповой политики. Устройтесь поудобнее и позвольте Lepide Active Directory Auditor сделать всю работу!
Читайте также: