Произошла системная ошибка Windows 10 при проверке отношений доверия
Обновлено: 21.11.2024
Существует два способа управления клиентскими и серверными компьютерами в домашней или бизнес-среде, включая инфраструктуру рабочей группы и домена. Рабочая группа — это децентрализованная сетевая инфраструктура, используемая для домашних сетей и сетей малого бизнеса до 10 машин. Для рабочей группы не требуется выделенный сервер для управления машинами, у каждой машины своя учетная запись пользователя. С другой стороны, доменная инфраструктура — это централизованная сетевая инфраструктура, поддерживающая тысячи машин. Для реализации доменной инфраструктуры вам потребуется приобрести как минимум один сервер, который будет действовать как доменные службы Active Directory и службы доменных имен. После внедрения AD DS и DNS вам потребуется присоединить все машины в сети к вашему домену и создать учетные записи пользователей домена для каждого пользователя. В следующий раз пользователь войдет в систему, используя учетную запись пользователя домена, а не локальную учетную запись пользователя. Использование доменной инфраструктуры дает множество преимуществ, включая централизованное и упрощенное управление, отказоустойчивость, одну учетную запись пользователя для многих служб и другие. Немногие пользователи сообщали о проблемах при входе в домен, включая ошибку: Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом.
Существует семь методов, которые помогут вам решить эту проблему.
Способ 1. Проверка конфигурации DHCP
Добавили ли вы новый сервер DHCP или перенастроили текущий пул DHCP? Если нет, пожалуйста, прочитайте следующий метод. Если да, пожалуйста, продолжайте читать этот метод. Существует два способа назначения IP-адресов узлам в вашей компьютерной сети, включая статическую и динамическую адресацию. Статическая адресация — это ручное назначение IP-адресов вашим машинам, что отнимает гораздо больше времени и снижает производительность ИТ-администратора. Мы рекомендуем вам использовать динамическую адресацию с использованием протокола DHCP (Dynamic Host Computer Protocol). Лучшей практикой является статическая адресация для серверов, хранилищ и сетевых принтеров, а также динамическая адресация для других хостов в сети. Немногие пользователи обнадежили проблему после того, как добавили еще один DHCP-сервер в текущую сеть. Проблема заключалась в неправильном пуле DHCP для хостов в сети. Исходя из этого, мы рекомендуем вам проверить, правильно ли работает DHCP и используете ли вы правильную подсеть. Мы покажем вам, как проверить DHCP на Windows Server 2016 и роутере TP-Link TL-ER6120. Представьте, правильная сеть работает в классе С, 192.168.1.0/24. Итак, приступим.
Во втором примере мы покажем вам, как проверить конфигурацию DHCP на маршрутизаторе TP-Link. Если вы не знаете, как получить доступ к маршрутизатору, прочтите техническую документацию маршрутизатора.
- Откройте интернет-браузер (Google Chrome, Mozilla Firefox, Edge или другой)
- Введите IP-адрес маршрутизатора для доступа к маршрутизатору.
- На вкладке «Сеть» выберите LAN, а затем DHCP, чтобы проверить конфигурацию DHCP. В нашем примере DHCP включен и настроен следующим образом: 192.168.1.100 – 192.168.1.200, что нормально.
- Закрыть край ол>р>
- Войдите в Windows Server, используя учетную запись администратора домена.
- Удерживая логотип Windows, нажмите R
- Введите cmd и нажмите Enter, чтобы открыть командную строку.
- Введите netdom resetpwd /s:server /ud:domain\User /pd:* и нажмите Enter, где s — это имя сервера домена, domain — это имя домена, а User — учетная запись пользователя, которая не может подключиться к контроллеру домена< /li>
- Закрыть командную строку
- Переместить на клиентский компьютер Windows
- Перезагрузите компьютер с Windows.
- Войдите на компьютер Windows, используя учетную запись пользователя домена.
- Наслаждайтесь работой на своем компьютере ол>р>
- Повторно подключите компьютер к домену.
- Восстановить доверие
- Добавить контроллер домена в диспетчер учетных данных
- Сброс учетной записи компьютера
- Войдите на клиентский компьютер с учетной записью локального администратора.
- Нажмите правой кнопкой мыши на этот компьютер и выберите "Свойства".
- Выберите «Дополнительные параметры системы» на левой панели, чтобы открыть окно «Свойства системы».
- Перейдите на вкладку "Имя компьютера".
- Нажмите кнопку "Изменить".
- В окне «Изменения имени компьютера/домена» установите флажок «Рабочая группа» под заголовком «Член» и введите имя рабочей группы.
- Нажмите "ОК" для подтверждения.
- Введите имя и пароль учетной записи с разрешением на удаление этого компьютера из домена.
- Нажмите "ОК" и перезагрузите компьютер, как будет предложено.
- Затем снова войдите на свой компьютер с учетной записью локального администратора и снова перейдите к окну «Изменение имени компьютера/домена».
- На этот раз отметьте Домен в разделе Участник.
- Введите имя домена.
- Нажмите "ОК".
- Теперь введите учетную запись и пароль учетной записи администратора домена.
- Нажмите "ОК" для подтверждения.
- Перезагрузите компьютер.
- Нажмите клавишу Windows + X, чтобы открыть меню опытного пользователя.
- Нажмите A на клавиатуре, чтобы запустить PowerShell в режиме администратора/с повышенными правами.
- В консоли PowerShell введите или скопируйте и вставьте приведенную ниже команду и нажмите Enter:
- Введите имя пользователя и пароль учетной записи администратора домена во всплывающем диалоговом окне входа в систему с запросом учетных данных Windows PowerShell.
- Нажмите "ОК".
- Затем введите или скопируйте и вставьте приведенную ниже команду в окно PowerShell и нажмите Enter:
- После выполнения команды выйдите из PowerShell.
- Перезагрузите компьютер.
- Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить».
- В диалоговом окне "Выполнить" введите control и нажмите Enter, чтобы открыть панель управления.
- Перейдите в раздел "Учетные записи пользователей" > "Диспетчер учетных данных".
- Выберите учетные данные Windows.
- Нажмите Добавить учетные данные Windows.
- В диалоговом окне введите адрес веб-сайта или место в сети и свои учетные данные.
- Нажмите кнопку "ОК", чтобы сохранить изменения.
- Перезагрузите компьютер.
- Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить».
- В диалоговом окне "Выполнить" введите dsa.msc и нажмите Enter, чтобы открыть консоль пользователей и компьютеров Active Directory.
- Дважды щелкните имя домена, чтобы развернуть его.
- Выберите «Компьютер».
- На правой панели щелкните правой кнопкой мыши учетную запись компьютера, которому не удалось подключиться к домену.
- Выберите «Сбросить учетную запись».
- Нажмите "Да", чтобы подтвердить операцию.
- Перезагрузите компьютер.
- Член домена: отключить изменение пароля учетной записи компьютера — отключает запрос на изменение пароля на локальном компьютере;
- Член домена: максимальный срок действия пароля учетной записи компьютера — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию период составляет 30 дней; максимальное значение может быть установлено на 999 дней;
- Контроллер домена: запретить изменение пароля учетной записи компьютера — запрещает изменение пароля на контроллерах домена. Если вы включите эту опцию, то контроллеры будут отклонять запросы от компьютеров на смену пароля.
- Сервер — полное доменное имя любого контроллера домена;
- Учетные данные — пользователь домена (с разрешением на добавление компьютера в домен) или учетная запись администратора домена.
- Сервер — имя любого контроллера домена;
- UserD — имя пользователя с правами администратора домена или делегированными правами;
- PasswordD — пароль администратора.
- Компьютер был восстановлен из старой точки восстановления или моментального снимка (в случае виртуальной машины), созданного до изменения пароля компьютера в AD. Если вы вернете компьютер в предыдущее состояние, он попытается пройти аутентификацию на контроллере домена, используя свой старый пароль. Это наиболее типичная проблема;
- Компьютер с таким же именем был создан в AD, или кто-то сбросил учетную запись компьютера в домене с помощью консоли ADUC ( dsa.msc );
- Учетная запись компьютера в домене отключена администратором (например, во время штатной процедуры отключения неактивных объектов AD);
- Довольно редкий случай, когда системное время на компьютере неправильное. ол>р>
- Сбросить учетную запись компьютера в AD;
- Перенести компьютер из домена в рабочую группу под локальным администратором;
- Перезагрузить
- Вновь присоединить компьютер к домену;
- Перезагрузите компьютер еще раз
- Сервер – это имя любого доступного контроллера домена.
- UserD – это имя пользователя с правами администратора домена или с делегированными правами в подразделении, содержащем учетную запись компьютера.
- ПарольD пароль пользователя
Способ 2. Повторное присоединение к компьютеру из домена
В этом методе вам потребуется повторно подключиться к клиентскому компьютеру из домена. Для этого действия вам необходимо использовать учетную запись администратора домена, у которой есть разрешение на внесение изменений, таких как присоединение или повторное присоединение к машине из домена. Мы покажем вам, как присоединиться к Windows 10 Pro из Windows Server 2016 Standard. Эта же процедура совместима с другими клиентскими и серверными операционными системами, включая клиентские операционные системы от Windows XP до Windows 8 и серверные операционные системы от Windows Server 2003 до Windows Server 2012 R2.
Способ 3. Восстановление доверия с помощью PowerShell
В этом методе мы восстановим доверие между контроллером домена и клиентом с помощью PowerShell. Вам потребуется войти в систему, используя учетную запись локального администратора.
Способ 4. Добавьте контроллер домена в Credential Manager
В этом методе вы будете использовать диспетчер учетных данных, где вы добавите учетную запись контроллера домена в учетные данные Windows. Мы покажем вам, как это сделать в Windows 10.
Способ 5. Используйте Netdom.exe для сброса пароля учетной записи компьютера
Этот метод совместим с Windows Server 2003 и Windows Server 2008 R2. Если вы используете более новую версию серверной операционной системы, ознакомьтесь со следующим методом. Мы покажем вам, как сбросить пароль учетной записи компьютера в Windows Server 2008 R2.
Способ 6: сброс учетной записи компьютера
В этом методе вам потребуется сбросить учетную запись компьютера с помощью инструмента «Пользователи и компьютеры Active Directory», который интегрирован в серверы с ролью доменных служб Active Directory. Процедура проста и совместима с серверными операционными системами от Windows Server 2003 до Windows Server 2016.
Способ 7. Восстановление системы
Мы так много говорили о восстановлении системы, потому что оно много раз помогало нам в устранении неполадок с системой или приложением. Также восстановление системы может помочь вам решить проблему с возвратом вашей системы в предыдущее состояние, когда все работало правильно. Обратите внимание, что вы не можете восстановить предыдущее состояние компьютера с Windows, если функция восстановления системы отключена. Прочтите, как выполнить восстановление системы.
Если при попытке войти на компьютер под управлением Windows 10 в среде домена вы получаете сообщение об ошибке. Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом, то этот пост предназначен для того, чтобы помочь вам с наиболее подходящее решение для решения проблемы.
Эта ошибка возникает из-за «несоответствия пароля». В средах Active Directory у каждой учетной записи компьютера также есть внутренний пароль. Если копия пароля учетной записи компьютера, хранящаяся на рядовом сервере, не синхронизируется с копией пароля, хранящейся на контроллере домена, отношения доверия будут нарушены. сломан в результате.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
Давайте взглянем на описание процесса, связанного с каждым из перечисленных решений.
1] Повторно подключите компьютер к домену
Это решение, рекомендованное корпорацией Майкрософт, требует, чтобы вы просто повторно подключили компьютер, который не смог войти в систему, к домену.
При загрузке вы можете успешно войти в свою учетную запись пользователя домена.
2] Восстановить доверие
Для этого решения требуется повторно установить доверительные отношения между контроллером домена и клиентом, чтобы устранить неудавшуюся проблему доверительных отношений между этой рабочей станцией и основным доменом. Вот как:
Теперь вы можете использовать учетную запись пользователя домена, чтобы войти на свое устройство и проверить, устранена ли проблема.
3] Добавить контроллер домена в диспетчер учетных данных
Это решение требует, чтобы вы просто добавили контроллер домена в Credential Manager.
Теперь вы сможете без проблем войти на свой компьютер в среде домена.
4] Сброс учетной записи компьютера
Для этого решения требуется сбросить учетную запись компьютера, который выдает сообщение об ошибке.
Надеюсь, это поможет!
Дата: 22 мая 2021 г. Метки: сервер
Похожие сообщения
Пользователи и компьютеры Active Directory не отвечают
Различия функций Windows Server 2022, 2019 и 2016
Лучшее бесплатное ПО для резервного копирования для Windows Server
сообщить об этом объявлении
[электронная почта защищена]
Обинна Онвусобалу изучала информационные и коммуникационные технологии и активно следит за экосистемой Windows. Он руководит клиникой компьютерного программного обеспечения. Он говорит, что лучше всего создать точку восстановления системы, прежде чем вносить какие-либо изменения в свой компьютер.
В этой статье мы обсудим причины ошибки доверительного отношения. В этом руководстве рассматриваются возможные решения по восстановлению безопасного канала между рабочей станцией и доменом Active Directory.
В каком случае вы можете столкнуться с этой ошибкой? Например, когда пользователь пытается войти на рабочую станцию или сервер с учетными данными учетной записи домена. После ввода логина и пароля появляется окно (с сообщением об ошибке):
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
Или ошибка выглядит следующим образом:
В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции
В то же время события с EventID 5719 с исходным NETLOGON отображаются в разделе "Система" средства просмотра событий:
Этому компьютеру не удалось установить безопасный сеанс с контроллером домена в домене «» по следующим причинам:
В настоящее время нет доступных серверов входа для обслуживания запроса на вход. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена.ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
Если этот компьютер является контроллером домена для указанного домена, он устанавливает безопасный сеанс для эмулятора основного контроллера домена в указанный домен. В противном случае этот компьютер устанавливает безопасный сеанс с любым контроллером домена в указанном домене.
Также в разделе "Система" средства просмотра событий можно найти ошибку с идентификатором события 3210 из источника NETLOGON:
Этому компьютеру не удалось аутентифицироваться с помощью \\ny-dc01 контроллера домена Windows для домена THEITBROS, поэтому этот компьютер может отклонять запросы на вход.Эта невозможность аутентификации может быть вызвана тем, что другой компьютер в той же сети использует то же имя или пароль для этой учетной записи компьютера не распознан. Если это сообщение появится снова, обратитесь к системному администратору.
Попробуем разобраться, что означает эта ошибка и как ее исправить.
Пароль учетной записи компьютера Active Directory
Когда вы присоединяете компьютер к домену Active Directory, для вашего устройства создается новая учетная запись компьютера и для нее устанавливается пароль (как и для пользователей AD). Доверительные отношения на этом уровне обеспечиваются тем, что присоединение к домену осуществляется администратором домена. Или другой пользователь с делегированными правами администратора выполнил присоединение.
Каждый раз, когда компьютер домена входит в домен AD, он устанавливает безопасный канал с ближайшим контроллером домена (переменная среды %logonserver%). DC проверяет учетные данные компьютера. В этом случае между рабочей станцией и доменом устанавливается доверие. Дальнейшее взаимодействие происходит в соответствии с политиками безопасности, определенными администратором.
Пароль учетной записи компьютера действителен в течение 30 дней (по умолчанию), а затем меняется. Вы должны иметь в виду, что компьютер меняет пароль в соответствии с настроенной групповой политикой домена. Это похоже на процесс смены пароля пользователя.
Совет. Максимальный срок действия пароля учетной записи для компьютеров домена можно настроить с помощью параметра GPO Член домена: Максимальный срок действия пароля учетной записи компьютера. Он находится в следующем разделе редактора групповой политики: Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности. Вы можете указать количество дней от 0 до 999 (по умолчанию 30 дней).
Вы можете настроить политику паролей учетной записи компьютера для одного компьютера через реестр.
Для этого запустите regedit.exe и перейдите в раздел реестра HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Отредактируйте параметр MaximumPasswordAge и установите максимальное время действия пароля компьютера в домене (в днях).
Другой вариант — полностью отключить смену пароля учетной записи компьютера. Для этого установите для параметра DisablePasswordChange REG_DWORD значение 1. Хотя это решение не рекомендуется для производственных сред и допустимо только для тестовых стендов.
Вы также можете изменить параметры смены пароля компьютера для домена с помощью групповой политики. Параметры для изменения паролей учетных записей компьютеров находятся в разделе: Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности. Нас интересуют следующие параметры:
Домен Active Directory хранит текущий пароль компьютера, а также предыдущий. Если пароль был изменен дважды, компьютер, использующий старый пароль, не сможет пройти аутентификацию на контроллере домена. Он не установит безопасный канал подключения.
Срок действия паролей учетных записей компьютеров в Active Directory не ограничен. Это происходит потому, что политика паролей домена не применяется к объектам AD Computer. Ваш компьютер может использовать службу NETLOGON для смены пароля при следующем входе в домен. Это возможно, если его пароль старше 30 дней. Обратите внимание, что паролем локального компьютера управляет не AD, а сам компьютер.
Компьютер пытается изменить свой пароль на контроллере домена. Только после успешного изменения он обновляет свой локальный пароль.Локальная копия пароля хранится в разделе реестра HKLM\SECURITY\Policy\Secrets$machine.ACC).
Вы можете просмотреть время установки последнего пароля для учетной записи объекта компьютера в домене AD с помощью командлета PowerShell Get-ADComputer. Это можно сделать из модуля AD Windows PowerShell. Запустите команду с именем компьютера:
Поэтому, даже если вы не включали компьютер в течение нескольких месяцев, доверительные отношения между компьютером и доменом сохранятся. В этом случае пароль компьютера будет изменен при первой регистрации вашей рабочей станции в домене.
Доверительные отношения разрываются, когда компьютер пытается пройти аутентификацию в домене с неверным паролем.
В чем причина ошибки «Сбой доверительных отношений между этой рабочей станцией и основным доменом»?
Эта ошибка указывает на то, что этот компьютер больше не является доверенным. Пароль локального компьютера не совпадает с паролем объекта этого компьютера, хранящимся в базе данных AD.
Доверительные отношения могут не установиться, если компьютер попытается пройти аутентификацию в домене с неверным паролем. Обычно это происходит после переустановки Windows. Кроме того, при восстановлении состояния системы из резервной копии образа (или SystemState), моментального снимка виртуальной машины или при выполнении клонирования компьютера без запуска файла Sysprep. В этом случае текущее значение пароля на локальном компьютере и пароль, сохраненный для объекта-компьютера в домене AD, будут отличаться.
Как проверить защищенный канал между рабочей станцией и основным доменом?
Вы можете проверить, синхронизирован ли локальный пароль компьютера с паролем учетной записи компьютера в контролируемом домене. Для этого войдите на компьютер под учетной записью локального администратора (. ), запустите консоль PowerShell и выполните командлет Test-ComputerSecureChannel. Вы можете использовать простую форму:
Или вы можете добавить параметр переключателя –Verbose:
Подсказка. Если вы не можете войти в свой компьютер, используя учетную запись домена, попробуйте временно отключить сетевой кабель. В этом случае вы сможете войти на компьютер под кэшированными учетными данными пользователя AD. Повторно подключите сетевой кабель после входа в систему с кэшированными учетными данными.
Исправление доверительных отношений путем повторного присоединения к домену
Прежде всего откройте оснастку "Пользователи и компьютеры Active Directory" (ADUC). Убедитесь, что учетная запись проблемного компьютера присутствует в домене и не отключена.
Самый очевидный старый способ восстановить доверительные отношения вашего компьютера в домене:
Этот способ самый простой, но не самый быстрый и удобный — требует многократных перезагрузок. Также известны случаи, когда после повторного присоединения компьютера к домену локальные профили пользователей переподключаются некорректно.
Кроме того, вы можете отсоединить компьютер от домена AD и снова присоединить его к домену AD с помощью WMI. Используйте следующий сценарий PowerShell:
Совет. Вы также можете решить эту проблему, удалив учетную запись компьютера в Active Directory и создав ее заново без пароля.
Мы покажем, как восстановить доверительные отношения и восстановить безопасный канал без повторного присоединения к домену и перезагрузки!
Кроме того, вы можете использовать PowerShell для отключения и присоединения вашего компьютера к домену AD. Используйте следующие встроенные командлеты PowerShell: Remove-Computer и Add-Computer.
Чтобы отключить устройство от домена и принудительно перезапустить хост, выполните команду:
Это предполагает, что вы знаете учетные данные локальной учетной записи пользователя из встроенной группы администраторов.
Затем войдите под учетной записью локального администратора и присоедините хост Windows к Active Directory:
Важно убедиться, что разница во времени между контроллером домена и клиентским компьютером не превышает 5 минут. Чтобы настроить синхронизацию времени в домене, прочитайте статью Настройка NTP в Windows с помощью GPO.
Ваш компьютер не может установить доверительные отношения с контроллером домена, если время на вашем устройстве отличается от времени на контроллере домена, прошедшем проверку подлинности, более чем на 5 минут.
Проверьте средство просмотра событий на наличие события с идентификатором 130 из источника Time-Service:
NtpClient не удалось установить одноранговый домен для использования в качестве источника времени из-за сбоя в установлении доверительных отношений между этим компьютером и доменом « » для безопасной синхронизации времени. NtpClient повторит попытку через 15 минут и удвоит интервал повторных попыток после этого. Ошибка была следующей: не удалось установить доверительные отношения между этой рабочей станцией и основным доменом. (0x800706FD)
Проверьте источник службы Window Time с помощью команды:
Если вы получаете время по локальным часам CMOS (BIOS), убедитесь, что время на компьютере совпадает со временем на контроллере домена.
Используйте следующее руководство для проверки и синхронизации с DC.
Reset-ComputerMachinePassword: как исправить сбой доверительных отношений с PowerShell?
Проверьте, не была ли удалена учетная запись вашего компьютера из Active Directory:
Если учетной записи компьютера не существует, создайте ее на контроллере домена с помощью команды:
Вы можете сбросить пароль компьютера с помощью командлета PowerShell Reset-ComputerMachinePassword.
Совет. Командлет PowerShell Reset-ComputerMachinePassword изменяет пароль учетной записи, которую компьютеры используют для проверки подлинности на контроллерах домена. Этот командлет можно использовать для сброса пароля локального компьютера.
Это самый быстрый и удобный способ сбросить пароль компьютера, не требующий перезагрузки. В отличие от утилиты Netdom, PowerShell 3.0 или новее доступен для всех ОС Microsoft, начиная с Windows 8/Server 2012. Вы можете установить его вручную (см. здесь) в Windows 7, Server 2008 и Server 2008 R2 (также требуется Net Framework 4.0 или выше).
Подсказка. Командлеты Reset-ComputerMachinePassword и Test-ComputerSecureChannel недоступны в PowerShell Core 6.0 и 7.x из-за использования неподдерживаемых API.
Если вы хотите восстановить доверительные отношения под локальным администратором, запустите консоль PowerShell с повышенными правами. Выполните эту команду:
Появится окно учетных данных, и вы должны ввести пароль учетной записи домена.
Командлет не отображает никаких сообщений об успешном выполнении, поэтому просто повторно войдите в систему под учетной записью домена. Перезагрузка не требуется.
Если вы получили сообщение об ошибке Сервер RPC недоступен или Не удалось связаться с контроллером домена Active Directory (AD DC) для домена, попробуйте запустить командлет Reset-ComputerMachinePassword. Проверьте настройки DNS на своем компьютере и зоны DNS, следуя руководству. Не удалось связаться с контроллером домена Active Directory.
Совет. Вы также можете восстановить безопасный канал между компьютером и доменом Active Directory с помощью командлета PowerShell Test-ComputerSecureChannel:
Использование Netdom resetpwd для исправления сбоя доверительных отношений без перезагрузки
Вы можете найти утилиту Netdom в Windows Server, начиная с версии 2008. Его можно установить на ПК клиента в составе пакета RSAT (Remote Server Administration Tools). Метод быстрый и эффективный. Чтобы использовать его, войдите в целевую систему с учетными данными локального администратора (. ) (введя «.Administrator» в окне входа), откройте командную строку cmd.exe с повышенными привилегиями и выполните следующую команду:
После успешного выполнения этой команды перезагрузка не требуется. Просто выйдите из локальной учетной записи и войдите под учетными данными домена.
Вы можете проверить безопасное соединение с доменом AD с помощью Netdom с помощью следующей команды:
Этот метод работает не всегда. Не всегда возможно авторизоваться на контроллере домена под учетной записью администратора с компьютера с нарушенными доверительными отношениями.
Сбросить безопасный канал Active Directory и пароль компьютера с помощью NLTEST
Кроме того, вы можете сбросить пароль компьютера в домене и безопасном канале с помощью встроенного инструмента Nltest:
Эта команда попытается восстановить безопасный канал, сбросив пароль как на локальном компьютере, так и на компьютере домена. Не требуется повторное присоединение к домену или перезагрузка.
Netdom и Reset-ComputerMachinePassword позволяют указать учетные данные пользователя. Но Nltest работает в контексте текущего пользователя.Соответственно, если вы зайдете на компьютер под локальной учетной записью и попытаетесь выполнить команду, вы получите ошибку отказа в доступе. Из-за этого метод работает не всегда.
Вы можете проверить, успешно ли восстановлен безопасный канал, с помощью следующей команды:
Следующие строки подтверждают восстановление доверительных отношений:
Исправление: в базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции
При появлении ошибки «В базе данных безопасности на сервере нет учетной записи компьютера для доверительных отношений этой рабочей станции» необходимо проверить журналы ошибок контроллера домена на наличие события с идентификатором 2974:
Предоставленное значение атрибута не является уникальным в лесу или разделе. Атрибут: servicePrincipalName Value=TERMSRV/PDC
CN=PC1,OU=Computers,DC=theitbros,DC=com Winerror: 8647
Эта проблема указывает на то, что атрибут учетной записи компьютера SPN (имя субъекта-службы) в AD заполнен неправильно. Также проверьте, есть ли в домене несколько компьютеров с одинаковым значением атрибута servicePrincipalName.
Найдите проблемный объект компьютера в консоли ADUC. Перейдите на вкладку Редактор атрибутов и проверьте значение атрибута servicePrincipalName.
Убедитесь, что объект вашего компьютера имеет заполненное значение свойства SPN в следующем формате:
Вы можете скопировать полное доменное имя (полное доменное имя) компьютера из атрибута dNSHostName. Если эти записи имени участника-службы отсутствуют, их необходимо создать вручную.
Теперь перезагрузите компьютер и попробуйте войти под учетными данными домена.
Повторяющиеся имена SPN в домене можно найти с помощью утилиты ldifde:
Как видите, решить проблему с доверительными отношениями в домене довольно просто! Надеюсь, это было полезно для вас!
Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.
В этой статье мы покажем, как исправить нарушенные доверительные отношения между рабочей станцией и доменом Active Directory, когда пользователь не может войти на свой доменный компьютер. Давайте рассмотрим основную причину проблемы и простой способ восстановить доверие между компьютером и контроллером домена по защищенному каналу без перезагрузки компьютера и повторного присоединения к домену.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом.
Проблема проявляется, когда пользователь пытается войти на рабочую станцию или рядовой сервер, используя учетные данные домена, и после ввода пароля возникает следующая ошибка:
Ошибка также может выглядеть следующим образом:
Пароль учетной записи компьютера (компьютера) в домене Active Directory
Когда компьютер присоединяется к домену Active Directory, для него создается отдельная учетная запись компьютера. Как и у пользователей, у каждого компьютера есть свой пароль для аутентификации компьютера в домене и установления доверенного соединения с контроллером домена. Однако, в отличие от паролей пользователей, пароли компьютеров устанавливаются и изменяются автоматически.
Вот некоторые важные сведения о паролях учетных записей компьютеров в AD:
-
Пароли компьютеров в AD необходимо регулярно менять (по умолчанию раз в 30 дней).
Совет. Вы можете настроить максимальный срок действия пароля компьютера с помощью члена домена: политика максимального срока действия пароля учетной записи компьютера, расположенная в разделе «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Параметры безопасности». Срок действия пароля компьютера может составлять от 0 до 999 дней (по умолчанию 30 дней);
Даже если компьютер был выключен в течение 30 или более дней, вы можете включить его, и он будет аутентифицирован на вашем контроллере домена со своим старым паролем. Затем локальная служба Netlogon изменит пароль компьютера в своей локальной базе данных (пароль хранится в реестре HKLM\SECURITY\Policy\Secrets\$machine.ACC ), а затем обновит пароль учетной записи компьютера в Active Directory. р>
Если хэш пароля, который компьютер отправляет на контроллер домена, не совпадает с паролем учетной записи компьютера в базе данных AD, компьютер не может установить безопасное соединение с контроллером домена и возвращает ошибки доверенного соединения.
Почему возникает проблема:
Вот классический способ восстановить доверительные отношения между компьютером и доменом:
Способ кажется простым, но он слишком топорный, требует минимум двух перезагрузок компьютера и занимает 10-30 минут. Также вы можете столкнуться с проблемами при использовании старых локальных профилей пользователей.
Существует более разумный способ восстановить доверительные отношения с помощью PowerShell без повторного присоединения к домену или перезагрузки компьютера.
Проверить и восстановить доверительные отношения между компьютером и доменом с помощью PowerShell
Если вы не можете пройти аутентификацию на компьютере под учетной записью домена и появляется следующая ошибка: Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом, вам необходимо войти на компьютер с помощью локального администратора. учетная запись. Вы также можете отключить сетевой кабель и пройти аутентификацию на компьютере с учетной записью домена, недавно вошедшей на компьютер, используя кэшированные учетные данные.
Откройте консоль PowerShell с повышенными правами и с помощью командлета Test-ComputerSecureChannel убедитесь, что пароль локального компьютера совпадает с паролем, хранящимся в AD.
Чтобы принудительно сбросить пароль учетной записи компьютера в AD, выполните следующую команду:
Test-ComputerSecureChannel –Repair –Credential (Get-Credential)
Чтобы сбросить пароль, введите учетные данные учетной записи пользователя, имеющей право на сброс пароля учетной записи компьютера. Пользователю должны быть делегированы права на управление компьютерами в Active Directory (вы также можете использовать члена группы администраторов домена).
Значит, пароль компьютера был сброшен без перезагрузки или повторного присоединения к домену вручную. Теперь вы можете войти на компьютер, используя учетную запись домена.
Следует сбрасывать пароль компьютера каждый раз перед созданием снимка виртуальной машины или точки восстановления компьютера. Вам будет проще вернуться к предыдущему состоянию компьютера.
Если у вас есть среда разработки или тестирования, где вам часто приходится восстанавливать предыдущее состояние ВМ из моментального снимка, вы можете отключить изменение пароля в домене для этих компьютеров с помощью GPO. Для этого установите для члена домена политику «Отключить изменение пароля учетной записи компьютера», расположенную в разделе «Конфигурация компьютера» -> «Политики» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Параметры безопасности». Вы можете нацелить политику на подразделение с тестовыми компьютерами или использовать фильтры GPO WMI.
С помощью командлета Get-ADComputer (из модуля Active Directory для Windows PowerShell) можно проверить дату последней смены пароля компьютера в AD:
Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet
Командлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword доступны, начиная с версии PowerShell 3.0. Вам потребуется обновить версию PowerShell в Windows 7/Windows Server 2008 R2.
Вы также можете проверить наличие защищенного канала между компьютером и контроллером домена с помощью этой команды:
Следующие строки подтверждают, что доверие было успешно восстановлено:
Восстановление доверия к домену с помощью Netdom
В Windows 7/2008R2 и в предыдущих версиях Windows без PowerShell 3.0 нельзя использовать командлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword для сброса пароля компьютера и восстановления доверительных отношений с доменом. В этом случае используйте инструменты netdom.exe для восстановления безопасного канала с контроллером домена.
Netdom входит в состав Windows Server 2008 или более поздней версии и может быть установлен на компьютеры пользователей с помощью RSAT (инструментов удаленного администрирования сервера). Чтобы восстановить доверительные отношения, войдите в систему с учетными данными локального администратора (введя .\Administrator на экране входа) и выполните следующую команду:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd
После выполнения команды вам не нужно перезагружать компьютер: просто выйдите из системы и войдите снова, используя свою доменную учетную запись.
Как видите, восстановить доверие между компьютером и доменом довольно просто.
Читайте также: