web-dev-qa-db-ja.com

コンピューターをドメインに再参加させる

ドメインのメンバーであったWindows 7 PCに問題があります。ドメイン資格情報でこのPCにログオンしようとすると、次のようなメッセージが表示されます

The trust relationship between this workstation and the primary domain could not be established.

次に、ドメイン内のPCのメンバーシップを再確立する必要があります。しかし、ログオンできないので、コンピューター名もドメインメンバーシップも変更できません。

  • PCとドメインを再信頼するにはどうすればよいですか?
  • ドメインコントローラーコンソールからメンバーシップを追加または更新できますか?

編集

ログオンに使用できるアクティブなローカルアカウントがマシンにありません。

windowsdomainactive-directory
18
harper

PCの管理者権限とDCを変更する権限がある場合にのみ、PCを追加できます。

したがって、PCで管理者パスワードをリセットする必要があります。このタスクを実行する1つの方法は、インストールDVDを使用して、修復コンソールを使用することです。これにより、完全な制御を取り戻すことができます。

2
harper

このトリックは、私のActive Directory研究グループを介して行われます。誰もがユーザーグループや研究グループに参加することをお勧めします。 ADを知らないということではなく、新しい機能を忘れたり、見逃したりすることです。復習コースも楽しいです。

ときどき、コンピュータがドメインから「分離」されます。症状は、ネットワークに接続したときにコンピューターがログインできない、コンピューターアカウントの有効期限が切れている、ドメイン証明書が無効であるなどのメッセージである可能性があります。これらはすべて同じ問題に起因し、コンピューター間の安全なチャネルそしてドメインはホースです。 (それは専門用語です。スマイル)

この問題を修正する古典的な方法は、ドメインへの参加を解除して再度参加させることです。再起動が数回必要であり、ユーザープロファイルが常に再接続されるとは限らないため、これを行うのは一種の苦痛です。羊。さらに、そのコンピューターがグループに属しているか、特定のアクセス許可が割り当てられている場合は、コンピューターに新しいSIDが割り当てられているため、ADはそのコンピューターを同じマシンとして認識しなくなりました。保持している優れたドキュメントからそれらすべてを再作成する必要があります。ええと、あなたの優れたドキュメント。ダブル羊。

その代わりに、安全なチャネルをリセットすることができます。これにはいくつかの方法があります。

  1. ADでコンピューターを右クリックし、[アカウントのリセット]を選択します。
    その後、コンピュータをドメインに参加させずに、再参加します。
    再起動が必要です。
  2. 管理者特権のコマンドプロンプトで次のように入力します:dsmod computer "ComputerDN" -reset
    その後、コンピュータをドメインに参加させずに、再参加します。
    再起動が必要です。
  3. 管理者特権のコマンドプロンプトで次のように入力します:netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    資格情報を提供したアカウントは、ローカル管理者グループのメンバーである必要があります。
    再参加する必要はありません。リブートなし。
  4. 昇格コマンドのプロンプトで次のように入力します:nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    再参加する必要はありません。リブートなし。
9
Ahmed Raza

クライアント側からこの問題との戦いをやめます。ドメインにログインできない場合は、有効なローカルアカウントでログインするか、ブートCDを使用して有効にする必要があります。

Active Directoryユーザーとコンピューターからマシンを削除してみてください。サーバーの管理ツールにあるはずです。コンピューターを含むOU(組織単位)を開きます。コンピュータを見つけて右クリックし、削除を押します。

enter image description here

使用しているDCの数によっては、忍耐力を損なうことはなく、レプリケーションを実行するだけでもかまいません。ドメインが非常に単純な場合(サイトがなく、DCが2つしかない場合)、repadmin /replicateを使用してレプリケーションを強制できます。 これを読んでください 行う前に。

次に、AD UCを使用してPCを再度追加し、複製を待つか、強制的に実行します。

それでも不平を言うなら、netdom /removeを試して( man page here )、それがドメインから外れるかどうかを確認してください。それで問題がある場合は、 この質問 を参照してください。これは異なるシナリオですが、基本的には同じ概念です。DCに接続できないときにドメインからコンピューターを削除しようとすることです。

5
Tanner Faulkner

そのマシンにローカルな資格情報を使用してログインする必要がある場合があります。 OSを最初にインストールしたときに、ローカルアカウントが設定されています。

コンピュータ名をドメインとして使用して、そのアカウントでログインします(例:MYCOMP\JSmith)。通常、ローカルマシンの管理者アカウントは存在しますが、デフォルトでは無効になっています。

ローカルユーザーとしてログインすると、ドメインを離れて、再び参加できるようになります。

4
Rich G

Server 2008 R2以降、タスクは非常に簡単です。これで_Test-ComputerSecureChannel_コマンドレットを使用できます。

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Screen Shot

実際の修復を実行するには、_-Repair_パラメータを追加します。コンピューターをドメインに参加させる権限があるアカウントの資格情報を使用します。

参照:

https://msdn.Microsoft.com/en-us/powershell/reference/3.0/Microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

-編集-

このために使用できるローカル管理者アカウントがない場合は、よく知られている Sticky Keys ハックを使用してアカウントを作成(または無効な組み込み管理者アカウントを有効化)できます。

忘れた管理者パスワードをリセットするには、次の手順に従います。

  1. Windows PEまたはWindows REから起動し、コマンドプロンプトにアクセスします。
  2. Windowsがインストールされているパーティションのドライブ文字を見つけます。 VistaとWindows XPでは、通常、C:です。Windows7では、最初のパーティションにスタートアップ修復が含まれているため、ほとんどの場合D:です。ドライブ文字を見つけるには、C:(またはD :)と入力して、Windowsフォルダーを検索します。 Windows PE(RE)は通常X:上にあることに注意してください。このデモでは、WindowsがドライブCにインストールされていると仮定します。
  3. 次のコマンドを入力します。_copy C:\Windows\System32\sethc.exe C:\_これにより、後で復元するためにsethc.exeのコピーが作成されます。
  4. 次のコマンドを入力して、sethc.exeをcmd.exeに置き換えます。_copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe_コンピューターを再起動して、管理者パスワードのないWindowsインスタンスを実行します。
  5. ログオン画面が表示されたら、Shiftキーを5回押します。
  6. コマンドプロンプトが表示され、次のコマンドを入力してWindowsパスワードをリセットできます。_Net User [username] [password]_ユーザー名がわからない場合は、_Net User_と入力して、使用可能なユーザー名を一覧表示します。
  7. これで、新しいパスワードでログオンできます。

既存のアカウントのパスワードをリセットするのではなく、デフォルトで無効になっているビルトインAdministratorアカウントを有効にする場合、コマンドは次のとおりです。

  1. _Net User administrator /active:yes_。

新しいアカウントを作成してローカルのAdministratorsグループに追加する場合、 コマンドシーケンス は次のようになります。

  1. _Net User /add [username] [password]_
  2. _net localgroup administrators [username] /add_
4
InteXX

PC /サーバーの信頼の問題がある場合(復元後、DCで再作成するなど)の唯一の解決策は、復元せずに解決することです!

すべてのNICを無効にして、ログオンDCとの信頼関係を確認できないようにします。次に、以前にログインした、つまりキャッシュされた資格情報を利用するために、以前にログインした管理者レベルのドメインアカウント(ローカルのPC管理者グループに存在する必要があります)でログインします。私の問題は、W7 VMを製品からテストラボに移動し、信頼が壊れることを予期していましたが、ローカルの管理者/ユーザーアカウント、または「古いドメイン」のキャッシュされた資格情報。

NICを無効にし、資格情報がキャッシュされたら、netdom joinを使用してドメインに再参加できます。

キャッシュされた資格情報の試行が不足した場合(ローカルOSポリシー/ GPO-最大50に依存)によって)、システムを前の日に復元します。これも機能します。

1
reg one

  1. ネットワークケーブルを切断し、影響を受けるワークステーションにログインします(資格情報のキャッシュによりこれが可能になります)。これを行った後、ネットワークケーブルを再接続します。

  2. ここからMicrosoftからリモートサーバー管理ツール(RSAT)パッケージをダウンロードします。 http://www.Microsoft.com/en-us/download/details.aspx?id=7887 (適切な32サーバーではなく、ワークステーションのオペレーティングシステムに応じたビットまたは64ビットバージョン)

  3. ダウンロードしたパッケージをインストールします。クリーンブートモードを使用するまでは問題が発生したため、クリーンブートの構成後にワークステーションを再起動しなければならない場合があります。これは、このプロセスの後で取り消すことができます。

  4. RSATをインストールしても、RSATが自動的に使用可能になるわけではありません。 [コントロールパネル]-> [プログラム]-> [Windowsの機能の追加と削除]に移動し、リモートサーバー管理ツールを探します。これを展開し、AD/AS /コマンドラインにドリルダウンして有効にします。

  5. 管理者としてコマンドウィンドウを開き、次のコマンドを入力します。

NETDOM.EXE resetpwd/s :(サーバー)/ ud :(ユーザー名)/ pd:*

ここで、(server)はドメインサーバーのNetbios名、(username)は影響を受けるワークステーションのログインアカウントで、DOMAIN\Usernameの形式です。

それでおしまい。これを実行した後、すべてがワークステーションで通常に戻りました。

0
user473120

最初に管理者(コンピュータ名\ Administrator)でログインしてから、ドメインをワークグループに参加解除してから再起動します。これで、PCがローカルアカウントとしてWorkGrupに追加されました。もう一度ドメインに参加してみます。(マイコンピュータを右クリックして、[プロパティ]-> [変更]-> [ドメイン]-> [Ex Fu-com.com]を選択します。次に、サーバーの管理者パスワードとして入力し、ユーザー名を管理者として入力してから、パスワードを入力します。次に、コンピュータを再起動します。これで、コンピュータはドメイン内にあり、ユーザーIDとパスワードを使用してログインしようとします。

0
Ahmed Raza