コンピュータをドメインに再参加させる


14

ドメインのメンバーだったWindows 7 PCに問題があります。ドメインの認証情報を使用してこのPCにログオンしようとすると、次のようなメッセージが表示されます。

The trust relationship between this workstation and the primary domain could not be established.

今、私はドメイン内のPCのメンバーシップを再確立する必要があります。しかし、ログオンできないので、コンピューター名もドメインメンバーシップも変更できません。

  • PCとドメインを再信頼するにはどうすればよいですか。
  • ドメインコントローラコンソールからメンバシップを追加または更新できますか?

編集する

ログオンに使用できる、アクティブなローカルアカウントがコンピュータにありません。


AD UCにアクセスできますか?
Tanner Faulkner

何へのアクセス?私は仮定:AD =アクティブディレクトリUC =?しかし:はい、私はドメインに対する管理者権限を持っています。
harper

回答:


6

このトリックは私のActive Directory研究グループを経由するようになります。誰もがユーザーグループや研究グループに参加することをお勧めします。 ADを知らないというわけではありません。新しい機能を忘れたり、見逃したりするのです。リフレッシュコースも楽しいです。

時折、コンピュータがドメインから「分離」されます。症状は、ネットワークに接続したときにコンピュータがログインできない、コンピュータアカウントが期限切れになった、ドメイン証明書が無効であるなどのメッセージである可能性があります。これらはすべて同じ問題によるものです。そしてドメインは詮索されます。 (それは専門用語です。笑)

この問題を解決するための古典的な方法は、ドメインへの参加を解除して再参加させることです。再起動が数回必要になり、ユーザープロファイルが常に再接続されるとは限らないため、そうするのは少し面倒です。エウェ。さらに、そのコンピュータを任意のグループに所属させたり、特定のアクセス許可を割り当てたりした場合、そのコンピュータは新しいSIDを持っているので削除され、ADでは同じコンピュータとして認識されなくなります。あなたはあなたが保存してきた優れたドキュメンテーションからそれらすべてのものを作り直さなければならないでしょう。ええと、あなたの優れたドキュメント。ダブルエウェ。

その代わりに、セキュアチャネルをリセットするだけです。これを行う方法はいくつかあります。

  1. ADでコンピュータを右クリックし、[アカウントのリセット]を選択します。
    その後、コンピュータをドメインに参加解除せずに再参加します。
    再起動が必要です。
  2. 昇格したコマンドプロンプトで次のように入力します。 dsmod computer "ComputerDN" -reset
    その後、コンピュータをドメインに参加解除せずに再参加します。
    再起動が必要です。
  3. 昇格したコマンドプロンプトで次のように入力します。 netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    資格情報を提供したアカウントは、Local Administratorsグループのメンバーである必要があります。
    再参加しません。再起動しません。
  4. 昇格コマンドプロンプトで次のように入力します。 nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    再参加しません。再起動しません。

5

クライアント側からこの問題に取り組むのをやめてください。ドメインにログインできない場合は、有効になっているローカルアカウントでログインするか、ブートCDを使って有効にする必要があります。

Active Directoryユーザーとコンピュータからコンピュータを削除してみてください。それはあなたのサーバーの管理ツールにあるはずです。コンピューターを含むOU(組織単位)を開きます。コンピュータを見つけて右クリックし、[削除]をクリックします。

enter image description here

DCをいくつ持っているかによって、辛抱しても大丈夫なこともありますし、単にレプリケーションに任せてもかまいません。あなたのドメインが非常に単純であるならば(サイトがない、そしてただ二つのDC)あなたは使うことができる repadmin /replicate 強制的に複製する。 これを読んでください そうする前に。

AD UCを使用してPCを再度追加し、複製を待つか強制的に実行します。

それでもまだあなたに泣き言を言ったら、 netdom /remove 試して( manページはこちら )それがあなたのドメインからそれを得るかどうかを確認してください。それでも問題がある場合は、 この質問 。シナリオは異なりますが、基本的には同じ概念です。DCにアクセスできない場合、ドメインからコンピュータを削除しようとします。


1
これにより、ドメインからPCが削除されます。ドメインメンバーではなくなったPCにログオンするためにドメイン認証を使用するにはどうすればよいですか? ADUCで追加できませんか?
harper

あなたが正しい。まだコーヒーを飲んでいませんでした…
Tanner Faulkner

3

そのマシンに対してローカルな資格情報を使用してログインする必要があります。 OSが最初にインストールされたときには、セットアップされたローカルアカウントがあります。

ドメインとしてコンピュータ名を使用してそのアカウントでログインします(例:MYCOMP \ JSmith)。通常、ローカルコンピュータの管理者アカウントが存在しますが、デフォルトでは無効になっています。

ローカルユーザーとしてログインしたら、ドメインを離れて再び参加できるようになります。


これを解決するには、ドメインを出て再び入ることが推奨されます。ただし、動作しないことがあり、Active Directoryが何らかの理由で変更を認識しない場合は、コンピューター名を変更する必要があります。
Lee Harrison

3

Server 2008 R2では、タスクは非常に簡単です。私達は今使用するかもしれません Test-ComputerSecureChannel コマンドレット。

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Screen Shot

を追加 -Repair 実際の修復を実行するためのパラメータ。コンピューターをドメインに参加させることを承認されたアカウントに資格情報を使用します。

参照:

https://msdn.microsoft.com/ja-jp/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- 編集 -

これに使用できるローカル管理者アカウントがない場合は、よく知られているアカウントでアカウントを作成(または無効になっている組み込みの管理者アカウントを有効に)します。 スティッキーキー ハック。

忘れた管理者パスワードをリセットするには、次の手順に従います。

  1. Windows PEまたはWindows REから起動して、コマンドプロンプトにアクセスします。
  2. Windowsがインストールされているパーティションのドライブ文字を探します。 VistaとWindows XPでは、それは通常C:です、Windows 7では、それは最初のパーティションがスタートアップ修復を含んでいるのでほとんどの場合D:です。ドライブ文字を探すには、C:(またはD:)を入力して、Windowsフォルダを検索します。 Windows PE(RE)は通常X:に常駐することに注意してください。このデモでは、WindowsがCドライブにインストールされていると仮定します。
  3. 次のコマンドを入力してください。 copy C:\Windows\System32\sethc.exe C:\ これにより、後で復元するためのsethc.exeのコピーが作成されます。
  4. sethc.exeをcmd.exeに置き換えるには、次のコマンドを入力します。 copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe コンピュータを再起動して、管理者パスワードが設定されていないWindowsインスタンスを実行します。
  5. ログオン画面が表示されたら、Shiftキーを5回押します。
  6. Windowsのパスワードをリセットするために次のコマンドを入力できるコマンドプロンプトが表示されます。 net user [username] [password] ユーザー名がわからない場合は、次のように入力してください。 net user 利用可能なユーザー名を一覧表示します。
  7. これで新しいパスワードでログオンできます。

既存のアカウントのパスワードをリセットするのではなく、デフォルトで無効になっているビルトインAdministratorアカウントを有効にしたい場合、コマンドは次のとおりです。

  1. net user administrator /active:yes

新しいアカウントを作成してローカルのAdministratorsグループに追加する場合は、 コマンドシーケンス です:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

優れた情報源はこちら! $credential = Get-Credential、 押す 入る プロンプトでパスワードを入力し、 Test-ComputerSecureChannel -Credential $credential -Repair -Verbose 私たちがしたこと、そして私たちのために働いたことです(基本的にはあなたが説明したものですが、従うのが難しいと感じるかもしれない人々のためにわずかに微妙に違います)。 sethc.exeを悪用して、再びローカル管理者アカウントを入手する。
vapcguy

1
@ vapcguy - ここ数年、そしてまだ修正されていません。 Windowsのインストールは非常に簡単に危険にさらされる可能性があることを知っているので、少し混乱します。
InteXX

InteXX - ええ、でもローカルの管理者アカウントのパスワードを紛失したときにはうれしいことですが - あるいは、請負業者が@#&%!になることを望んでいるので受信しないでください。
vapcguy

1
すべての刀には2つの端があります:-)
InteXX

1

PCの管理者権限とDCを変更する権限がある場合にのみ、PCを追加できます。

そのため、PCで管理者パスワードを再設定する必要があります。このタスクを実行する1つの方法は、インストールDVDを使用して修復コンソールを使用することです。これであなたは完全なコントロールを取り戻すことができます。


1

PC /サーバーの信頼性に関する問題がある場合は(リセット後、DCで再作成するなど)、復元をせずに解決することができます。

すべてのNICSを無効にすると、ログオンDCとの信頼関係を検証できません。次に、以前にログインした、つまりキャッシュされた資格情報を利用するために、以前にログインした管理者レベルのドメインアカウント(ローカルのPC管理者グループに存在する必要があります)でログインします。 私の問題は、W7 VMを製品からテストラボに移動し、信頼が破られることを予想していたことです。

NICを無効にしてキャッシュされた資格情報が機能したら、次のようにしてドメインに再度参加できます。 netdom join

キャッシュされた認証情報の試行が不足した場合(ローカルのOSポリシー/ GPOに依存 - 最大50)、前の日にシステムを復元してください。これも機能します。


0

最初にAdministrator(コンピュータ名\ Administrator)でログインし、次にWorkGroupにドメインから参加解除して再起動してみてください。今すぐあなたのPCはローカルアカウントとしてWorkGrupにあります。ドメインに再度参加してみてください([マイコンピュータ] - > [プロパティ] - > [変更] - > [Doamin] - > [Ex Fu-com.com] - > [gt]の順にクリックし、サーバーの管理者パスワードを入力します。管理者そしてそれからパスワードそしてそれからあなたのコンピュータを再起動しなさい今あなたのコンピュータはドメインに入っているあなたIDでログインしようとする。


1
投稿前にお読みください。最後の文 編集する )ローカルアカウントが使えないことを示しています。
harper

0
  1. ネットワークケーブルを外して、影響を受けるワークステーションにログインします(キャッシュされた資格情報でこれが可能になります)。その後、ネットワークケーブルを再接続します。

  2. Microsoftからリモートサーバー管理ツール(RSAT)パッケージをダウンロードします。 http://www.microsoft.com/en-us/download/details.aspx?id=7887 (サーバーではなく、ワークステーションのオペレーティングシステムに応じて適切な32ビット版または64ビット版を選択してください。)

  3. ダウンロードしたパッケージをインストールしてください。クリーンブートモードを使用するまでこれで問題が発生したため、クリーンブート用に設定した後でワークステーションを再起動する必要があるかもしれませんが、このプロセスの後で元に戻すことができます。

  4. RSATをインストールしても、自動的に使用可能になるわけではありません。コントロールパネルに移動します - >プログラム - > Windowsの機能の追加と削除を行い、Remote Server Administrator Toolsを探します。これを展開してAD / AS /コマンドラインにドリルダウンして有効にします。

  5. 管理者としてコマンドウィンドウを開き、次のコマンドを入力します。

NETDOM.EXE resetpwd / s:(サーバー)/ ud:(ユーザー名)/ pd:*

ここで、(server)はドメインサーバーのNetbios名、(username)はDOMAIN \ Usernameの形式の該当するワークステーションのログインアカウントです。

それでおしまい。これをした後、すべてはワークステーションの正常に戻りました。


-3

私はこれを起こしました、そして私のために働いたのは管理者アカウントでログインしてワークグループに再追加し、その後ドメインに再追加することです。


There are no active local accounts on the machine that I could use to logon. この答えも、受け入れられている答えと似ています。
Rsya Studios

-3

ウイルス対策ソフトウェアがインストールされている場合は、次の操作を行います。

開始==>実行==> ncpa.cpl ==>押す Alt + N ボタン==> 高度な設定 ==>タブ プロバイダ注文 ==>上ボタンを押すと Microsoft Windowsネットワーク 頂点に。

クライアントでこれを行い、 ドメインコントローラ (DC)


4
どうして?これにより、クライアントとドメインコントローラ間の信頼関係がどのように修正されますか?
a CVn
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.