Een computer opnieuw aansluiten op een domein

Deze truc komt er via mijn Active Directory studiegroep. Ik stel voor dat iedereen lid wordt van een gebruikersgroep en/of een studiegroep. Het is niet dat we AD niet kennen, het is dat we nieuwe functies vergeten of missen. Een opfriscursus is ook leuk.

Af en toe komt het voor dat een computer “losgekoppeld” raakt van het domein. De symptomen kunnen zijn dat de computer niet kan inloggen als hij verbonden is met het netwerk, de melding dat de computer account verlopen is, het domein certificaat ongeldig is, etc. Deze symptomen komen allemaal voort uit hetzelfde probleem en dat is dat het beveiligde kanaal tussen de computer en het domein is verstopt. (Dat is een technische term. Glimlach)

De klassieke manier om dit probleem op te lossen is om het domein op te heffen en weer op te heffen. Dat is nogal lastig, omdat het een paar keer opnieuw moet worden opgestart en het gebruikersprofiel niet altijd opnieuw wordt verbonden. Oei. Verder, als je die computer in groepen had of er specifieke rechten aan had toegekend, dan zijn die verdwenen omdat de computer nu een nieuwe SID heeft, dus AD ziet hem niet meer als dezelfde machine. Je zult al die dingen opnieuw moeten maken van de uitstekende documentatie die je hebt bijgehouden. Uh, huh, je uitstekende documentatie. Double Ewe.

In plaats van dat te doen kunnen we ook het beveiligde kanaal resetten. Er zijn een paar manieren om dit te doen:

1. Klik in AD met de rechtermuisknop op de computer en kies Reset Account.
   Voeg dan opnieuw toe zonder de computer aan het domein te ontkoppelen.
   Opnieuw opstarten vereist.
2. Typ in een verhoogde opdrachtprompt: dsmod computer "ComputerDN" -reset Vervolgens opnieuw aanmelden zonder de computer opnieuw aan te sluiten op het domein.
   Opnieuw opstarten vereist.
   
3. Typ in een verhoogde opdrachtprompt: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password De account waarvan je de inloggegevens hebt verstrekt, moet lid zijn van de groep Local Administrators.
   Geen opnieuw toetreden. Geen herstart.
4. Typ in een elevate-opdrachtprompt: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Niet opnieuw aanmelden. Geen reboot.

Stop met vechten tegen dit probleem vanaf de client kant. Als je niet kunt inloggen op het domein, zul je ofwel moeten inloggen met een ingeschakelde lokale account, of een boot CD moeten gebruiken om er een in te schakelen.

Probeer de machine te verwijderen uit Active Directory Gebruikers en Computers. Het zou in de Administrative Tools op je server moeten staan. Open de OU (organisatorische eenheid) die de computer bevat. Zoek de computer, klik er met de rechtermuisknop op, en druk op verwijderen.

Het kan geen kwaad om geduldig te zijn en de replicatie zijn werk te laten doen, afhankelijk van hoeveel DC’s je hebt. Als je domein vrij eenvoudig is (geen sites en slechts twee DC’s) zou je repadmin /replicate kunnen gebruiken om replicatie te forceren. Lees dit eerst eens door] (http://technet.microsoft.com/en-us/library/cc742152%28v=ws.10%29.aspx) voordat je dat doet.

Voeg nu de PC opnieuw toe met AD UC en wacht op replicatie of forceer het.

Als hij nog steeds zeurt, probeer dan netdom /remove eens man page here ) en kijk of dat hem van je domein af krijgt. Als je daar problemen mee hebt, kijk dan eens naar deze vraag . Het is een ander scenario maar in essentie hetzelfde concept: proberen een computer van een domein te verwijderen wanneer het de DC niet kan bereiken.

Vanaf Server 2008 R2 is de taak heel eenvoudig. We kunnen nu het cmdlet Test-ComputerSecureChannel gebruiken.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Referentie: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Als er geen lokale administrator accounts zijn die je hiervoor kunt gebruiken, kun je er een aanmaken (of het uitgeschakelde ingebouwde Administrator account inschakelen) met de bekende Sticky Keys hack.

Om een vergeten administrator wachtwoord te resetten, volg je deze stappen: ^

1. Start op vanuit Windows PE of Windows RE en open de opdrachtprompt.
2. Zoek de stationsletter van de partitie waarop Windows is geïnstalleerd. In Vista en Windows XP is dat meestal C:, in Windows 7 is dat in de meeste gevallen D: omdat de eerste partitie Opstartherstel bevat. Om de stationsletter te vinden, typt u C: (of D:, respectievelijk) en zoekt u naar de Windows-map. Merk op dat Windows PE (RE) gewoonlijk op X: staat. Voor deze demonstratie gaan we ervan uit dat Windows is geïnstalleerd op station C:
3. Typ het volgende commando: copy C:\Windows\System32\sethc.exe C:Vanaf Server 2008 R2 is de taak heel eenvoudig. We kunnen nu het cmdletTest-ComputerSecureChannel` gebruiken.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4& Voeg de parameter -Repair toe om de eigenlijke reparatie uit te voeren; gebruik credentials voor een account dat geauthoriseerd is om computers aan het domein toe te voegen.

Referentie: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Als er geen lokale administrator accounts zijn die je hiervoor kunt gebruiken, kun je er een aanmaken (of het uitgeschakelde ingebouwde Administrator account inschakelen) met de bekende [ Sticky Keys ]0x3& hack.

Om een vergeten administrator wachtwoord te resetten, volg je deze stappen: ^

1. Start op vanuit Windows PE of Windows RE en open de opdrachtprompt.
2. Zoek de stationsletter van de partitie waarop Windows is geïnstalleerd. In Vista en Windows XP is dat meestal C:, in Windows 7 is dat in de meeste gevallen D: omdat de eerste partitie Opstartherstel bevat. Om de stationsletter te vinden, typt u C: (of D:, respectievelijk) en zoekt u naar de Windows-map. Merk op dat Windows PE (RE) gewoonlijk op X: staat. Voor deze demonstratie gaan we ervan uit dat Windows is geïnstalleerd op station C:
3. Typ het volgende commando: Dit maakt een kopie van sethc.exe om later te herstellen.
4. Typ dit commando om sethc.exe te vervangen door cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Start uw computer opnieuw op en voer de Windows-instance uit waarvoor u het beheerderswachtwoord niet hebt.
5. Nadat u het inlogscherm ziet, drukt u vijfmaal op de SHIFT-toets.
6. U zou een opdrachtprompt moeten zien waar u de volgende opdracht kunt invoeren om het Windows-wachtwoord opnieuw in te stellen:net user [username] [password] Als u uw gebruikersnaam niet weet, typt u gewoon net user om een lijst met beschikbare gebruikersnamen te krijgen.
7. U kunt zich nu aanmelden met het nieuwe wachtwoord.

Als u de standaard ingebouwde Administrator-account wilt inschakelen in plaats van het wachtwoord van een bestaande account opnieuw in te stellen, is de opdracht:

1. net user administrator /active:yes.

Als u een nieuwe account wilt maken en toevoegen aan de lokale groep Administrators, is de opdrachtvolgorde ]0x3&:

1. net user /add [username] [password]
2. net localgroup administrators [username] /add
3. 0x6&
4. 0x6&

Het kan zijn dat je moet inloggen met referenties die lokaal zijn voor die machine. Als het OS voor het eerst geïnstalleerd wordt, is er een lokale account ingesteld.

Log in met die account en gebruik de Computernaam als domein (bijv. MYCOMP\JSmith). Meestal is de lokale computer administrator account wel aanwezig, maar standaard uitgeschakeld.

Als je eenmaal als lokale gebruiker bent ingelogd, moet je het domein kunnen verlaten en weer kunnen binnengaan.

Het is alleen mogelijk om de PC toe te voegen als je de beheerdersrechten op de PC hebt en het recht om de DC te wijzigen.

Daarom is het nodig om het beheerderswachtwoord op de PC te resetten. Een manier om deze taak uit te voeren is het gebruik van de installatie DVD en gebruik de herstel console. Dit maakt het mogelijk om de volledige controle terug te krijgen.

De enige oplossing, als je een PC / Server Trust probleem hebt, (na reset, opnieuw aanmaken op DC, enz.) om het op te lossen zonder enige restore!

Schakel alle NICS uit, zodat deze de vertrouwensrelatie met de ingelogde DC niet kan verifiëren. Log dan in met een eerder ingelogde administrator level domein account (moet in de lokale PC Administrators Groups zitten) die eerder was ingelogt, dus om gebruik te maken van de in de cache opgeslagen credentials. Mijn probleem was dat ik een W7 VM van prod naar een testlab had verplaatst, en verwachtte dat het vertrouwen zou worden verbroken, maar niet dat ik niet kon inloggen met lokale admin / gebruikersaccounts, of zelfs met de “oude domeinen” in de cache opgeslagen referenties.

Het uitschakelen van de NIC’s en de cache referenties werkt, dan kun je je weer bij het domein aansluiten met netdom join.

Als je niet meer in de cache opgeslagen referenties kunt proberen (hangt af van het lokale OS beleid / GPO - tot 50), doe dan een systeemherstel naar een eerdere dag, dit werkt ook.

Probeer eerst in te loggen met Administrator (Computer naam: Administrateur), maak dan de verbinding tussen domein en WorkGroup ongedaan en start opnieuw op. Probeer nu opnieuw in te loggen in het domein (Klik met de rechtermuisknop op Mijn computer - Eigenschappen - Wijzig - Doamin - Ex Fu-com.com - Dan zal het als administrator wachtwoord voor Server invoeren gebruikersnaam als administrator en dan wachtwoord. herstart vervolgens uw computer. Nu is uw computer in het domein, probeer in te loggen met uw gebruikersnaam en wachtwoord.

1. Koppel de netwerkkabel los en meld u aan bij het betreffende werkstation (met in cache opgeslagen referenties is dit mogelijk). Sluit hierna de netwerkkabel weer aan.

2. Download het Remote Server Administration Tools (RSAT) pakket van Microsoft hier: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (selecteer de juiste 32-bit of 64-bit versie op basis van het besturingssysteem van het werkstation, niet dat van de server).

3. Installeer het gedownloade pakket. Wij hadden hier problemen mee totdat we clean boot modus gebruikten, dus het kan zijn dat je het werkstation opnieuw moet opstarten na het configureren voor clean boot, wat na dit proces ongedaan gemaakt kan worden.

4. Het installeren van RSAT maakt het niet automatisch beschikbaar voor gebruik. Ga naar Configuratiescherm - Programma’s - Windows Functies toevoegen/verwijderen en zoek naar Remote Server Administrator Tools. Vouw dit uit en ga naar AD/AS / Opdrachtregel en schakel dat in.

5. Open een opdrachtvenster als Administrator en voer dit commando in:

NETDOM.EXE resetpwd /s:(server) /ud:(gebruikersnaam) /pd:*

Waarbij (server) de Netbios-naam van de domeinserver is en (gebruikersnaam) het inlogaccount van het betreffende werkstation in het formaat DOMAINUsername

Dat is het. Na dit gedaan te hebben, werd alles weer normaal op het werkstation.

Ik heb dit ook gehad en wat bij mij werkte was om in te loggen met mijn admin account en opnieuw toe te voegen aan de werkgroep, en daarna opnieuw toe te voegen aan het domein.

Als u antivirus software heeft geïnstalleerd, doe dan het volgende…

Start ==> run ==> ncpa.cpl ==> druk op Alt + N toets ==> Advanced Settings ==> tab Provider Order ==> druk op de omhoog knop om Microsoft Windows Network bovenaan te krijgen.

Doe dit op de client en domein controller (DC).