Главная » Linux

Windows ошибка пароли домен

Содержание
  1. Сброс пароля компьютера в домене без перезагрузки
  2. Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server
  3. Аннотация
  4. Использование Netdom.exe для сброса пароля учетной записи компьютера
  5. Устранение ошибок, которые возникают при подмыве компьютеров с Windows к домену
  6. Где найти файл Netsetup.log
  7. Сообщения об ошибках сети и их разрешения
  8. Ошибка 1
  9. Решение
  10. Ошибка 2
  11. Решение
  12. Ошибка 3
  13. Решение
  14. Ошибка 4
  15. Решение
  16. Ошибка 5
  17. Решение
  18. Ошибка 6
  19. Решение
  20. Ошибка 7
  21. Решение
  22. Ошибка 8
  23. Решение
  24. Ошибка 9
  25. Решение
  26. Ошибка 10
  27. Решение
  28. Сообщения об ошибках проверки подлинности и их разрешения
  29. Ошибка 1
  30. Решение
  31. Ошибка 2
  32. Решение
  33. Ошибка 3
  34. Решение
  35. Ошибка 4
  36. Решение
  37. Ошибка 5
  38. Решение
  39. Ошибка 6
  40. Решение
  41. Ошибка 7
  42. Решение
  43. Ошибка 8
  44. Решение

Сброс пароля компьютера в домене без перезагрузки

Я думаю, многие администраторы сталкивались с проблемой, когда компьютер не может пройти проверку подлинности в домене и при попытке логона пользователя выдает сообщение: The trust relationship between this workstation and the primary domain failedНе удалось установить доверительные отношения между этой рабочей станцией и основным доменом»).

В общем-то причина появления такой ошибки известна. Все компьютеры в домене Windows имеют свой собственный пароль и по умолчанию должны менять его каждые 30 дней. Однако если по какой либо причине эти пароли не совпадают, то компьютер не может пройти аутентификации в домене (установить доверительные отношения и безопасный канал).

Такое рассогласование может произойти в случае, если компьютер был восстановлен из резервной копии, созданной раньше момента последней смены пароля компьютера в домене (особенно часто это случается при восстановлении виртуальной машины из снапшота), или же произошла принудительная смена пароля в домене, а на компьютер эти изменения по какой-либо причине не попали (например, была сброшена или перезатерта учетная запись ПК).

В принципе, избежать такую ситуации можно, запретив смену пароля в в домене групповой политике (например, только для виртуальных машин), но, естественно это небезопасно и делать это обычно не рекомендуется.

В таких случаях, системный администратор обычно просто заново включал вылетевший компьютер в домен. Но для этого компьютер нужно перезагружать. Мне захотелось найти альтернативу такому решению, и как оказалось, оно существует. Для этого можно воспользоваться Powershell.

  • Откройте консоль PowerShell
  • Введите команду

  • Если в ответ мы получим False, это означает что невозможно установить безопасный канал между клиентом и контроллером домена. А т.к. не устанавливается безопасный канал, то и залогинится с доменной учетной записью нельзя.
  • Чтобы сбросить и синхронизировать пароль компьютера в домене, воспользуемся командой

  • В появившемся окне введите имя пользователя, которому разрешено управлять учетной записью компьютера в домене и его пароль
  • После чего еще раз проверим возможность установки безопасного канала первой командой, если все получилось, она вернет True
  • Осталось выйти из системы и зайти под доменной учетной записью

    • Вот так быстро и просто мы сбросили пароль учетной записи компьютера в домене без перезагрузки компьютера. Указанная методика была проверена на Windows 8 и Windows 7.

    Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server

    В этой пошаговой статье описывается, как использовать Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.

    Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
    Исходный номер КБ: 325850

    Аннотация

    На каждом компьютере на основе Windows хранится история паролей учетной записи компьютера, которая содержит текущие и предыдущие пароли, используемые для этой учетной записи. Когда два компьютера пытаются проверить подлинность друг с другом, а изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, участвующие компьютеры могут не взаимодействовать, и вы можете получить сообщения об ошибках. Например, при репликации Active Directory вы получаете сообщения об ошибке «Отказано в доступе».

    Это поведение также применяется к репликации между контроллерами домена одного домена. Если контроллеры домена, не реплицируемые, находятся в двух разных доменах, более внимательно посмотрите на отношение доверия.

    С помощью оснастки «Пользователи и компьютеры Active Directory» нельзя изменить пароль учетной записи компьютера. Но вы можете сбросить пароль с помощью Netdom.exe средства. Средство Netdom.exe входит в состав средств поддержки Windows для Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.

    Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (известный как локальный секрет). Оно записывает это изменение в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. Запуск репликации Active Directory гарантирует, что изменения получат другие контроллеры домена.

    В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера с Windows.

    Средство необходимо запускать локально на компьютере под windows, пароль которого вы хотите изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объекте учетной записи компьютера в Active Directory.

    Использование Netdom.exe для сброса пароля учетной записи компьютера

    Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого необходимо сбросить. Эти средства находятся в папке на Support\Tools компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi папки и выберите Support\Tools «Установить».

    Этот шаг не требуется в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe включено в эти выпуски Windows.

    Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу центра распространения ключей Kerberos и установить для нее тип запуска Manual.

    • После перезапуска и проверки успешного сброса пароля можно перезапустить службу центра распространения ключей (KDC) Kerberos и установить для ее типа запуска значение «Автоматически». Это заставляет контроллер домена с неправильным паролем учетной записи компьютера обращаться к другому контроллеру домена за билетом Kerberos.
    • Может потребоваться отключить службу центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключать контроллер домена, который имеет глобальный каталог, если у него нет проблем.

    Удалите кэш билетов Kerberos на контроллере домена, где вы получаете ошибки. Это можно сделать, перезагрузив компьютер или используя средства KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен для бесплатной загрузки в комплекте ресурсов Windows Server 2003 Resource Kit Tools.

    В командной подсказке введите следующую команду:

    Описание этой команды:

    /s: — имя контроллера домена, используемого для настройки пароля учетной записи компьютера. Это сервер, на котором работает KDC.

    /ud: — это учетная запись пользователя, которая создает подключение к домену, указанному в /s параметре. Он должен быть в формате домен\пользователь. Если этот параметр опущен, используется текущая учетная запись пользователя.

    /pd:* указывает пароль учетной записи пользователя, указанной в /ud параметре. Для запроса пароля используйте звездочку (*). Например, локальный компьютер контроллера домена — Server1, а одноранговой контроллер домена Windows — Server2. Если вы запустите Netdom.exe Server1 со следующими параметрами, пароль будет изменен локально и одновременно записан на сервере Server2. Репликация распространяет изменения на другие контроллеры домена:

    Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.

    Устранение ошибок, которые возникают при подмыве компьютеров с Windows к домену

    В этой статье описано несколько распространенных сообщений об ошибках, которые могут возникать при подмывке клиентских компьютеров под управлением Windows к домену. В этой статье также данная статья содержит рекомендации по устранению неполадок для этих ошибок.

    Исходная версия продукта: Windows Server 2016, Windows Server 2012 R2
    Исходный номер КБ: 4341920

    Где найти файл Netsetup.log

    Клиенты Windows занося в журнал сведения о операциях пользования доменом в файле %windir% \ для отлаки \ Netsetup.log.

    Сообщения об ошибках сети и их разрешения

    Ошибка 1

    Попытка разрешить DNS-имя dc в присоединяемом домене не удалась. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

    Решение

    При вводе доменного имени убедитесь, что введите DNS-имя, а не netBIOS-имя. Например, если DNS-имя целевого домена — убедитесь, что вы вводите имя домена contoso.com contoso.com NetBIOS «contoso».

    Кроме того, убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что на этом клиенте настроен правильный DNS-сервер в качестве предпочтительного DNS и что клиент подключен к этому серверу. Чтобы проверить это, можно выполнить одну из следующих команд:

    Ошибка 2

    Попытка разрешить DNS-имя контроллера домена в присоединяемом домене не удалась. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

    Решение

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя.

    Кроме того, убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что на этом клиенте настроен правильный DNS-сервер в качестве предпочтительного DNS и что клиент подключен к этому серверу. Чтобы проверить это, можно выполнить одну из следующих команд:

    Ошибка 3

    Предпринята попытка операции с несущестуным сетевым подключением.

    Решение

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.

    Ошибка 4

    Несколько подключений к серверу или общему ресурсу одного пользователя с использованием нескольких имен пользователей запрещены. Отключите все предыдущие подключения к серверу или общему ресурсу и попробуйте еще раз.

    Решение

    Перезапустите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться, что нет подключений к серверам домена.

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя.

    Ошибка 5

    Решение

    Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что на этом клиенте настроен правильный DNS-сервер в качестве предпочтительного DNS и что клиент подключен к этому серверу. Чтобы проверить это, можно выполнить одну из следующих команд:

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя.

    Кроме того, можно обновить драйвер сетевого адаптера.

    Ошибка 6

    В настоящее время к этому удаленному компьютеру не может быть подключено больше подключений, так как на этом компьютере уже есть такое количество подключений, что может принять компьютер.

    Решение

    Перед присоединением компьютера к домену убедитесь, что все подключений к диску очищены.

    Перезапустите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться, что нет подключений к серверам домена.

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя.

    Ошибка может быть временным. Повторите попытку позже. Если проблема не утихает, проверьте состояние dc, к который подключается клиент (активные подключения, сетевое подключение и так далее). Может потребоваться перезапустить dc, если проблема сохраняется.

    Ошибка 7

    Недопустимый формат указанного имени сети.

    Решение

    Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что на этом клиенте настроен правильный DNS-сервер в качестве предпочтительного DNS и что клиент подключен к этому серверу. Чтобы проверить это, можно выполнить одну из следующих команд:

    При введите доменное имя, убедитесь, что введите DNS-имя, а не NetBIOS-имя. Убедитесь, что у вас установлены самые последние драйверы для сетевого адаптер клиентского компьютера. Проверьте возможность подключения между подключаемым клиентом и целевым dc через необходимые порты и протоколы. Отключите функцию разгрузки TCP и разгрузку IP-адресов.

    Ошибка 8

    Служба каталогов исчерпала пул относительных идентификаторов.

    Решение

    Убедитесь, что dc, на котором размещен относительный мастер операций с ИД (RID), находится в оперативном и функциональном режиме. Дополнительные сведения см. в коде события 16650:не удалось инициализироваться в Windows Server.

    С помощью этой команды net query fsmo можно определить, какая dc имеет роль MASTER RID.

    Убедитесь, что Active Directory реплицируется между всеми компьютерами. Для обнаружения ошибок можно использовать следующую команду:

    Ошибка 9

    Сбой удаленного вызова процедуры.

    Решение

    Убедитесь, что у вас установлены самые последние драйверы для сетевого адаптер клиентского компьютера. Проверьте возможность подключения между подключаемым клиентом и целевым dc через необходимые порты и протоколы. Отключите функцию разгрузки TCP и разгрузку IP-адресов.

    Эта проблема также может быть вызвана одним из следующих условий:

    • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
    • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между клиентом, который присоединяется к dc.

    Ошибка 10

    Не удалось изменить DNS-имя основного домена этого компьютера на «». Имя останется «.». Указанный сервер не может выполнить операцию.

    Решение

    Эта ошибка возникает при использовании пользовательского интерфейса join домена для присоединить компьютер группы Windows 7 или Windows Server 2008 R2 к домену Active Directory, указав целевой домен DNS. Чтобы устранить эту ошибку, см. статью 2018583 о том, что при подмыве домена 2018583windows 7 или Windows Server 2008 R2 отображается ошибка «Сбой при изменении DNS-имени основного домена этого компьютера на «. «.

    Сообщения об ошибках проверки подлинности и их разрешения

    Ошибка 1

    Превышено максимальное число учетных записей компьютеров, которые можно создать в этом домене.

    Решение

    Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и вы не превысили квоту, задаемую администратором домена.

    Чтобы присоединить компьютер к домену, учетной записи пользователя необходимо предоставить разрешения на создание объекта компьютера в Active Directory.

    По умолчанию пользователь, не управляющего, может присоединить не более 10 компьютеров к домену Active Directory.

    Ошибка 2

    Ошибка при учетной записи: неправильное имя целевой учетной записи.

    Решение

    Убедитесь, что контроллеры домена (DCS) зарегистрированы с использованием правильных IP-адресов на DNS-сервере и что их имена-имена-службы (SPNs) зарегистрированы правильно в своих учетных записях Active Directory.

    Ошибка 3

    Сбой при работе в сети: пользователю не предоставлен запрашиваемого типа для этого компьютера.

    Решение

    Убедитесь, что у вас есть разрешения на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя необходимо предоставить разрешение на создание объекта компьютера в Active Directory.

    Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер. Для этого настройте локальный параметр «Разрешить вход» в групповой политике в группе «Конфигурация компьютера > Параметры безопасности Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя» .

    Ошибка 4

    Ошибка при работе с пользователем: неизвестное имя пользователя или плохой пароль.

    Решение

    Убедитесь, что используется правильное сочетание имени пользователя и пароля существующей учетной записи пользователя Active Directory при запросе учетных данных для добавления компьютера в домен.

    Ошибка 5

    Сопоставление между именами учетных записей и ИД безопасности не было сделано.

    Решение

    Эта ошибка, скорее всего, является временным сообщением об ошибке, регистрируется при поиске в целевом домене при подходящей учетной записи компьютера или при динамическом создании учетной записи компьютера в целевом домене.

    Ошибка 6

    Недостаточно места для выполнения этой операции.

    Решение

    Эта ошибка может возникнуть, если размер маркера Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер маркера Kerberos для компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
    935744 Сообщение об ошибке «Недостаточно места для выполнения этой операции» при использовании контроллера домена для присоединить компьютер к домену
    327825 Проблемы с проверкой подлинности Kerberos, когда пользователь входит в множество групп

    Ошибка 7

    Учетная запись не имеет разрешения на вход с этой станции.

    Решение

    Эта проблема связана с несоответствием параметров подписи SMB между клиентского компьютера и dc, к нему обращались для операции присоединить домен. Изучите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в среде:
    Сообщение об ошибке 281648: учетная запись не имеет разрешения на вход с этой станции При изменении параметров безопасности и назначений прав пользователей могут возникнуть проблемы с клиентом, службой и программой 823659

    Ошибка 8

    Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.

    Решение

    Убедитесь, что на dc, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.

    Читайте также:  The windows media format runtime
    Оцените статью
    © 2024 Советы по настройке компьютера