Volver a unir un ordenador al dominio

Este truco llega a través de mi grupo de estudio de Active Directory. Sugiero que todo el mundo se una a un grupo de usuarios y/o a un grupo de estudio. No es que no conozcamos AD, es que nos olvidamos o nos perdemos las nuevas características. Un curso de repaso también es divertido.

De vez en cuando un ordenador se “desvincula” del dominio. Los síntomas pueden ser que el ordenador no puede iniciar sesión cuando se conecta a la red, mensaje de que la cuenta del ordenador ha caducado, el certificado del dominio no es válido, etc. Todo esto se debe al mismo problema y es que el canal seguro entre el ordenador y el dominio está estropeado. (es un término técnico. Sonríe)

La forma clásica de solucionar este problema es desunir y volver a unir el dominio. Hacerlo es un poco pesado porque requiere un par de reinicios y el perfil del usuario no siempre se reconecta. Ewe. Además, si tenías ese ordenador en algún grupo o le habías asignado permisos específicos, estos han desaparecido porque ahora tu ordenador tiene un nuevo SID, por lo que el AD ya no lo ve como la misma máquina. Tendrás que volver a crear todo eso a partir de la excelente documentación que has guardado. Uh, huh, tu excelente documentación. Doble Ewe.

En lugar de hacer eso podemos simplemente reiniciar el canal seguro. Hay un par de maneras de hacer esto:

1. En AD haz clic con el botón derecho del ratón en el ordenador y selecciona Reset Account.
   Luego vuelve a unir el ordenador al dominio sin desunirlo.
   Es necesario reiniciar.
2. En una línea de comandos elevada escriba: dsmod computer "ComputerDN" -reset A continuación, vuelva a unirse sin desunir el ordenador al dominio.
   Es necesario reiniciar.
   
3. En una línea de comandos elevada escriba: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password La cuenta cuyas credenciales ha proporcionado debe ser miembro del grupo de Administradores Locales.
   No es necesario reiniciar. No hay reinicio.
4. En un prompt de comando elevado escriba: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController No rejoin. No hay reinicio.

Deja de luchar con este problema desde el lado del cliente. Si no puedes entrar en el dominio, vas a tener que entrar con una cuenta local habilitada, o utilizar un CD de arranque para habilitar una.

Intenta eliminar la máquina de Usuarios y Equipos del Directorio Activo. Debería estar en las Herramientas Administrativas de su servidor. Abra la OU (unidad organizativa) que contiene el ordenador. Busca el ordenador, haz clic con el botón derecho del ratón y pulsa eliminar.

No está de más ser paciente y dejar que la replicación haga lo suyo, dependiendo de cuántos DCs tengas. Si tu dominio es bastante simple (sin sitios y sólo dos DCs) podrías usar repadmin /replicate para forzar la replicación. Lea esto antes de hacerlo.

Ahora añada el PC de nuevo usando AD UC y espere la replicación o fuércela.

Si sigue quejándose, pruebe con netdom /remove página de manual aquí ) y vea si eso lo saca de su dominio. Si tienes problemas con eso, echa un vistazo a esta pregunta . Es un escenario diferente pero esencialmente el mismo concepto: tratar de eliminar un equipo de un dominio cuando no puede contactar con el DC.

A partir de Server 2008 R2, la tarea es muy sencilla. Ahora podemos utilizar el cmdlet Test-ComputerSecureChannel.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Añade el parámetro -Repair para realizar la reparación real; utiliza las credenciales de una cuenta que esté autorizada para unir equipos al dominio.

Referencia: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Si no hay ninguna cuenta de administrador local que pueda utilizar para esto, puede crear una (o habilitar la cuenta de administrador integrada deshabilitada) con el conocido hack Sticky Keys .

Para restablecer una contraseña de administrador olvidada, sigue estos pasos: ^

1. Arrancar desde Windows PE o Windows RE y acceder al símbolo del sistema.
2. Busque la letra de la unidad de la partición donde está instalado Windows. En Vista y Windows XP, suele ser C:, en Windows 7, es D: en la mayoría de los casos porque la primera partición contiene la reparación de inicio. Para encontrar la letra de la unidad, escriba C: (o D:, respectivamente) y busque la carpeta de Windows. Tenga en cuenta que Windows PE (RE) suele residir en X:. Para los fines de esta demostración, supondremos que Windows está instalado en la unidad C:
3. Escriba el siguiente comando: copy C:\Windows\System32\sethc.exe C:A partir de Server 2008 R2, la tarea es muy sencilla. Ahora podemos utilizar el cmdletTest-ComputerSecureChannel`.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4&

Añade el parámetro -Repair para realizar la reparación real; utiliza las credenciales de una cuenta que esté autorizada para unir equipos al dominio.

Referencia: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Si no hay ninguna cuenta de administrador local que pueda utilizar para esto, puede crear una (o habilitar la cuenta de administrador integrada deshabilitada) con el conocido hack [ Sticky Keys ]0x3&.

Para restablecer una contraseña de administrador olvidada, sigue estos pasos: ^

1. Arrancar desde Windows PE o Windows RE y acceder al símbolo del sistema.
2. Busque la letra de la unidad de la partición donde está instalado Windows. En Vista y Windows XP, suele ser C:, en Windows 7, es D: en la mayoría de los casos porque la primera partición contiene la reparación de inicio. Para encontrar la letra de la unidad, escriba C: (o D:, respectivamente) y busque la carpeta de Windows. Tenga en cuenta que Windows PE (RE) suele residir en X:. Para los fines de esta demostración, supondremos que Windows está instalado en la unidad C:
3. Escriba el siguiente comando: Esto crea una copia de sethc.exe para restaurarla más tarde.
4. Escriba este comando para sustituir sethc.exe por cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Reinicie su ordenador y ejecute la instancia de Windows para la que no tiene la contraseña de administrador.
5. Después de ver la pantalla de inicio de sesión, pulse la tecla SHIFT cinco veces.
6. Debería ver un símbolo del sistema en el que puede introducir el siguiente comando para restablecer la contraseña de Windows:net user [username] [password]Si no conoce su nombre de usuario, simplemente escriba net user para que aparezca una lista con los nombres de usuario disponibles.
7. Ahora puede iniciar la sesión con la nueva contraseña.

Si desea habilitar la cuenta de administrador integrada deshabilitada por defecto en lugar de restablecer la contraseña de una cuenta existente, el comando es:

1. net user administrator /active:yes.

Si desea crear una nueva cuenta y añadirla al grupo local de Administradores, la [ secuencia de comandos ]0x3& es:

1. net user /add [username] [password]
2. net localgroup administrators [username] /add . 0x6&

Es posible que tenga que iniciar la sesión con las credenciales locales de esa máquina. Cuando el sistema operativo se instaló por primera vez, hay una cuenta local que está configurada.

Inicie sesión con esa cuenta utilizando el nombre del ordenador como dominio (por ejemplo, MYCOMP\JSmith). Normalmente la cuenta de administrador de la máquina local está presente pero deshabilitada por defecto.

Una vez que haya iniciado la sesión como usuario local, debería poder salir y volver a entrar en el dominio.

Sólo es posible añadir el PC cuando se tienen los derechos de administrador en el PC y el derecho a cambiar el DC.

Por lo tanto, es necesario restablecer la contraseña de administrador en el PC. Una forma de realizar esta tarea es el uso del DVD de instalación y utilizar la consola de reparación. Esto permite recuperar el control total.

¡La única solución, si tiene un problema de confianza PC / Servidor, (después de reiniciar, recrear en DC, etc.) para resolverlo sin ninguna restauración!

Desactive todos los NICS, para que no pueda verificar la relación de confianza con el DC de inicio de sesión. Entonces inicie sesión con una cuenta de dominio de nivel de administrador previamente iniciada (debe residir en los grupos de administradores de PC locales) que fue previamente iniciada, es decir, para aprovechar las credenciales en caché. Mi problema fue que moví una VM W7 de prod a un laboratorio de pruebas, y preveía que se rompiera la confianza, sin embargo no era capaz de iniciar sesión con cuentas de administrador / usuario locales, o incluso con las credenciales almacenadas en caché de los “antiguos dominios”.

Desactivar las NIC’s y las credenciales en caché funciona, luego se puede volver a ingresar al dominio con netdom join.

Si se le acaban los intentos de credenciales en caché (depende de las políticas locales del SO / GPO - hasta 50), haga una restauración del sistema a un día anterior, esto también funcionará.

En primer lugar, intente iniciar la sesión con el Administrador (nombre del ordenador), luego desunir el dominio al grupo de trabajo y luego reiniciar, ahora su PC está en el grupo de trabajo como cuenta local. Ahora intente unirse al dominio de nuevo (haga clic con el botón derecho del ratón en Mi PC, Propiedades, Cambiar, Hacer, Ex Fu-com.com, entonces aparecerá la contraseña de administrador para el servidor, introduzca el nombre de usuario como administrador y la contraseña, y reinicie su ordenador). Ahora su computadora esta en el dominio trate de entrar con su ID de usuario y contraseña.

1. Desconecte el cable de red y acceda a la estación de trabajo afectada (las credenciales almacenadas en caché lo permitirán).

2. Descargue el paquete de Herramientas de Administración Remota del Servidor (RSAT) de Microsoft aquí: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (seleccione la versión adecuada de 32 o 64 bits según el sistema operativo de la estación de trabajo, no el del servidor).

3. Instale el paquete descargado. Tuvimos problemas con esto hasta que utilizamos el modo de arranque limpio, por lo que es posible que tengas que reiniciar la estación de trabajo después de configurarla para el arranque limpio, lo que se puede deshacer después de este proceso.

4. La instalación de RSAT no hace que esté automáticamente disponible para su uso. Vaya al Panel de Control -> Programas -> Agregar/Quitar Características de Windows y busque Herramientas de Administrador de Servidores Remotos. Expanda esto y descienda a AD/AS / Línea de comandos y habilite esto.

5. Abra una ventana de comandos como administrador e introduzca este comando:

NETDOM.EXE resetpwd /s:(servidor) /ud:(nombre de usuario) /pd:*

Donde (servidor) es el nombre Netbios del servidor de dominio y (nombre de usuario) es la cuenta de inicio de sesión de la estación de trabajo afectada en el formato DOMAIN\Username

Eso es todo. Después de hacer esto, todo volvió a la normalidad en la estación de trabajo.

A mí me ha pasado esto y lo que me ha funcionado es entrar en la cuenta de administrador y volver a añadir al grupo de trabajo, y después volver a añadir al dominio.

Si tiene un software antivirus instalado, haga lo siguiente…

Inicio ==> ejecutar ==> ncpa.cpl ==> pulsar Alt + N ==> Configuración avanzada ==> pestaña Orden de los proveedores ==> pulsar el botón de arriba para que aparezca Microsoft Windows Network en la parte superior.

Hacer esto en el cliente y en el controlador de dominio (DC).