thuis-Browsers-De netwerkverbinding is niet geverifieerd. Herstel van vertrouwen in het domein

De netwerkverbinding is niet geverifieerd. Herstel van vertrouwen in het domein

Er kan een situatie voorkomen waarin een computer zich niet kan verifiëren bij een domein. Hier zijn enkele voorbeelden:

  • Nadat het besturingssysteem opnieuw op een werkstation is geïnstalleerd, kan de machine zich niet verifiëren, zelfs niet met dezelfde computernaam. Want in het proces nieuwe installatie Besturingssysteem wordt gegenereerd SID-identificatie en de computer kent het wachtwoord van de computerobjectaccount in het domein niet, behoort niet tot het domein en kan zich niet verifiëren bij het domein.
  • De computer is volledig hersteld vanaf een back-up en kan niet worden geverifieerd. Het computerobject heeft mogelijk het domeinwachtwoord gewijzigd na archivering. Computers veranderen hun wachtwoorden elke 30 dagen, evenals de structuur Actieve map onthoudt het huidige en vorige wachtwoord. Als het hersteld is backup kopie computer met een lang verouderd wachtwoord, kan de computer zich niet verifiëren.
  • Geheim LSA computer is al lange tijd niet gesynchroniseerd met een wachtwoord dat bekend is bij het domein. Die. de computer is het wachtwoord niet vergeten - het is alleen zo dat dit wachtwoord niet overeenkomt met het echte wachtwoord in het domein. In dit geval kan de computer niet worden geverifieerd en wordt er geen beveiligd kanaal aangemaakt.

Belangrijkste kenmerken eventuele problemen computeraccount:

  • Domeinaanmeldingsberichten geven aan dat de computer niet kon communiceren met de domeincontroller, dat het computeraccount ontbreekt, dat de verkeerd wachtwoord computeraccount of vertrouwen is verloren gegaan ( veilige communicatie) tussen de computer en het domein.
  • Berichten of gebeurtenissen in het gebeurtenislogboek die soortgelijke fouten aangeven of wachtwoordproblemen suggereren vertrouwensrelaties, beveiligde kanalen of communicatie met een domein of domeincontroller. Een dergelijke fout is Authenticatiefout met foutcode 3210 in het computergebeurtenislogboek.
  • Er is geen computeraccount in Active Directory.

Hoe te behandelen?

U moet uw computeraccount opnieuw installeren. Er zijn online aanbevelingen voor een dergelijke herinstallatie: verwijder de computer uit het domein en sluit u er vervolgens opnieuw bij aan. Ja het werkt, maar deze optie Het wordt niet aanbevolen om dit te doen, omdat de SID-identificatie en het werkgroeplidmaatschap van de computer verloren gaan.

Daarom is het noodzakelijk om dit te doen :

Open de Active Directory-module, selecteer Gebruikers en computers en klik op het computerobject klik met de rechtermuisknop muis en gebruik de opdracht "Account opnieuw installeren". Hierna moet de computer opnieuw aan het domein worden toegevoegd en opnieuw worden opgestart.

Gebruik een account gerelateerd aan lokale groep"Beheerders":

netdom reset Machinenaam /domein Domeinnaam /Gebruiker Gebruikersnaam /Wachtwoord (Wachtwoord | *)

Op een computer waar het vertrouwen verloren is gegaan:

nltest /server:Servernaam /sc_reset:DOMAIN\Domain_controller

. Windows XP

1 . Laten we de register-editor starten, ( Begin te lopen-regedit- Binnenkomen)


Hoe sporen te verwijderen programma's op afstand in het register kun je erachter komen
2. Vervolgens vinden we het registergedeelte
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon


3. Daarna verwijderen we de hele sectie WgaLogon(wie twijfelt, kan eerst een kopie van dit gedeelte maken)
4. Wij herstarten het systeem
Bericht na opnieuw opstarten over authenticatie zal verdwijnen

. Windows 7

Wat betreft Windows 7, verwijderen met behulp van het programma WAT21 verwijderen
1. Downloaden dit programma Met Storting of Letitbit
2. Verwijder de oude activering
3. Activeer opnieuw
4. En verwijder authenticatie voor altijd
Gedetailleerde instructies worden in het programma zelf beschreven; de hele operatie vindt plaats in slechts drie klikken.

Hoe u het bericht over Windows zonder licentie kunt verwijderen

Update ( KB971033) authenticeert de activerings- en verificatiecomponenten die in de technologieën zijn opgenomen Windows-activering voor het systeem Windows 7.
Klik met de rechtermuisknop op het pictogram: Computer - Eigenschappen.
Kiezen Windows Update - Geïnstalleerde updates.
We vinden onder de geïnstalleerde updates (Update voor Microsoft Windows KB971033), selecteer en verwijder het.
Naar, Windows crashte niet langer door activering een update uitvoeren (KB971033) verborgen. Klik met de rechtermuisknop op het pictogram: Computer - Eigenschappen. Kiezen Windows Update - Belangrijke updates . Zoek (KB971033) en maak het verborgen door er met de rechtermuisknop op te klikken. Het zal niet langer van Microsoft komen.

Installeer deze updates dus niet.
Als je dat bijvoorbeeld hebt piraat versie dan: KB905474, KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Als u installeert KB971033- hij zal vinden scheur en zal een bericht weergeven dat "Je bent slachtoffer geworden van nepsoftware."
KB2859537- V Windows XP kan ervoor zorgen dat iedereen niet kan starten exe-bestanden, behalve degenen die
liggen Windows-map . Een update verwijderen lost het probleem op.
Updates voor Windows XP verkrijgen lezen
Zoals uit Windows XP Thuis editie Windows XP maken Professionele Editie , lezen
Hier daar kort over Hoe kan ik dit venster verwijderen?

Zwarte overheer 14 januari 2013 om 17:27 uur

Schending van vertrouwen tussen werkstation en domeincontroller (oplossing)

Online met een wagenpark van 150 auto's na de update besturingssysteem Vóór MS Windows 7 was er een voortdurend probleem met het inloggen van gebruikers. Op een mooie dag zette de gebruiker de computer aan en ontdekte dat hij niet kon inloggen op het systeem, maar hij zag een bericht dat verbluffend was qua informatie-inhoud:
"Vertrouwen kon niet tot stand worden gebracht tussen dit werkstation en het primaire domein"

Er is maar één oplossing. Haal de machine uit het domein en breng hem terug naar binnen. Toen deze situatie zich meer dan eens per dag begon te herhalen en ik er gewoon genoeg van kreeg, begon ik na te denken over preventie. En hier bleef het internet stil. Na een tijdje van moedeloosheid, en moedeloosheid, zoals we weten, is een zonde, werd besloten om te graven. Als gevolg van de marteling bij het opgraven werd de reden in 99% van de gevallen verkregen (en ik vermoed dat de resterende 1% dezelfde reden eenvoudigweg niet toegaf). De reden hiervoor is de Startup Repair-service, die wordt ingeschakeld wanneer het systeem abnormaal wordt afgesloten. Op het eerste scherm van het dialoogvenster vraagt ​​de dienst de gebruiker of hij het systeem wil herstellen of niet. Als het antwoord positief is, gaat het systeem terug naar meer vroege staat en misschien klopt de zijkant van de auto. Hoe het ook zij, het domein staat na een dergelijke operatie geen gebruikers met een dergelijke machine toe. Het heeft in dit soort zaken geen zin om op de gebruiker te vertrouwen. Je kunt hem vragen om te weigeren als een dergelijke situatie zich voordoet, maar het is zeer waarschijnlijk dat de gebruiker op de knop "Herstellen" drukt en vervolgens zijn handen opsteekt en zegt dat de demon hem heeft misleid. Over het algemeen moet u de opstartherstelservice op n-machines batchgewijs uitschakelen.

Lokaal ziet de oplossing eruit als een consoleopdracht:

Reagentc.exe /uitschakelen

Het netwerk zal dit vereisen PsExec-hulpprogramma van Microsoft-pakket Sysinternals PsTools, een beschrijving van het hulpprogramma en het pakket zelf zijn

We plaatsen Psexec.exe in dezelfde map als de onze batch bestand(laten we het broff.cmd noemen)
binnen broff.cmd schrijven we:

::We krijgen een lijst met computers op het netwerk, verwijderen deze van afval en plaatsen deze in net.lst net.exe weergave /domain:megafon >>net.tmp voor /f "tokens=1,2 delims= " %% ik in (net.tmp ) doe (Echo %%i>>net1.tmp) voor /f "tokens=1,2 delims=\" %%i in (net1.tmp) doe (Echo %%i>>net .lst) DEL *. TMP::We doorlopen de lijst en schakelen het opstartherstel uit voor /f "tokens=1,2 delims= " %%F in (net.lst) do (start psexec \\%%F reagentc. exe /uitschakelen)

Dat is alles. De gebruiker is niet langer onze vijand.

Tags: Vertrouwensrelaties, DC, IT, netwerkbeheer, netwerken, implementatie

In dit artikel zullen we ingaan op het probleem van schending van vertrouwensrelaties tussen het werkstation en het domein, waardoor de gebruiker niet kan inloggen op het systeem. Laten we eens kijken naar de oorzaak van het probleem en naar een eenvoudige manier om het vertrouwen via een beveiligd kanaal te herstellen.

Hoe het probleem zich manifesteert: de gebruiker probeert met zijn account in te loggen op een werkstation of server en na het invoeren van het wachtwoord verschijnt er een foutmelding:

Kan het vertrouwen tussen werkstation en domein niet herstellen

Of dit:

De beveiligingsdatabase op de server doet dat wel niet hebben een computer rekening voor deze vertrouwensrelatie op het werkstation

Laten we proberen erachter te komen wat deze fouten betekenen en hoe we ze kunnen oplossen.

Computerwachtwoord in AD-domein

Wanneer een computer in een domein is geregistreerd, wordt er een beveiligd kanaal tot stand gebracht tussen de computer en de domeincontroller, via welke inloggegevens worden verzonden, en vindt verdere interactie plaats in overeenstemming met het beveiligingsbeleid dat is ingesteld door de beheerder.

Het stis 30 dagen geldig, waarna het automatisch wordt gewijzigd. Wachtwoordwijzigingen worden door de computer zelf geïnitieerd op basis van domeinbeleid.

Advies. De maximale levensduur van het wachtwoord kan worden geconfigureerd met behulp van een beleid Domein lid: Maximaal machine rekening wachtwoord leeftijd, die zich bevindt in de sectie: ComputerConfiguratie->ramenInstellingen->BeveiligingInstellingen->LokaalBeleid->BeveiligingOpties. De geldigheidsduur van het computerwachtwoord kan variëren van 0 tot 999 (standaard 30 dagen).

Als uw computerwachtwoord is verlopen, wordt het automatisch gewijzigd volgende inschrijving in het domein. Als u uw computer een aantal maanden niet opnieuw hebt opgestart, blijft de vertrouwensrelatie tussen de pc en het domein behouden en wordt het computerwachtwoord gewijzigd wanneer u de volgende keer opnieuw opstart.

De vertrouwensrelatie wordt verbroken als een computer zich probeert te verifiëren bij een domein met een onjuist wachtwoord. Dit gebeurt meestal wanneer de computer of vanaf een momentopname virtuele machine. In dit geval komen het lokaal opgeslagen wachtwoord van de machine en het wachtwoord op het domein mogelijk niet overeen.

De ‘klassieke’ manier om het vertrouwen in dit geval te herstellen:

  1. Reset het lokale beheerderswachtwoord
  2. Verwijder de pc uit het domein en neem deze op in een werkgroep
  3. Zal opnieuw opstarten
  4. Reset met behulp van de module de registratie van de computer in het domein (Account opnieuw instellen)
  5. Sluit de pc opnieuw aan bij het domein
  6. Start opnieuw op

Deze methode is de eenvoudigste, maar te onhandig en vereist minimaal twee keer opnieuw opstarten en 10-30 minuten tijd. Bovendien kunnen er problemen optreden bij het gebruik van oude lokale gebruikersprofielen.

Er is een elegantere manier om het vertrouwen te herstellen zonder opnieuw lid te worden van het domein en zonder opnieuw op te starten.

Netdom-hulpprogramma

NutsvoorzieningNetdom inbegrepen Windows-compositie Server vanaf versie 2008 en kan vanaf RSAT op de pc's van gebruikers worden geïnstalleerd ( Externe server Beheertools). Om het vertrouwen te herstellen, moet u inloggen als lokale beheerder (door “.\Administrator” te typen op het inlogscherm) en de volgende opdracht uitvoeren:

Netdom resetpwd /Server:DomainController /UserD:Beheerder /PasswordD:Wachtwoord

  • Server– de naam van een eventuele beschikbare domeincontroller
  • GebruikerD– gebruikersnaam met domeinbeheerdersrechten of volledige controle over de OE met rekening computer
  • WachtwoordD- gebruikerswachtwoord

Netdom resetpwd /Server:sam-dc01 /GebruikerD:aapetrov /WachtwoordD:Pa@@w0rd

Zodra de opdracht met succes is voltooid, hoeft u niet opnieuw op te starten; u hoeft zich alleen maar af te melden en in te loggen met een domeinaccount.

Reset-ComputerMachinePassword-cmdlet

De cmdlet verscheen in PowerShell 3.0 en is, in tegenstelling tot het Netdom-hulpprogramma, al beschikbaar in het systeem vanaf Windows 8 / Windows-server 2012. Op Windows 7, Server 2008 en Server 2008 R2 kan het handmatig worden geïnstalleerd (http://www.microsoft.com/en-us/download/details.aspx?id=34595), maar vereist het ook Netto raamwerk 4.0 of hoger.

U moet ook inloggen met een lokaal beheerdersaccount, de PowerShell-console openen en de opdracht uitvoeren:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server– domeincontrollernaam
  • Referentie– gebruikersnaam met domeinbeheerdersrechten (of rechten op OE vanaf een pc)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

In het beveiligingsvenster dat wordt geopend, moet u het gebruikerswachtwoord opgeven.

Advies. Dezelfde bewerking kan worden uitgevoerd met een andere Powershell-cmdlet Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp\aapetrov

U kunt de aanwezigheid van een beveiligd kanaal tussen de pc en de DC controleren met het commando:

nltest /sc_verify:corp.adatum.com

De volgende regels bevestigen dat de vertrouwensrelatie succesvol is hersteld:

Status vertrouwde DC-verbinding Status = 0 0x0 NERR_Success

Vertrouwensverificatiestatus = 0 0x0 NERR_Success

Zoals u kunt zien, is het herstellen van het vertrouwen in een domein vrij eenvoudig.

Gerelateerde publicaties: