Как установить netdom на windows 7

Обновлено: 05.07.2024

Для каждого компьютера или сервера, работающего под управлением Windows 2000 или Windows XP и являющегося членом домена, существует отдельный канал связи с контроллером домена, называемый также безопасным каналом.

При установке сеанса компьютера DOMAINMEMBER не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи DOMAINMEMBER$. Произошла следующая ошибка: Отказано в доступе.

NETLOGON Код события 3210:
Сбой при проверке имени на \\DOMAINDC, контроллере домена Windows NT для домена DOMAIN.

NETLOGON Код события 5722:
При установке сеанса компьютера %1 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи %2. Ошибка: %n%3

В данной статье описаны четыре способа переустановки учетных записей компьютеров под управлением Windows 2000 или Windows XP. Эти способы перечислены ниже.

Использование запускаемого из командной строки средства Netdom.exe.

Использование запускаемого из командной строки средства Nltest.exe.

Примечание. Средства Netdom.exe и Nltest.exe содержатся на компакт-диске Windows Server в папке «Support\Tools». Для их установки необходимо запустить программу Setup.exe или извлечь соответствующие файлы из файла Support.cab.

Использование консоли управления «Пользователи и компьютеры Active Directory».

Использование сценария Microsoft Visual Basic.

Эти средства можно использовать как для удаленного, так и для локального администрирования. Netdom.exe и Nltest.exe – это запускаемые из командной строки средства, выполняющие переустановку успешно установленного безопасного канала. Их не следует использовать при разрыве безопасного канала и неправильной работе подключения.

Дополнительная информация

Netdom.exe

Для каждого компьютера в составе домена существует отдельный канал связи (безопасный канал) с контроллером домена. Безопасный канал используется службой входа в сеть для обмена данными между компьютером домена и контроллером домена. Эта служба обеспечивает переустановку безопасного канала компьютера, входящего в состав домена. Чтобы переустановить безопасный канал компьютера, введите следующую команду:

netdom reset 'компьютер' /domain:'домен, где «компьютер» – имя локального компьютера, а «домен» – имя домена, которому принадлежит учетная запись этого компьютера.

Предположим, в домене МОЙ_ДОМЕН имеется компьютер ЧЛЕН_ДОМЕНА. Чтобы переустановить безопасный канал компьютера, введите следующую команду:

netdom reset ЧЛЕН_ДОМЕНА /domain:МОЙ_ДОМЕН Эту команду можно выполнить на компьютере ЧЛЕН_ДОМЕНА, на любом компьютере – члене данного домена или на контроллере домена, используя учетную запись с правами администратора для компьютера ЧЛЕН_ДОМЕНА.

Nltest.exe

Средство Nltest.exe используется для проверки доверительных отношений между компьютером, работающим под управлением Windows 2000 или Windows XP и являющимся членом домена, и контроллером домена, которому принадлежит учетная запись этого компьютера.

Использование: nltest [/параметры]

/SC_QUERY:имя_домена – Отображает состояние безопасного канала для домена имя_домена на сервере имя_сервера

/SERVER:имя_сервера

/SC_VERIFY:имя_домена – Отображает состояние безопасного канала в заданном домене для локальной или удаленной рабочей станции, сервера или контроллера домена.

Пользователи и компьютеры Active Directory

Windows 2000 и Windows XP позволяют переустановить учетную запись компьютера с помощью графического интерфейса пользователя. Для этого необходимо в оснастке «Пользователи и компьютеры Active Directory» щелкнуть правой кнопкой мыши элемент, соответствующий требуемому компьютеру, и выбрать команду Переустановить учетную запись. При этом учетная запись выбранного компьютера будет переустановлена. Этот способ не позволяет переустанавливать пароль контроллеров домена. Переустановка учетной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.

Примечание. Это делает невозможным дальнейшее подключение компьютера к домену и должно использоваться только после переустановки.

Сценарий Microsoft Visual Basic

Переустановку учетной записи компьютера можно выполнить с помощью сценария Visual Basic. Для этого следует подключиться к учетной записи компьютера с помощью интерфейса IADsUser. Затем необходимо использовать метод SetPassword для присвоения паролю начального значения. Начальным паролем компьютера всегда является «имя_компьютера$».

Приведенные примеры сценариев могут работать не на всех компьютерах и должны быть проверены перед использованием. Первый пример рассчитан на учетную запись компьютера под управлением Windows NT, а второй – на учетную запись компьютера под управлением Windows 2000 или Windows XP.

Конфигурация компьютера
Ноутбук/нетбук: Lenovo ThinkPad W530 24385AU (i7-3740QM 2.7GHz, 24GB RAM, Samsung 840 Pro 256GB + HDD 750GB)
ОС: Windows 10 Pro x64 Release Preview
Прочее: На пенсии: HP Pavilion dv7t (17.3'', i7-2630QM, HD 6770M 1Gb, 8Gb RAM)

начиная с самой программы netdom.exe, которой по-умолчанию в Windows 7 просто нет »

Верно. Используйте командлет PowerShell Add-Computer. Открываете PS, вводите Get-Help Add-Computer и вперед.

P.S. Шаманство с пристроенным неизвестно откуда netdom не нужно, равно как и диагностика этого метода.

-------
Канал Windows 11, etc | Чат @winsiders

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Конфигурация компьютера
Процессор: Intel Core i7-3770K
Материнская плата: ASUS P8Z77-V LE PLUS
Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб)
HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб
Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS
Звук: Realtek ALC889 HD Audio
Блок питания: be quiet! Straight Power 11 650W
CD/DVD: ASUS DRW-24B5ST
Монитор: ASUS VG248QE 24"
ОС: Windows 8.1 Pro x64
Индекс производительности Windows: 8,1
Прочее: корпус: Fractal Design Define R4

Baggurd, поиск по запросу I_NetNameValidate не пробовали?
Сразу находим ссылку.

1) Командлет powershell не может добавлять удаленные компьютеры по ip адресу.
2) По поводу ссылки. Конечно я ее видел. RSAT уже установлен. Если ввожу вот это start /w pkgmgr /iu:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns;RemoteServerAdministrationTools-Roles-AD-DS;RemoteServerAdministrationTools-Roles-AD;RemoteServerAdministrationTools-Roles;RemoteServerAdministrationTools то просто вываливается куча ошибок:

3)Запускай cmd.exe, переходи в каталог, где лежит твой батник и выполняй там такие команды:
where netdom
where netapi32.dll
netdom /?

весь вывод давай сюда:
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\basovva>where netdom
C:\Windows\System32\netdom.exe

C:\Users\basovva>where netapi32.dll
C:\Windows\System32\netapi32.dll

C:\Users\basovva>netdom /?
Синтаксис этой команды:

NETDOM HELP имя_команды
-или-
NETDOM имя_команды /HELP

NETDOM ADD NETDOM RESETPWD NETDOM RESET
NETDOM COMPUTERNAME NETDOM QUERY NETDOM TRUST
NETDOM HELP NETDOM REMOVE NETDOM VERIFY
NETDOM JOIN NETDOM MOVENT4BDC
NETDOM MOVE NETDOM RENAMECOMPUTER

NETDOM HELP SYNTAX выводит объяснения синтаксических правил
команды NET HELP, используемых при описании команд в справке.
NETDOM HELP имя_команды | MORE отображает справку по одному экрану за раз.

Отметим, что подробный вывод можно указать, включив параметр /VERBOSE
в любую из вышеуказанных команд NETDOM.

В этой статье мы рассмотрим проблему нарушения доверительных отношений между рабочей станцией и доменом Active Directory, из-за которой пользователь не может авторизоваться на компьютере. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений компьютера с контроллером домена по безопасному каналу без перезагрузки компьютера.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

The trust relationship between this workstation and the primary domain failed . Не удалось восстановить доверительные отношения между рабочей станцией и доменом .

Также ошибка может выглядеть так:

The security database on the server does not have a computer account for this workstation trust relationship . База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией .

Пароль учетной записи компьютера в домене Active Directory

Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись типа computer. У каждого компьютера в домене, как и у пользователей есть свой пароль, который необходим для аутентификации компьютера в домене и установления доверенного подключения к контроллеру домена. Однако, в отличии от паролей пользователя, пароли компьютеров задаются и меняются автоматически.

Несколько важных моментов, касающихся паролей компьютеров в AD:

• Компьютеры должны регулярно (по умолчанию раз в 30 дней) менять свои пароли в AD. Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domainmember: Maximummachineaccountpasswordage, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).
• Срок действия пароля компьютера не истекает в отличии от паролей пользователей. Смену пароля инициирует компьютер, а не контроллер домена. На пароль компьютера не распространяется доменная политика паролей для пользователей. Даже если компьютер был выключен более 30 дней, его можно включить, он нормально аутентифицируется на DC со старым паролем, и только после этого локальная служба

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Или сбросить учетную запись компьютера:

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Способ третий

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query — проверить безопасное соединение с доменом;

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ четвертый

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.

Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к ее решению с другой стороны.

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом:

Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options. Нас интересуют следующие параметры:

Disable machine account password change — отключает на локальной машине запрос на изменение пароля;

Maximum machine account password age — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

Refuse machine account password changes — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters есть два параметра :

DisablePasswordChange — если равен 1, то запрос на обновление пароля компьютера отключен, 0 — включен.

MaximumPasswordAge — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней .

И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters , только у контролеров домена, параметр:

RefusePasswordChange — если равен 1, то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

Вот вроде и все про доверительные отношения. Как видите, доверие в домене — штука тонкая, так что старайтесь его не терять.

Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.
Для большинства опытных администраторов вряд ли данная статья окажется полезной, но…

Итак, вы устроились на работу. Условия хорошие, зарплата большая, секретарши улыбаются, охрана приветливая, а кофе — бесплатное, но предыдущий сисадмин был студентом третьего курса техникума сельского хозяйства и оставил после себя 50 компьютеров с именами типа «NOVENKIY», «SPORTSMEN», «UVALEN», «23FG34». Ну еще стоит заметить, что половина компьютеров в AD — мертвецы. А те, которые и названы по фамилиям сотрудников — названы фамилиями тех, кто давно не работает в компании.

Кроме всего прочего, этот тип вручную наделал кучу гадостей «для безопасности». И вам абсолютно непонятно, как и с чего начинать. А начинать лучше всего с наведения порядка.

Удаление

Для начала лучше всего скачать утилиту OldCmp — используя её мы отсеем компьютеры, которые не регистрировались в системе больше 30 дней.

oldcmp -disable -unsafe -forreal -llts -age 30

Этой командой мы отключаем те машины, на которые никто не логинился в течении 30 дней. Для доменов младше windows 2003 можно использовать команду, которая обрабатывает не логины, но смену пароля компьютера внутри домена (не пользователя, а именно компьютера)

oldcmp -disable -unsafe -forreal -age 50

Если в течении двух-трех недель (надо оставить это время на «отпускников») к вам никто не обратился — можно удалять отключенные компьютеры:

oldcmp -delete -age 0 -onlydisabled -forreal

Итак, у нас остались только те компьютеры, которые были использованы в течении последних 30 дней.
Как же быть с переименованием?

Теоретическая часть

Тут тоже всё просто. Для начала нам надо скачать утилиты от Microsoft: PsTools, а так Support Tools.

Теперь, что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер. Так как в компании мы еще не знакомы с всеми людьми — лучше всего попросить у HR (или кого-угодно) список сотрудников по отделам — это может помочь нам в распределении компьютеров (и пользователей впоследствии) по папкам AD.

Кстати да, создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем.

Что бы узнать какой компьютер кому принадлежит воспользуемся утилитой PsLoggedOn. Синтаксис очень простой. Мы будем использовать её в таком виде:

psloggedon -l \\computername

На выходе мы получим список пользователей, которые залогинены на компьютере. Если утилита не выполняется — значит выключен сервис удаленного редактирование реестра. Включаем его при помощи комады PsService.

psservice \\computername start remoteregistry

После того как мы получаем имя пользователя залогиненого в систему — переносим компьютер в соответствующую папку AD а в Description отмечаем имя пользователя, который сидит за этим компьютером.

Так же, всем администраторам в новой компании я рекомендую воспользоваться утилитой PsPasswd, для смены пароля локального администратора на известный вам.

pspasswd \\camputername Administrator Password

Теперь настало время воспользоваться утилитой NetDom

Эта утилита из скачанного нами ранее пакета Support Tools — может много чего. Мы будем использовать её для переименования компьютера.
В целом, команда должна выглядеть так:

netdom renamecomputer computername /newname:newcomputer /userd:domainname\adminname /passwordd:*

Эта программа, в отличии от PsTools не умеет исполняться из под текущего пользователя и имя админа надо указывать вручную. Что бы не держать пароль в открытом виде — мы вставили звездочку в поле passwordd — пароль будет запрошен.

После того, как мы переименовали компьютер — нам надо отметить новое имя на списке с пользователями, напротив фамилии сотрудника, для того, что бы потом просто пройтись по отделам и наклеить имена компьютеров на их корпуса (имею ввиду корпуса компьютеров, а не сотрудников).

… И сбоку бантик

Для удобства использования я создал батник, возможно он будет вам удобен:

@echo off
Set DomainName=
Set DomainAdminName=
Set LocalAdminName=
Set LocalPass=
Set PsToolsFolder=
Set SupportToolsFolder=
Set /P TARGET= Enter computer name:
%PsToolsFolder%\psservice \\%TARGET% start remoteregistry
%PsToolsFolder%\psloggedon -l \\%TARGET%
%PsToolsFolder%\pspasswd \\%TARGET% %LocalAdminName% %LocalPass%
echo " "
echo " "
echo " "
Set /P NEWNAME= Set new name of PC:
%SupportToolsFolder%\netdom renamecomputer %TARGET% /newname:%NEWNAME% /userd:%domainname%\%domainadminname% /passwordd:*
echo " "
echo " "
echo " "
echo " "
Set /P Ok= PressAnyKey to exit

Не забудьте заполнить первые поля внутри батника до Set /p TARGET — дальше ничего заполнять не надо.
Ну и не забывайте про отметки на списке и переносе пользователей и компьютеров в соответствующие папки — они нам будут нужны для следующих шагов.

Закрепление

Итак, мы запускаем батник, вводим имя компьютера, и узнаем, кто в теремочке живет, после чего делаем отметку в списке напротив фамилии пользователя и переносим компьютер в нужную нам папку в дереве AD, дальше вводим новое имя компьютера, свой пароль и радостно жмем любую кнопку после завершения процедуры.

После того как все компьютеры переименованы — берем наш листик с пользователями и именами компьютеров, наклейки с именами компьютеров и за 20 минут обходим офис по отделам, клея бумажки на корпуса компьютеров.

После этого когда кто-либо звонит вам вы просто просите прочитать имя компьютера на его корпусе, после чего… Ну, а это уже тема следующей статьи :)

Читайте также:

  
• Ubuntu precise что это
  
• Fsinglesessionperuser windows 10 не работает
  
• Как поставить компилятор с на windows 10
  
• Настройка tacacs на ubuntu
  
• Synology синхронизация папок с windows