Не удалось присоединить этот компьютер к домену из за следующей ошибки отказано в доступе

Обновлено: 24.06.2024

eDth0n
Попробуй проверить все же по ipconfig /all все ли правильно в настройках.
Такая же проблема была, и была связана именно DNS.

Прив несении машины в домен, она тебя спрашивает логин и пароль для подключения к домену.
Ты должен указать логин и пароль администратора домена.
иначе никак.
Создавать ничего не надо, она у тебя уже должна быть уже создана, когда ты создавал домен.
Посмотри в Users & Computers на контроллере домена.

Последний раз редактировалось Bosmr; 22.08.2003 в 16:56 .

1) Проверь что сеть функционирует как следует - пинг.
2) Очень часто глуки такого плана возникают при проблемах с ДНС/WИНС.
Проверь что ДНС сервер работает на DC и что связь работает в обоих направлениях - по именам а не по IP.

3) Проверь и если нужно сотри сусчествуюсчий счет для компутера в домайн.

4) Попытайся подклучить компутер к домаин с записью с правами администратора

Удали на сервере учетную запись компьютера и все записи в днс, касающиеся этой машины.
В настройках днс укажи адрес днс сервера и динамическую регистрацию.
Затем попробуй присоединиться к домену снова, для этого нужна учетная запись с соответствующими доменными права, запись доменного админа- пойдет!. Где её взять? у администратора сети.

PS. если на сервере стоит сервис пак4 и имя домена состоит из одного слова - например local, то могут быть проблемы с динамической регистрацией -подробностиздесь

eDth0n
Твоя проблема решается очень просто.
1. Удаляем из AD любые упоминания о твоей машине.
2. Отсоединяем кабель твоей машины от лок. сети.
3. Присоединяем твою машину к любой несуществующей раб группе. Делается так - правой крысой по мой комп, computer name - самая нижняя кнопка - change. ГОВОРИМ, что являемся членом раб группы. Ребутимся.

Пока ребутимся, на серваке создаем учетную запись пользователя -- логин-пароль.

Далее на своей машине лезешь опять в мой комп и т.д. пункт 3. Только теперь присоединяешь его к домену. Потребуется логин и пароль администратора сервака (или домена). Усе. Ребутимся и вперед.

. пора бы уже написать, что да как .

Хочу еще раз поднять эту проблемму. Перечитал все вышенаписанное, кое что понял кое что не совсем. Попробовал ни чего не получилось.

И так. Домен 2000. Имя компа (домена) Serv
основной dns суффикс dom.local

проблемма условно решена ярлыками (для пользователей)
но для меня это иногда напрягно. не всегда можно вспомнить имя компа к которому надо подключиться
Второе решение. Прибить этот процесс пользователя на серваке. То же не набегаешься.

Да самое главное. Это проявляется в том числе и на новых машинах.
Только проинсталленых (с нуля). Только-только зарегеный новый пользователь в домене новое имя компа.

Описание проблемы с вводом в домен

По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft

После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:

"Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя "" является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы"

База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера

Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.

Причины ошибки "Не удалось изменить DNS-имя основного контроллера домена"

Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.

Остались хвосты от предыдущей учетной записи с тем же именем
Проблема в отключенном NetBIOS в TCP/IP
Режет пакеты Firewall
На контроллере закрыт UDP-порт 137
Отсутствует PTR запись на dns имя этой учетной записи компьютера

Чистим старые хвосты в Active Directory

Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку "Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера". Учетная запись появилась в привычном контейнере "Computers"

Убедитесь, что включен NetBIOS через TCP/IP

Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно "Панель управления\Все элементы панели управления\Сетевые подключения". Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите "Протокол Интернета версии 4 (TCP/IPv4)", далее кнопка "Дополнительно". На вкладке WINS, вам необходимо выбрать пункт "Включить NetBIOS" через TCP/IPv4 и сохранить настройки.

Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.

В принципе этого достаточно, чтобы избавится от ошибки ""Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя "" является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы""

Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.

На первый взгляд имеются проблемы с правами доступа. Однако учетная запись, под которой производится операция, входит в группу доменных администраторов и никаких ограничений на ввод компьютеров в домен для нее быть не может.

Поэтому читаем текст ошибки подробнее и видим, что проблема с доступом не к домену, а к локальным ресурсам сервера, в частности к веткам реестра. На локальном сервере у нас права локального администратора, но получается, что их недостаточно.

Для проверки запускаем оснастку управления локальными групповыми политиками (Win+R -> gpegit.msc). Переходим в раздел Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignments (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя) и видим, что значения некоторых параметров выглядят не совсем корректно.

Вместо имен пользователей и групп в них располагаются непонятные наборы символов, смутно напоминающие 🙂 идентификаторы безопасности (SID).

Для сравнения откроем оснастку на другом, заведомо исправном сервере. Вот так должны видеть корректные настройки.

Для успешного ввода в домен необходимо добавить группу Administrators в параметр Back up files and directories (Архивация файлов и каталогов)

и в параметр Restore files and directories (Восстановление файлов и каталогов).

После внесения изменений в обязательном порядке перезагружаемся и еще раз пробуем ввести компьютер в домен. На сей раз успешно.