Не удалось установить сеанс с компьютера так как указанная компьютером учетная запись доверия

Обновлено: 06.07.2024

После обновления уровня домена\леса с 2003 до 2016, стали отваливаться сессии, т.е. под доменной учёткой нельзя зайти в домен, ПК при этом из домена не выкидывает. Помогает перезагрузка, особенно это конечно “доставляет” на боевых серверах, на линуксовых в т.ч.…

Обновление проводилось поэтапно. Сначала были введены 2016 серверы с последующей передачей прав глобального каталога и тп, выводом и понижением до рядовых серверов старых кд. Уровень домена и леса оставался 2003. Проработав в таком режиме пару месяцев был начат процесс повышения уровня домена\леса до 2016. С 2003,2003R2, 2008, 2008R2 и тд до 2016. Никаких прыжков с 2003 сразу до 2016 не было.

По ивентам пробегал не один раз, в основном по тем ошибкам что есть, ведут к проблемам в ДНСах…Якобы есть дубли и тп, сейчас всё почистил, в одной подсети действительно был дубль одного из КД, но это проблему не решило…

Не удалось установить сеанс с компьютера "VIPNET", так как указанная компьютером учетная запись доверия "VIPNET$" отсутствует в базе данных безопасности.
Действие пользователя
Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент. Если это контроллер домена только для чтения, а "VIPNET$" является действительной учетной записью компьютера "VIPNET", то "VIPNET" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи). В противном случае для устранения ошибки можно предпринять следующие шаги.r
Если "VIPNET$" - действительная учетная запись компьютера "VIPNET", то "VIPNET" следует вновь присоединить к домену.
Если "VIPNET$" - действительная учетная запись междоменного доверия, следует восстановить это отношение доверия.
В противном случае (т. е. если "VIPNET$" не является действительной учетной записью) необходимо выполнить следующие действия для компьютера "VIPNET".
Если "VIPNET" - контроллер домена, удалите отношение доверия, связанное с "VIPNET$".
Если "VIPNET" не является контроллером домена, исключите его из состава домена.

Единственное меня напрягает в ДНСах, задвоения служб, с разницой в отметки времени, обычным и КАПСОВЫМ именем. Есть такие не только как на скрине в _tcp, но и в _msdcs и в gc и тд…

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc1
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC1
Запуск проверки: Connectivity
. DC1 - пройдена проверка Connectivity

Выполнение основных проверок

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: kar
Запуск проверки: CheckSDRefDom
. kar - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. kar - пройдена проверка CrossRefValidation

All replies

The opinion expressed by me is not an official position of Microsoft

Гипервизор - Hyper-V, Server 2012.

ОС на всех виртуалках и на хосте 2012 .

Ресурсы виртуалки 2 ГБ оперативки , 1 проц. диска предостаточно. Ошибки про ресурсы наверное dcdiag бы выдал ?

кстати повторный DCDIAG , почти все ошибки исчезли. странно

Диагностика сервера каталогов

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC1
Запуск проверки: Connectivity
. DC1 - пройдена проверка Connectivity

Выполнение основных проверок

Выполнение проверок разделов на: kars
Запуск проверки: CheckSDRefDom
. kars - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. kars - пройдена проверка CrossRefValidation

The opinion expressed by me is not an official position of Microsoft

Продолжил попытки активации WINDOWS 7 через kms

Запустил повторную проверку dcdiag , снова сыпятся ошибки

при проверке slmgr.vbs -dlv ничего не происходит.

dcdiag дает следующий рез-т :

Диагностика сервера каталогов

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC1
Запуск проверки: Connectivity
. DC1 - пройдена проверка Connectivity

Выполнение основных проверок

Выполнение проверок предприятия на: kar
Запуск проверки: LocatorCheck
. kar - пройдена проверка LocatorCheck
Запуск проверки: Intersite
. kar - пройдена проверка Intersite

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Или сбросить учетную запись компьютера:

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Способ третий

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query — проверить безопасное соединение с доменом;

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ четвертый

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.

Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к ее решению с другой стороны.

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом:

Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options. Нас интересуют следующие параметры:

Disable machine account password change — отключает на локальной машине запрос на изменение пароля;

Maximum machine account password age — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

Refuse machine account password changes — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters есть два параметра :

DisablePasswordChange — если равен 1, то запрос на обновление пароля компьютера отключен, 0 — включен.

MaximumPasswordAge — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней .

И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters , только у контролеров домена, параметр:

RefusePasswordChange — если равен 1, то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

Вот вроде и все про доверительные отношения. Как видите, доверие в домене — штука тонкая, так что старайтесь его не терять.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Или сбросить учетную запись компьютера:

Способ третий

Способ четвертый

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом:

И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, только у контролеров домена, параметр:

Читайте также: