Сен 11

Дано: Ошибка «Не удалось восстановить доверительные отношения между рабочей станцией и доменом» или «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией». Необходимо восстановить доверительные отношения между рабочей станцией и контроллером домена без повторного ввода ПК в домен.

Решение 1: Мы уже рассматривали 2 варианта решения данной проблемы при помощи утилиты netdom и патча Fix306348 в этой статье: https://saradmin.ru/?p=1130.

Решение 2: «В лоб»

  • «Сбросить» пароль локального администратора
  • «Выгнать» ПК из домена и включить его в рабочую группу
  • С помощью оснастки Active Directory Users and Computers «сбросить» учётную запись компьютера в домене
  • Повторно «вогнать» ПК в домен

Как видите, это долго, нудно и требуется несколько ребутов.

Решение 3: С использованием утилиты NotDom
В PowerShell
Netdom resetpwd /Server:DС-01 /UserD:Admin /PasswordD:*
где DC-01— имя контроллера домена, Admin — реквизиты учетной записи пользователя с правами администратора домена. Пароль в данном случае вводится после ввода команды непечатаемыми символами. Если хотите ввести пароль сразу в командную строку (вот только зачем?), впишите его вместо *.

Решение 4: С использованием PowerShell
Заходим на проблемный комп под учеткой локального администратора («выгонять» комп из домена не нужно), открываем консоль PowerShell и пишем там:
Reset-ComputerMachinePassword -Server DC-01 -Credential Domain\Admin
где DC-01— имя контроллера домена, Domain\Admin — реквизиты учетной записи пользователя с правами администратора домена.
В открывшемся окне указываем пароль этой учетной записи.

И не забывайте, что PowerShell нужно запускать с правами администратора.

Автор: Johnny Тэги: , , , , , , , , , , , ,


Ноя 09

Дано: при установке IP-адреса появляется ошибка «IP-адрес IP-адрес, указанный для этого сетевого адаптера, уже назначен другому адаптеру имя адаптера. Имя адаптера скрыто от папки «Сетевые подключения», поскольку он либо физически отсутствует в компьютере, либо является устаревшим и не работает. Если обоим устройствам назначен один и тот же адрес, только одно из них сможет его использовать. Это может привести к неполадкам в работе системы. Ввести другой IP-адрес для этого адаптера в список IP-адресов в окне дополнительных параметров?».

Решение: нужно удалить отключенный и не видимый в диспетчере устройств сетевой адаптер.
1. «Пуск» -> «Выполнить» -> cmd
2. Включаем отображение скрытых устройств: set devmgr_show_nonpresent_devices=1
3. Запускаем «Диспетчер устройств» Start DEVMGMT.MSC
4. Открываем «Вид» -> «Показать скрытые устройства»

5. В разделе «Сетевые адаптеры» находим отключенный и удаляем.

Автор: Johnny Тэги: , , , , , , , , ,


Окт 11

Итак, если не получается зайти на компьютер, находящийся в домене под управлением windows server 2008 r2 (у меня это терминальный сервер) с ошибкой «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией», для восстановления доверительных отношений с контроллером можно поступить несколькими способами.

База данных диспетчера учетных записей...

Способ 1. Для начала проверяем, выполняется ли запрос безопасного канала доступа. Открываем командную строку и пишем:
nltest/SC_QUERY:имя_домена
Если утилита сообщает об ошибке, ставим этот патч и радуемся жизни работе в домене. Если же утилита сообшает о том, что статус NERR_Success, переходим к водным процедурам следующему способу.

Способ 2. Заново вводим ПК в домен. Минус тут один: профили тех пользователей, которые раньше уже входили на этот ПК, придется переносить вручную.

Способ 3. Если мы хотим, чтобы профили ранее входивших на этот комп пользователей сохранились, в командной строке пишем:

netdom reset /d:имя_домена имя_ПК

или явно указываем имя контроллера домена, с которым будем устанавливать доверительные отношения и логин/пароль пользователя:

netdom reset /d:имя_домена имя_ПК /server:имя_контроллера_домена /uo:имя_пользователя /po:пароль
Чтобы не вводить пароль в открытом виде, а ввести его по запросу, вместо пароля после параметра po пишем звёздочку (*)

Автор: Johnny Тэги: , , , , , , , , , , , ,


Окт 11

Столкнулись мы тут с проблемой, когда на настроенном терминальном сервере с EasyPrint кроме собственного перенаправленного принтера видны еще и другие принтеры. Кроме того, всё это сопровождается «тормозами» в работе.
Заглянув в свойства сервера печати, в разделе «Порты» обнаружил множество портов «Inactive TS Port», на которых «висят» те самые отсутствующие сетевые принтеры, которые на этом сервере терминалов не установлены.
 Inactive TS Port на терминальном сервере

Продолжение »

Автор: Johnny Тэги: , , , , , , , , , , , , ,


Сен 16

Запретить обзор сети через групповые политики в Windows 2008 R2В далекие годы настроил я групповую политику для терминальных пользователей на Windows 2003 таким образом, чтобы не было у них возможности видеть другие компьютеры в сети и, соответственно, заходить на них.

В Win2k3 это все делалось двумя политиками:

В управлении групповой политикой открываем «Конфигурация пользователя > Шаблоны администрирования > Компоненты Windows > Проводник (User Configuration > Administrative Templates > Windows Components > Windows Explorer) и включаем там две политики:

«Скрыть значок «Вся сеть» в папке «Сеть»» («No Entire Network in My Network Places»)
«Скрыть значок «Соседние компьютеры» в папке «Сеть»» («No Computers Near Me in My Network Places»)

Но после появления терминальных серверов на Windows 2008R2 при этих включенных политиках пользователи вдруг начали видеть компьютеры в сети из терминалки.

Продолжение »

Автор: Johnny Тэги: , , , , , , , , , , , , ,


При использовании материалов сайта на других ресурсах прошу оставлять прямую ссылку на оригинал статьи.