조만간 Microsoft 제품을 기반으로 하는 도메인 네트워크의 관리자는 두 가지 유사한 오류를 처리해야 합니다. "이 사이에 신뢰 관계를 구축하지 못했습니다. 워크스테이션및 메인 도메인"서버의 계정 관리자 데이터베이스에 이 워크스테이션과의 신뢰 관계를 통해 컴퓨터를 등록하기 위한 항목이 없습니다." 이러한 메시지 외에도 도메인 계정으로 컴퓨터에 로그인할 수 없습니다.

오류의 원인과 치료 방법을 분석해 드립니다.

도메인 내 Windows 네트워크모든 컴퓨터와 사용자 계정에는 고유한 SID(보안 식별자)가 할당됩니다. 본질적으로 도메인의 각 컴퓨터에는 자체 컴퓨터 계정도 있다고 말할 수 있습니다. 사용자 계정과 유사하게 이러한 계정에는 암호도 있습니다. 주어진 비밀번호컴퓨터에서 자동으로 만들어 도메인 컨트롤러에 제공합니다. 따라서 워크스테이션과 도메인 컨트롤러 간에 이러한 신뢰 관계가 형성되며 이는 오류 텍스트에 언급되어 있습니다.

30일마다 또는 장기간 사용하지 않은 후 처음으로 전원을 켜면 컴퓨터가 자동으로 암호를 변경합니다. 이론적으로 모든 것이 아름답고 기계는 실수를 저지르고 잘못된 암호를 "입력"할 수 없는 것 같습니다. 그러나 때때로 이것은 여러 가지 이유로 발생합니다.


이 워크스테이션과 기본 도메인 간의 신뢰 관계를 설정하지 못했습니다.

가장 일반적인 원인은 Windows 운영 체제를 이전 상태로 롤백하는 것입니다. 당연히 복원 지점이 일찍 생성될수록 오류 가능성이 커집니다. 이 경우 복구 후 컴퓨터는 도메인 컨트롤러에 이전 암호를 표시하기 시작하고 컨트롤러에는 이미 새 암호가 포함되어 있습니다.

도메인에 이름이 같은 스테이션이 두 개 있는 경우에도 오류가 발생할 수 있습니다. 예를 들어, 새 컴퓨터에 폐기된 컴퓨터의 이름을 지정한 다음 다시 켜면 이러한 상황이 발생할 수 있습니다. 오래된 컴퓨터이름을 바꾸는 것을 잊었습니다.

에서 가능한 이유그것을 알아 냈습니다. 이제 문제를 해결하는 방법에 대해 설명합니다. 여러 가지 방법이 있지만 모든 방법은 컴퓨터 계정을 다시 설치하거나 암호를 재설정하는 것입니다.

첫 번째 방법에 계정을 다시 설치하는 것입니다.

그런 다음 아래의 컴퓨터로 이동해야 합니다. 로컬 관리자도메인에서 워크스테이션을 제거하여 작업 그룹(컴퓨터 → 속성 → 추가 옵션시스템 → 컴퓨터 이름 → 변경).

두 번째 방법를 통해 비밀번호를 재설정하는 것입니다. 그러나 PowerShell 버전 3.0 이상이 필요하다는 것을 예약합시다. 또한 로컬 관리자로 컴퓨터로 이동하여 다음 cmdlet을 입력합니다.

Reset-ComputerMachinePassword -서버 도메인 컨트롤러 -자격 증명 도메인\관리

이 경우 -Server는 도메인 컨트롤러 이름이고 -Credential은 도메인 관리자 계정입니다.

cmdlet은 성공적으로 완료되면 메시지를 표시하지 않습니다. 이 방법재부팅이 필요하지 않다는 점에서 매력적입니다. 사용자를 변경하고 도메인 계정으로 머신에 로그인하기만 하면 됩니다.

세 번째 방법컴퓨터 암호 재설정은 유틸리티를 사용하는 것입니다 넷돔, 이후 Microsoft 서버 OS에 등장한 윈도우 서버 2008. 클라이언트 운영 체제에서는 RSAT 패키지(도구 원격 관리섬기는 사람).

이전 방법과 마찬가지로 이 방법도 로컬 관리자에서 수행됩니다. 입력 명령줄:

Netdom resetpwd /Server:DomainController /UserD:Admin /PasswordD:Password /SecurePasswordPrompt

원칙은 PowerShell 예제에서 본 것과 유사합니다. /Server는 도메인 컨트롤러, /UserD는 도메인 관리자 계정, /PasswordD는 도메인 관리자 계정의 암호입니다. /SecurePasswordPrompt 옵션을 사용하여 별표 뒤에 암호를 숨길 수도 있습니다. 재부팅도 필요하지 않습니다.

방법 4그리고 우리 기사의 마지막은 유틸리티를 사용하는 것입니다 테스트, 모든 워크스테이션에서 기본적으로 사용할 수 있습니다.

명령줄에서 유틸리티를 실행하고 먼저 도메인에 대한 보안 연결을 확인합니다.

테스트 / 쿼리

그럼 리셋하자 계정도메인의 컴퓨터:

Nltest /sc_reset:도메인

마지막으로 컴퓨터 암호를 재설정합니다.

nltest /sc_change_pwd:도메인

불행히도 그러한 훌륭한 유틸리티단점이 있습니다. 먼저 유틸리티는 도메인 관리자의 로그인/비밀번호를 묻지 않으므로 실행한 사용자로 실행되므로 액세스 오류가 발생할 수 있습니다.

이 문서의 시작 부분에 있는 도메인 내의 신뢰 관계와 관련된 또 다른 오류가 있습니다. 다음과 같이 보입니다.

이 경우 유틸리티가 다시 도움이 될 것입니다. 테스트. 도메인에 대한 보안 연결을 다시 확인:

테스트 / 쿼리

오류 메시지가 나타나면 오류를 수정하려면 이 패치를 설치하면 됩니다. 연결 상태가 다음과 같을 경우 NERR_성공, 다음을 수행하십시오.

netdom 재설정 /d:도메인 컴퓨터 이름 netdom 재설정 /d:도메인 컴퓨터 이름 /서버:도메인 컨트롤러 /uo:관리자 /po:비밀번호

두 번째 경우에는 신뢰 관계를 설정하려는 도메인 컨트롤러를 명시적으로 지정합니다.

유틸리티는 보안 채널이 재설정되었고 새로운 연결이 설정되었다는 메시지로 우리를 기쁘게 할 것입니다.

따라서 도메인에서 신뢰를 복원하는 몇 가지 방법이 있습니다. 최대한 적게 사용하시길 바랍니다. 🙂

이 주제는 사용자가 edgi는 두 포리스트 간의 전이적 관계 생성에 대한 질문을 했고 포럼에서 다른 링크를 제공했습니다. http://sysadmins.ru/topic178164.html사용자는 전이성을 보장하기 위해 세 번째 포리스트가 필요하기 때문에 두 포리스트 사이에 신뢰 관계를 설정하는 것이 불가능하다는 사실에 대해 논쟁하는 등 ....

전이적 신뢰 관계를 인식하기 위해 신뢰 전이적 관계를 제공하기 위해 제3자가 반드시 필요한 것은 아닙니다.

하지만 포리스트 간의 신뢰 관계를 구축하는 과정을 살펴보겠습니다.

메모: 처음 생성된 도메인은 다음과 같다는 것을 잊지 마십시오. 루트 도메인그리고 목재그리고 . 즉, 기본적으로 네트워크에서 처음 생성된 도메인은 루트 도메인과 포리스트 및 트리(한 유리에 3개 ... 미안 병)로 간주되어야 합니다.

단순화를 위해 이러한 루트 도메인을 동일한 네트워크에 배치합니다. 다른 네트워크에 있는 경우 이러한 도메인(또는 오히려 이러한 도메인의 DNS, 따라서 당연히 도메인 컨트롤러)는 어떤 식으로든 서로를 보았습니다. DNS 서버가 다른 네트워크에 있는 경우 이러한 네트워크가 서로를 볼 수 있도록 하는 방법을 처리해야 합니다(이를 수행하는 방법은 별도의 대화이므로 지금은 여기에서 고려하지 않습니다).

이러한 도메인의 DNS 서비스가 서로를 보는 것이 왜 그렇게 중요한가요? 그러나 Windows Server의 핵심에는 DNS 서비스를 사용하여 도메인 컨트롤러를 찾는(인식하는) 작업이 수행되기 때문입니다. 즉, 도메인의 DNS 서비스가 잘못 구성된 경우 이 도메인 컨트롤러 또는 도메인 컨트롤러(많은 경우)를 찾는 것이 불가능합니다. 즉, 간단히 말하면 - 도메인 컨트롤러는 DNS 서비스를 사용하여 서로를 봅니다. . 나중에 별도의 기사에서 도메인 컨트롤러를 찾는 프로세스를 설명할 것이라고 생각하지만, 지금은 도메인 컨트롤러가 제대로 구성된 DNS 서비스 없이 "맹인"(네트워크에서 아무 것도 볼 수 없음)이라는 점을 기억하십시오.

이미 언급했듯이 신뢰 관계는 포리스트, 트리, 도메인 간의 연결 링크 역할을 합니다. 스냅인은 트러스트 관계를 관리하는 데 사용됩니다. 액티브 디렉토리- 도메인 및 트러스트, 그림 1 참조.



그림 1.

그러나 신뢰 관계를 만들기 전에 우리가 가지고 있는 것을 설명합시다. 따라서 우리는 두 개의 루트 도메인을 가지고 있으므로 포리스트와 트리, 즉 rk.com과 xu.com이 같은 회사에 속해 있고 같은 네트워크에 있다고 가정하겠습니다. Active Directory와 함께 설치된 통합 DNS 서비스가 있는 첫 번째 도메인 컨트롤러의 IP 주소(누가 무엇인지 기억하지 못함, 여기 참조)는 192.168.0.1(rk.com)이고 두 번째 포리스트 루트 도메인은 192.168.0.5( xu.com). 즉, DNS 서비스는 첫 번째 도메인 컨트롤러와 두 번째 도메인 컨트롤러에 모두 설치됩니다. (DNS를 설치하고 구성하는 방법은 다른 기사의 사이트에서 찾을 수 있습니다)

신뢰 관계를 만들기 전에 먼저 확인해야 할 사항은 두 포리스트의 루트 도메인이 DNS를 통해 서로를 볼 수 있다는 것입니다. 이를 위해 rk.com 포리스트 루트 도메인에서 잘 알려진 nslookup 유틸리티를 사용하여 제공하는 내용을 확인합니다. 그림 2를 참조하십시오.



그림 2.

그림 2에서(젠장... 그림이 아니라 그림을 써야 할 수도 있지만 관대하게 용서해 주십시오...) xu.com(이웃 숲 ) 매개 변수를 제공했으며 원칙적으로 DNS 서비스가 실행 중이고 DNS 서비스가 서로를 볼 수 있음을 나타냅니다. xu.com 루트 도메인에서도 동일한 작업을 수행할 수 있습니다(그림 3 참조).



그림 3

전달을 설정하기 위해 컴퓨터에 있는 도메인 컨트롤러의 DNS 스냅인으로 이동합니다. 이 스냅인은 이름 server1 아래에 있습니다. 마우스 오른쪽 버튼으로 클릭쥐가 열리다 상황에 맞는 메뉴, 상황에 맞는 메뉴에서 속성을 선택하고 클릭합니다. 그림 4와 같은 창이 열리고 "전달" 탭을 선택합니다.



그림 4

이 탭에서 "만들기" 버튼을 클릭하고 전달할 도메인 이름을 작성합니다. 이 경우 xu.com 포리스트 루트 도메인입니다. 탭의 "선택한 도메인의 IP 전달자 목록" 필드 바로 아래에 해당 IP 주소를 추가하십시오. 이 예에서는 192.168.0.5입니다.

xu.com 도메인 컨트롤러 서버에서도 동일한 작업을 수행할 수 있습니다. 프로세스는 완전히 동일합니다. 다른 도메인과 다른 주소만 작성하면 됩니다. 우리의 경우 이것은 rk.com 도메인이고 IP는 192.168.0.1입니다.

따라서 DNS 서버를 파악하고 서로를 확인하고 나면 트러스트 관계 생성으로 이동하여 그림 1에 표시된 "도메인 및 트러스트" 스냅인으로 이동합니다.

또한 이 두 포리스트(rk.com 및 xu.com)가 전이적 트러스트 관계를 통해 서로 연결되도록 하려면 포리스트 기능 모드를 "Windows Server 2003" 수준(포리스트 및 도메인용)으로 설정해야 합니다. 작동 모드는 여기를 참조하십시오). 따라서 "도메인 및 트러스트" 스냅인에서 "Active Directory - 도메인 및 트러스트" 상단에 서서 오른쪽 버튼으로 상황에 맞는 메뉴를 엽니다(그림 5 참조).



그림 5

컨텍스트 메뉴에서 " 숲 운영 모드 변경 중..."를 클릭하고 포리스트 운영 모드가 가능한 창이 열립니다. 운영 모드 "Windows Server 2003"을 선택하십시오. 이 운영 모드에서 포리스트 운영의 하위 모드로 전환하는 것은 불가능합니다(그림 6 참조). 즉, 선택할 때 산림 운영 모드는 다른 산림 운영 모드로 전환하는 것이 불가능하기 때문에 신중하게 생각하십시오....



그림 6

우리가 숲의 운영 모드를 가능한 최대로 높인 후, 즉"Windows Server 2003"은 교육용으로 도메인 운영 모드도 수준까지 높일 예정입니다.윈도우 서버 2003. 이를 위해 루트 도메인이 되어 상황에 맞는 메뉴를 엽니다(그림 7 참조).



그림 7

동일한 작업, 즉 xu.com 루트 도메인 컨트롤러에서 포리스트 및 도메인 수준을 높입니다.

포리스트(rk.com 및 xu.com)와 도메인이 기능 모드에서 작동하는지 확인했을 때"Windows Server 2003", 전이 포리스트 트러스트 생성을 시작하겠습니다.

주목! 도메인 포리스트 중 하나 이상이 기능 수준에 있는 경우"Windows 2000", 도메인 포리스트는 외부 트러스트에 의해서만 조인될 수 있습니다.

"도메인 및 트러스트" 스냅인에서 루트 도메인의 이름이 됩니다. 이 경우에는 rk.com이고 마우스 오른쪽 버튼으로 컨텍스트 메뉴를 엽니다. 그림 8과 같은 창이 열리면 "신뢰" 탭으로 이동합니다.


그림 8

이 탭에서 "신뢰 생성" 버튼을 클릭합니다. 이 키를 클릭하면 "신뢰 관계 생성 마법사"가 열립니다(그림 9 참조).



그림 9



그림 10.

"이름"필드에 신뢰 관계를 만들려는 도메인의 이름을 씁니다. 이 예에서는 xu.com 포리스트의 루트 도메인입니다.... 우리는 키보드를 누르지 않습니다. - 다음 ....

신뢰 유형 선택에 대한 제안이 있는 창이 열립니다(그림 11 참조).



안녕하세요, Habrahabr 독자 여러분! 인터넷에서 우리 각자는 도메인 컨트롤러를 통한 컴퓨터 인증 실패에 대한 많은 개별 기사를 찾을 수 있습니다. 더 정확하게는 도메인에 연결된 컴퓨터가 연결이 끊어집니다.

자, 이 문제를 공부해 봅시다.

크고 작은 회사에서 일하는 많은 IT 엔지니어는 다음과 같은 컴퓨터를 가지고 있습니다. 운영 체제윈도우 7, 8.1 등 이러한 모든 컴퓨터는 도메인 네트워크(DC)에 연결됩니다.

이 문제는 Kerberos 네트워크 프로토콜이 도메인에 가입된 컴퓨터(이 워크스테이션과 기본 도메인 간의 트러스트 관계가 실패함)와 동기화 및 인증할 수 없기 때문에 발생합니다. 그런 다음 이러한 오류를 볼 수 있습니다(아래 사진 참조).

그 후 우리는 찾고 있습니다 타사 프로그램, 다운로드, 생성 부팅 가능한 플래시 드라이브로컬 관리자를 통해 로그인하고 도메인을 종료하고 컴퓨터를 작업 그룹에 추가한 다음 이 컴퓨터를 도메인에 다시 연결합니다.

Windows Batch 스크립팅을 사용하여 박쥐 파일을 만들고 로컬 관리자를 만들고 추가하는 프로세스를 자동화하고 싶습니다. 우리가 필요한 유일한 것은 생성 후 주어진 파일그것을 실행하십시오.

우리는 우리의 텍스트 에디터, 아래 표시된 명령을 입력하십시오.

Net user admin Ww123456 /add /active:yes WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE net localgroup 관리자 admin /add net localgroup 사용자 admin /delete netsh advfirewall set allprofiles state off
불분명한 포인트를 없애기 위해 모든 커맨드 포인트를 살펴보자.

Net user admin(admin이라는 단어 대신 자신에게 맞는 이름을 추가할 수 있습니다. 기본값은 administrator, 제 경우에는 admin입니다).
다음으로 Ww123456(기억하는 모든 암호를 입력할 수 있음)에 입력한 암호가 표시됩니다.

/add /active:yes를 확인한 후 - 추가 및 활성화: YES

WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE - 이 명령은 추가되는 관리자가 영구 비밀번호만료 날짜가 없습니다(아래 그림 참조).

세 번째와 네 번째 지점은 기본적으로 로컬 관리자가 생성될 때 Member Of 항목이 Users라는 사실에 의해 상호 연결됩니다(사진 참조). OS에 대한 전체 관리자를 만들고 있기 때문에 필요하지 않습니다(사용자). 따라서 네 번째 명령인 net localgroup Users admin /delete는 사용자를 삭제하고 이전 명령인 net localgroup Administrators admin /add는 관리자를 추가합니다(사진 참조).

마지막 명령인 netsh advfirewall set allprofiles state off는 Windows 방화벽을 비활성화합니다.
때로는 Windows-e에서 프로그램을 설치하거나 명령을 내리기 위해 방화벽을 꺼야 합니다(스크립트를 실행한 후 명령을 입력할 수 있습니다. 타사 방화벽을 사용하고 있기 때문에 기본적으로 꺼져 있습니다. 이 순간각 개인의 재량에 따라).

그런 다음 노트북으로 이동하여 파일을 클릭하고 다른 이름으로 저장 ...(다른 이름으로 저장 ...) 스크립트 이름을 입력합니다(제 경우에는 localadmin). 그런 다음 점(.)을 넣고 박쥐 형식을 작성합니다. 스크립트. 저장할 위치 선택 이 항목저장을 클릭합니다. 그림에서 더 자세히 표시됩니다.

여기에 그러한 스크립트가 있습니다(사진 참조).

이 스크립트는 시작할 때 관리자로 열어야 합니다.

마우스 오른쪽 버튼을 누르고 관리자 권한으로 실행합니다(사진 참조).

스크립트를 실행한 후 이러한 창이 표시되어야 합니다(사진 참조).

어떤 이유로 오류가 발생하면 이러한 경우의 90%에서 Windows를 설치한 이미지에 라이센스가 없거나 일종의 재포장 등으로 인한 것입니다. 라이센스 및 검증된 소프트웨어를 다운로드하여 사용하십시오.

로컬 관리자를 성공적으로 추가한 후 Windows가 설치된 사무실의 모든 워크스테이션에서 이 스크립트를 실행할 수 있습니다.

이 오류가 발생하는 경우: 이 워크스테이션과 기본 도메인 간의 신뢰 관계가 실패했습니다. 사용자 전환을 수행하고 로그인 위치를 쓰기만 하면 됩니다.\admin(기억하십시오! 점은 슬래시 앞의 시작 부분에 놓입니다. !), 스크립트에 추가한 암호를 더 아래로 입력합니다(제 경우: Ww123456). 그런 다음 작업 OS로 이동합니다.

도메인에서 컴퓨터를 제거하고 작업 그룹에 추가해야 합니다. Workgroup 대신 아무 문자나 입력합니다(사진 참조).

그런 다음 도메인 관리자 암호를 입력하고 컴퓨터를 다시 시작하라는 메시지가 표시됩니다.
재부팅 후 로컬 관리자로 다시 이동한 다음 컴퓨터를 도메인에 추가합니다. 시스템을 다시 한 번 재부팅하고 짜잔! 사용자는 문제 없이 도메인에 다시 연결할 수 있습니다!

추신 이 시스템 Windows 서버 부분에서도 작동하지만 방화벽을 비활성화한 후 서버용 스크립트를 작성하는 경우 다시 활성화해야 합니다(netsh advfirewall이 allprofiles 상태를 끄기 전, netsh advfirewall에서 allprofiles 상태를 설정한 후).

관심을 가져 주셔서 감사합니다!

때때로 모든 사람이 처리해야 하는 "이 워크스테이션과 기본 도메인 간의 트러스트 관계를 설정하지 못했습니다"라는 오류가 표시됩니다. 시스템 관리자. 그러나 모든 사람이 그 발생으로 이어지는 과정의 원인과 메커니즘을 이해하는 것은 아닙니다. 진행 중인 사건의 의미를 이해하지 못하면 의미 있는 행정이 불가능하고, 이는 무분별한 지시의 실행으로 대체되기 때문입니다.

사용자 계정과 같은 컴퓨터 계정은 도메인 보안의 구성원입니다. 각 보안 주체에는 도메인 리소스에 액세스하는 수준에서 SID(보안 식별자)가 자동으로 할당됩니다.

계정에 도메인에 대한 액세스 권한을 부여하기 전에 인증을 확인해야 합니다. 보안 주체마다 고유한 계정과 암호가 있어야 하며 컴퓨터 계정도 예외는 아닙니다. 컴퓨터가 Active Directory에 가입되면 "컴퓨터" 유형의 컴퓨터 계정이 생성되고 암호가 설정됩니다. 이 작업이 도메인 관리자 또는 명시적 권한이 있는 다른 사용자에 의해 수행된다는 사실에 의해 이 수준의 신뢰가 보장됩니다.

그런 다음 컴퓨터가 도메인에 로그온할 때마다 도메인 컨트롤러와 보안 채널을 설정하고 자격 증명을 알려줍니다. 따라서 컴퓨터와 도메인 간에 신뢰 관계가 설정되고 관리자가 설정한 보안 정책 및 액세스 권한에 따라 추가 상호 작용이 발생합니다.

컴퓨터 계정 비밀번호는 30일 동안 유효하며 이후 자동으로 변경됩니다. 암호 변경은 컴퓨터에 의해 시작된다는 점을 이해하는 것이 중요합니다. 이는 사용자의 비밀번호를 변경하는 과정과 유사합니다. 그것을 발견하고 현재 비밀번호만료되면 컴퓨터는 다음에 도메인에 가입할 때 이를 교체합니다. 따라서 몇 달 동안 컴퓨터를 켜지 않아도 도메인의 신뢰 관계는 유지되며 오랜 휴식 후 첫 로그인 시 비밀번호가 변경됩니다.

컴퓨터가 잘못된 암호를 사용하여 도메인에 인증을 시도하면 트러스트 관계가 깨집니다. 어떻게 이런 일이 일어날 수 있습니까? 가장 쉬운 방법은 예를 들어 표준 시스템 복원 유틸리티를 사용하여 컴퓨터 상태를 롤백하는 것입니다. 이미지, 스냅샷에서 복원할 때도 동일한 효과를 얻을 수 있습니다( 가상 머신) 등.

또 다른 옵션은 같은 이름을 가진 다른 컴퓨터에서 계정을 변경하는 것입니다. 아주 드문 경우지만, 예를 들어 직원의 PC가 이름을 유지하면서 변경된 경우 도메인에서 이전 PC를 제거한 다음 도메인에 다시 입력하고 이름을 변경하는 것을 잊어버린 경우가 있습니다. 이 경우 기존 PC는 도메인 재진입 시 컴퓨터 계정 비밀번호를 변경하게 되며, 새 PC는 신뢰 관계를 맺을 수 없기 때문에 더 이상 로그인이 불가능하게 됩니다.

이 오류에 직면했을 때 어떤 조치를 취해야 합니까? 우선, 신뢰 위반의 원인을 확인하십시오. 롤백이라면 누가, 언제, 어떻게 만들어졌는지, 다른 컴퓨터에서 암호를 변경했다면 언제, 어떤 상황에서 이런 일이 발생했는지 다시 찾아야 합니다.

간단한 예: 오래된 컴퓨터의 이름이 바뀌고 다른 부서에 양도된 후 충돌이 발생하여 자동으로 최신 컴퓨터로 롤백되었습니다. 검문소. 그 후 이 PC는 기존 이름으로 도메인에서 인증을 시도하고 자연스럽게 신뢰 관계를 설정하는 오류가 발생합니다. 이 경우 올바른 조치는 호출되어야 하는 대로 컴퓨터의 이름을 바꾸고 새 검사점을 만들고 이전 검사점을 삭제하는 것입니다.

그리고 객관적으로 필요한 조치로 인해 신뢰 위반이 발생했는지 확인한 후에만 신뢰 회복을 시작할 수 있습니다. 이것은 여러 가지 방법으로 수행할 수 있습니다.

Active Directory 사용자 및 컴퓨터

이것은 가장 쉬운 방법이지만 가장 빠르고 편리한 방법은 아닙니다. 모든 도메인 컨트롤러에서 스냅인 열기 Active Directory 사용자 및 컴퓨터, 필요한 컴퓨터 계정을 찾은 다음 마우스 오른쪽 버튼을 클릭하여 계정 다시 설치.

그런 다음 아래에서 신뢰를 잃은 컴퓨터에 로그인합니다. 로컬 관리자도메인에서 머신을 제거합니다.

그런 다음 다시 입력하면 이 두 작업 사이에 재부팅을 건너뛸 수 있습니다. 도메인 재진입 후 도메인 계정으로 재부팅 후 로그인 합니다. 컴퓨터가 도메인에 다시 가입되면 컴퓨터 암호가 변경됩니다.

이 방법의 단점은 시스템을 도메인에서 제거해야 하고 두 번의 재부팅이 필요하다는 것입니다.

넷돔 유틸리티

이 유틸리티는 에디션 2008부터 Windows Server에 포함되어 있으며 RSAT(Remote Server Administration Tools) 패키지를 통해 사용자 PC에 설치할 수 있습니다. 사용하려면 대상 시스템에 로그인하십시오. 로컬 관리자다음 명령을 실행하십시오.

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

명령 옵션을 살펴보겠습니다.

  • 섬기는 사람- 모든 도메인 컨트롤러의 이름
  • 사용자D- 도메인 관리자 계정 이름
  • 비밀번호D- 도메인 관리자 비밀번호

명령을 성공적으로 실행한 후 재부팅할 필요가 없으며 로컬 계정에서 로그아웃하고 도메인 계정으로 로그인하면 됩니다.

PowerShell 3.0 cmdlet

Netdom 유틸리티와 달리 PowerShell 3.0은 Windows 8/Server 2012부터 시스템에 포함되어 있으며 이전 시스템의 경우 수동으로 설치할 수 있으며 Windows 7, Server 2008 및 Server 2008 R2가 지원됩니다. 종속성으로 필요 넷 프레임 워크 4.0보다 낮지 않습니다.

같은 방법으로 신뢰를 복원하려는 시스템에 로컬 관리자로 로그온하고 PowerShell 콘솔을 시작하고 다음 명령을 실행합니다.

Reset-ComputerMachinePassword -서버 도메인 컨트롤러 -자격 증명 도메인\관리

  • 섬기는 사람- 모든 도메인 컨트롤러의 이름
  • 신임장- 도메인 이름 / 도메인 관리자 계정

이 명령을 실행하면 지정한 도메인 관리자 계정의 비밀번호를 입력해야 하는 인증 창이 나타납니다.

cmdlet은 성공 시 메시지를 표시하지 않으므로 재부팅할 필요 없이 계정만 변경하면 됩니다.

보시다시피 도메인에서 신뢰를 복원하는 것은 매우 간단합니다. 가장 중요한 것은 경우에 따라 다른 방법이 필요하기 때문에 이 문제의 원인을 올바르게 판별하는 것입니다. 따라서 우리는 반복에 지치지 않습니다. 문제가 발생하면 네트워크에서 찾은 첫 번째 지침을 무심코 반복하는 대신 먼저 원인을 파악한 다음 수정 조치를 취해야 합니다.