Компьютер не может установить безопасный сеанс связи с контроллером домена
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Windows7. Не сразу видит контроллер домена при перезагрузкеДоброго дня всем.
Поломал голову себе уже, помогите пожалуйста.
Симптомы следующие:
При включении компьютера ОС не сразу обнаруживает контроллер домена, и как следствие вылезает пучок разных проблем (самое неприятное - не отрабатывают политики настроенные на вход пользователя\компьютера, не перенаправляются рабочие столы и т.д.).
В журнале SYSTEM это выглядит как:
Event: 5719, Source: NETLOGON, Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAINNAME по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Если дать компьютеру постоять в таком виде буквально секунд 30-40, и после этого выйти из системы и зайти (не перегружаясь!!) то все ок - все видно, доступно и применяется.
Раньше, во времена WinXP такая проблема иногда случалась и лечилась двумя заплатками:
1) включить через GP опцию синхронного применения политик "Всегда ждать сеть при запуске и входе в систему";
2) добавить ключик в реестр отключающий параметр DHCPMediasense для сетевой карты
После этого компьютер чуть дольше грузился (что логично), но зато все работало нормально.
Ну или самым радикальным было - перевести компьютер на 100Mbit сеть. В этом случае - все работало идеально без каких-либо сбоев. Да, я не сказал это сразу, а надо было бы: проблема наблюдается ТОЛЬКО НА 1Gbit сети. При этом нет никакой корреляции с сетевыми картами и свичами, т.е. на разном оборудовании в разных сочетаниях.
Но это было давно, а сейчас, в случае с Windows 7 - известные колдунства с реестром не помогают. Переводить на 100Mbit - не хочется.
Также пробовал сделать следующее:
- обновить драйвер сетевой и биос материнки
- отключить IPv6
- поиграться с параметрами сетевой карты (типа автопонижение скорости при включении, green Ethernet и т.д.)
Может кто сталкивалсяс подобеным? Как решали? В принципе научить пользователся нехитрой манипуляции "войди в систему, подожди 1 мин, выйди войди заново" - нетрудно, но это решает только часть проблемы. А хочется решить - всю.
В DNS не регистрируется второй IP-адрес
Имеется: 1) Win 2008 R2 (AD+DNS+DHCP, в DNS одна зона прямого и две обратного - 0 и 2) Настройка.
Не регистрируется имя нового компьютера в DNS зоне прямого просмотра
Всем привет ещё раз. Ситуация такая. Не регистрируется имя в DNS при подключении компьютера к.
Сравнение DNS сервера MS Windows DNS и BIND
Доброго времени суток. Прошу помощи в выборе правильных критериев в сравнении ПО. Сравниваются DNS.
Добавление DNS имени на DNS сервер
Добрый день! у меня в наличии есть 2 домен контроллера с днс серверами соответственно. Я хочу.
работает DNS-Client service ?
DNS Client Events - Разрешение имен для имени домена истекло после отсутствия ответа от настроенных серверов DNS
Добавлено через 1 час 21 минуту
Пользователь получает IP адрес, но не регистрируется в прямой и обратной зоне просмотра dns.
Как вы заметели что копютер порестал регистрироватся?
Дополнителньный вопрос. Я так понимаю компьютер является членом домена?
покажите что стоит в ipconfig /all
Компьютеры члены домена .
Как заметил : копьютеры перестали пинговаться по имени, соответственно зашел на компьютер увидел ошибку, зашел на контроллер домена DNS там стоит старый IP. При чем не все компы так. выборочно.
ipconfig /all одного из пользователей
Настройка протокола IP для Windows
Адаптер беспроводной локальной сети Беспроводное сетевое соединение:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Broadcom 802,11g
Физический адрес. . . . . . . . . : 90-4C-E5-6E-F2-8F
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
По разным причинам, компьютеры, входящие в домен, могут терять связь с доменом. Иногда говорят, что компьютер не может установить безопасный канал связи с контроллером домена. Как результат, к компьютеру не применяются групповые политики, невозможно зарегистрироваться в системе под доменной учетной записью и т.п. В нормальной ситуации такой ошибки не должно возникать, и если ошибка обусловлена некорректной работой сети, не поможет ничего, кроме устранения проблем с сетевым оборудованием.
Обычно в таких случаях приходится переподключить компьютер к домену (rejoin domain). Последовательность действий всем известна. В свойствах Системы изменить принадлежность компьютера с домена на рабочую группу, перезагрузить компьютер и снова в свойствах Системы указать, что компьютер является членом домена, после чего потребуется еще раз перезагрузить компьютер. Итого – две перезагрузки, которые занимают определенное время.
Между тем, в данной ситуации не требуется вводить компьютер в домен, как если бы это был новый член домена, поскольку объект компьютера в Active Directory уже был создан. Необходимо лишь восстановить безопасный канал между компьютером и контроллером домена. Для этого достаточно воспользоваться рассмотренной ниже пошаговой инструкцией. Она основана на утилите командной строки Netdom, которая существует для множества версий Windows. Однако в Windows Server 2008 R2 и в более поздних версиях серверных операционных систем утилита доступна сразу после инсталляции сервера. Также утилита становится доступной в клиентских ОС Windows после установки Active Directory Domain Services Tools из состава Remote Server Administration Tools (RSAT).
1. Войдите в систему, потерявшую связь с доменом, под локальной учетной записью с правами администратора.
2. Запустите сеанс командной строки от имени Администратора и выполните команду
Netdom ResetPWD /Server:<DC> /UserD:<domain>\<administrator> /PasswordD:*
3. Далее в том же окне выполните команду
Netdom Reset <ComputerName> /Domain:<domain> /Server:<DC>
/UserO:<domain>\<administrator> /PasswordO:*
Команду следует ввести в одной строке, хотя здесь она напечатана в двух строках. В качестве <ComputerName> укажите имя компьютера, на котором вы выполняете рассматриваемые действия.
Безопасный канал между компьютером и контроллером домена будет переустановлен. Перезагрузка компьютера не потребуется, и вы сразу сможете зарегистрироваться в системе с учетной записью доменного пользователя. Также можно подготовить командный файл и сохранить его в виртуальной машине, если планируется в дальнейшем неоднократное восстановление виртуальной машины из снапшота.
В этой статье мы рассмотрим проблему нарушения доверительных отношений между рабочей станцией и доменом Active Directory, из-за которой пользователь не может авторизоваться на компьютере. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений компьютера с контроллером домена по безопасному каналу без перезагрузки компьютера.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:
The trust relationship between this workstation and the primary domain failed . Не удалось восстановить доверительные отношения между рабочей станцией и доменом .
Также ошибка может выглядеть так:
The security database on the server does not have a computer account for this workstation trust relationship . База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией .
Пароль учетной записи компьютера в домене Active Directory
Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись типа computer. У каждого компьютера в домене, как и у пользователей есть свой пароль, который необходим для аутентификации компьютера в домене и установления доверенного подключения к контроллеру домена. Однако, в отличии от паролей пользователя, пароли компьютеров задаются и меняются автоматически.
Несколько важных моментов, касающихся паролей компьютеров в AD:
- Компьютеры должны регулярно (по умолчанию раз в 30 дней) менять свои пароли в AD. Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domainmember: Maximummachineaccountpasswordage, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).
- Срок действия пароля компьютера не истекает в отличии от паролей пользователей. Смену пароля инициирует компьютер, а не контроллер домена. На пароль компьютера не распространяется доменная политика паролей для пользователей. Даже если компьютер был выключен более 30 дней, его можно включить, он нормально аутентифицируется на DC со старым паролем, и только после этого локальная служба
Читайте также: