Redefinir a relação de confiança entre o computador e o Domínio
Logon e canal seguro do computador
Cada computador em um domínio Active Directory mantém uma conta com seu nome de usuário (SAMAaccountName) e senha. O computador armazena a senha na forma de um segredo de autoridade de segurança local (LSA, local security authority) e altera a senha no domínio mais ou menos a cada 30 dias. O serviço NetLogon utiliza as credenciais para efetuar logon no domínio, o que estabelece o canal seguro com um controlador de domínio.
Contudo, poderia haver situações em que um computador não fosse mais capaz de se autenticar no domínio. Algumas situações seria:
- Depois de reinstalar o sistema operacional em uma estação de trabalho, a estação não é capaz de se autenticar, mesmo que você tenha utilizado o mesmo nome do computador. Como a nova instalação gerou um novo SID, o novo computador não pertence ao domínio, e como o novo computador não conhece a senha da conta do computador ele não pode se autenticar no domínio.
- Um computador é restaurado a partir de um backup e não consegue se autenticar. É válido relembrar que o Active Directory lembra a senha atual e anterior do computador, e os computadores alteram suas senhas a cada 30 dias, é possível que neste cenário a restauração do computador possa ter ocorrido com uma senha desatualizada na base LDAP.
- O segredo LSA (local security authority) de um computador perdeu a sincronia com um controlador de domínio. Você pode pensar nisso como um computador que esqueceu a senha, embora ele não esqueceu a sua senha propriamente dita simplesmente o computador e o domínio não conseguem chegar a um acordo sobre qual é a verdadeira senha. Quando isso ocorre o “Canal Seguro” não é criado.
Contudo o principal sintoma apresentado no computador seria o da imagem abaixo:
Muitos administradores resolvem este problema reingressando o computador no domínio, como dito isso é uma pratica ruim, pois é o mesmo que deletar o computador e criá-lo novamente podendo perder suas associações de grupo e ACLs existente no objeto. Para redefinir o canal seguro entre um computador do domínio utilize o snap-in Active Directory User And Computer, Dsmod.exe, Netdom.exe ou Nlteste.exe.
Active Directory User and Computer:
- Clique com botão direito do mouse em um computador e então clique em Reset Account:
- Clique em Yes para confirma sua escolha
- Faça logon com sua conta administrativa local e adicione o computador ao domínio novamente
Dsmod.exe
- Digite o seguinte comando abaixo:
dsmod computer “Computer DN” -reset
Faça logon com sua conta administrativa local e adicione o computador ao domínio novamente.
Netdom.exe
- Digite o seguinte comando:
netdom reset “Nome do Computador” /domain:”nome do domínio” /UserO:”Administrador Local” /PasswordO: * /SecurePasswordPrompt
A conta com as credenciais fornecidas com UserNameO e PasswordO é um membro do grupo Administradores locais do computador. Esse comando tenta redefinir a senha tanto no computador quando no domínio, assim, não precisa ser reiniciado ou adicionado novamente ao domínio.
Nltest.exe
- Digite o seguinte comando:
nltest /Server:”Computador” /SC_Reset:Domain\DomainController
Esse comando tem o mesmo efeito do Netdom.exe, assim, não precisa reiniciar ou adicionar o computador ao domínio novamente.
Como o NLTest e o NetDom, redefinem o canal seguro sem exigir uma reinicialização. Tente esses comandos primeiro. Somente se não for bem-sucedido é que o comando Reset Account e DSMod devem ser usados, para redefinir a conta do computador.
Espero que tenha gostado. Até a próxima.
Seria legal não excluir as imagens.
Boa tarde! Muito obrigado por prestigiar o nosso trabalho. Estamos verificando o que está ocorrendo com as imagens.
Seria muito bom ver as imagens para termos uma noção além de escrita visual
Boa noite.
Muito obrigado por prestigiar o nosso trabalho. Já estamos verificando este problema técnico, em breve vamos solucionar este problema. Vou lhe mandar um e-mail quando tudo estiver ok.