Redefinir a relação de confiança entre o computador e o Domínio



Direcionamento de carreira!


Este artigo demonstra a melhor prática para suportar contas de computador da mesma forma que lidamos com contas de usuários quando o mesmo esquecem suas senhas e não conseguem fazer logon no domínio.

“Computadores também são gente”, ou pelo menos no Active Directory eles são. De fato computadores têm o atributo objectClass user (usuário), assim, como os usuários podem esquecer as senhas os computadores também esquecem suas senhas. Tenho certeza de que você já se deparou com uma situação em que teve que remover um computador de um domínio para então adicioná-lo novamente, pelo fato do computador ter perdido a “Relação de Confiança com o Domínio”. Essa é uma prática ruim, é equivalente a excluir uma conta de um usuário e recriá-la, porque o usuário esqueceu a senha.

Logon e canal seguro do computador

Cada computador em um domínio Active Directory mantém uma conta com seu nome de usuário (SAMAaccountName) e senha. O computador armazena a senha na forma de um segredo de autoridade de segurança local (LSA, local security authority) e altera a senha no domínio mais ou menos a cada 30 dias. O serviço NetLogon utiliza as credenciais para efetuar logon no domínio, o que estabelece o canal seguro com um controlador de domínio.

Contudo, poderia haver situações em que um computador não fosse mais capaz de se autenticar no domínio. Algumas situações seria:

  • Depois de reinstalar o sistema operacional em uma estação de trabalho, a estação não é capaz de se autenticar, mesmo que você tenha utilizado o mesmo nome do computador. Como a nova instalação gerou um novo SID, o novo computador não pertence ao domínio, e como o novo computador não conhece a senha da conta do computador ele não pode se autenticar no domínio. 
  • Um computador é restaurado a partir de um backup e não consegue se autenticar. É válido relembrar que o Active Directory lembra a senha atual e anterior do computador, e os computadores alteram suas senhas a cada 30 dias, é possível que neste cenário a restauração do computador possa ter ocorrido com uma senha desatualizada na base LDAP. 
  • O segredo LSA (local security authority) de um computador perdeu a sincronia com um controlador de domínio. Você pode pensar nisso como um computador que esqueceu a senha, embora ele não esqueceu a sua senha propriamente dita simplesmente o computador e o domínio não conseguem chegar a um acordo sobre qual é a verdadeira senha. Quando isso ocorre o “Canal Seguro” não é criado. 

Contudo o principal sintoma apresentado no computador seria o da imagem abaixo:

clip_image001_thumb

Muitos administradores resolvem este problema reingressando o computador no domínio, como dito isso é uma pratica ruim, pois é o mesmo que deletar o computador e criá-lo novamente podendo perder suas associações de grupo e ACLs existente no objeto. Para redefinir o canal seguro entre um computador do domínio utilize o snap-in Active Directory User And Computer, Dsmod.exe, Netdom.exe ou Nlteste.exe.

Active Directory User and Computer:

  • Clique com botão direito do mouse em um computador e então clique em Reset Account:

 Rese Account

  • Clique em Yes para confirma sua escolha
  • Faça logon com sua conta administrativa local e adicione o computador ao domínio novamente 

Dsmod.exe 

  • Digite o seguinte comando abaixo:

dsmod computer “Computer DN” -reset

dsmodFaça logon com sua conta administrativa local e adicione o computador ao domínio novamente.

Netdom.exe

  • Digite o seguinte comando:

netdom reset “Nome do Computador” /domain:”nome do domínio” /UserO:”Administrador Local” /PasswordO: * /SecurePasswordPrompt

netdomA conta com as credenciais fornecidas com UserNameO e PasswordO é um membro do grupo Administradores locais do computador. Esse comando tenta redefinir a senha tanto no computador quando no domínio, assim, não precisa ser reiniciado ou adicionado novamente ao domínio.

Nltest.exe

  • Digite o seguinte comando:

nltest /Server:”Computador” /SC_Reset:Domain\DomainController

nltestEsse comando tem o mesmo efeito do Netdom.exe, assim, não precisa reiniciar ou adicionar o computador ao domínio novamente.

Como o NLTest e o NetDom, redefinem o canal seguro sem exigir uma reinicialização. Tente esses comandos primeiro. Somente se não for bem-sucedido é que o comando Reset Account e DSMod devem ser usados, para redefinir a conta do computador.

Espero que tenha gostado. Até a próxima.

 

 

Paulo Barbosa

CSSA | MCP | MCTS | MCS | TPSS | VTSP-IV

More Posts - Website

Follow Me:
FacebookLinkedIn

  • Parabéns pela postagem.
    Muito bom mesmo!

  • Obrigado Rafael.

    Estarei postando mais artigos legais sobre Active Directory.

  • Excelentes dicas.
    Já passei muito por este problema!

  • Bela dica!
    Valeu!

  • nathan

    gostaria de compartilhar uma solução que encontrei que nao sei se é correta mas funciona, ao acessar propriedades do computador, na aba “nome do computador” clica em ID de rede e segue os passos a dica fica por conta do ultimo item de nao adicionar usuario e senha e pronto voltam todas as relações!

  • Excelente dica.
    Muito obrigado mesmo!

  • Douglas Fernandes

    E quando apresenta essa mensagem
    “O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.”

    para solução e a mesma do post?

    Obrigado.

    • nathan

      gostaria de compartilhar uma solução que encontrei que nao sei se é correta mas funciona, ao acessar propriedades do computador, na aba “nome do computador” clica em ID de rede e segue os passos a dica fica por conta do ultimo item de nao adicionar usuario e senha e pronto voltam todas as relações!

      só fazer isso que funciona!

  • Boa Tarde senhores, tive esse mesmo problema hoje na empresa onde trabalho, e solucionei da seguinte forma:

    1 – como a conta do usuário não logava, entrei com a conta nomedocomputador\User
    2 – Tirei o computador do domineo e logo em seguida já coloquei novamente
    3 – Reiniciei e pronto, problema resolvido.

    • Edson

      . também funciona …no lugar de nomedocomputador

  • nathan é esta que eu uso também é bem melhor.

  • Mas o dica do Rafael é muito boa também , pois utiliza comandos e eu não sabia como fazer desta forma . Parabéns

  • Ney Sotero

    Olá pessoal também estou com esse problema, vou tentar a solução mais facil aqui que é a dica do nathan, depois digo se funcionou….

  • Rafael

    Bacana a dica e mataria,

    Próximo erro vou tentar fazer o procedimento de “rest accont”.

    Mas queria intender mesmo e porque isto ocorre, na matéria ficou explicado mas vai intender estes windows !!

    Vlw

  • Muito bom.
    Mas como resolver esse problema sem utilizar conta local da máquina? ( security não permite fazer isso na empresa que trabalho).

  • Pingback: REDEFINIR A RELAÇÃO DE CONFIANÇA ENTRE O COMPUTADOR E O DOMÍNIO | Tecnologia da Informação()

  • Gilson Gama

    Bom dia!!
    Parabéns pelo artigo. Excelente!!

  • Muito bom o Post.

    Gostaria de compartilhar o método que eu utilizo para resolver esse problema sempre quando acontece.

    1-Iniciar e depois clique com botão direito em Propriedades,e acesse o menu Alterar configurações.

    2-Em Alterar Configurações na aba nome do computador clique em ID de Rede,deixe marcado a primeira – Este computador faz parte de uma rede corporativa. Eu utilizo para conectar-me a outros computadores – opção e clique em avançar.

    3-Na próxima tela deixe marcado a primeira opção – Minha empresa usa rede com um domínio – e depois Avançar novamente.

    4-Na próxima tela você terá que inserir a informação de um usuário de rede ou usuário local e Avançar Campo Usuário: Usuário Local ou um usuário do domínio. Campo Senha: ******** Campo Nome do domínio: Deixe o hostname do computador mesmo.

    5-Próxima etapa, Nome do Computador: mantenha o hostname do pc Dominio do computador: Coloque o nome do Dominio, Ex:operacao.local ATENÇÃO Aqui você vai precisar de um usuário com permissão para inserir maquina no AD. Insira os dados e clique em OK.

    6-Próxima etapa você poderá adicionar o usuário de rede que irá utilizar ou já utiliza o computador como usuário local da estação ” Computador ” para isso selecione a primeira opção. No exemplo utilizado para esse tutorial não adicionamos o usuário de rede como usuário local.

    7-Avance e depois Concluir,em seguida reiniciar,depois de reiniciar entre com o login e senha do usuário Normalmente.

    • Alexandre Fonseca

      Não conhecia este recurso – me salvou hoje quando apaguei a conta de um computador por engano.

      Obrigado!

  • Gustavo

    Bom dia,

    Estou passando por esse problema, mas não tenho a senha do administrador local pois a estação é um server 2008, é possível fazer alguma coisa?

    • Edson

      Gustavo,

      Você pode alterar a senha do administrador de um servidor Windows 2008. Voce vai precisar de um CD do Hiren´s ou até mesmo do próprio Windows. Procure no google sobre Utilman.exe alterar senha Windows.Emuito simples.

  • Diego da Costa

    Se retirar o computador do domínio e colocar novamente o usuário que já tem perfil do domínio criado no PC não irá perder o perfil? e terá que criar um novo? Esta é minha duvida.

    • Olá Diego, não perde não, Se precisar retirar o PC do domínio e até mudar o Hostname,quando o usuário que já logou naquele PC e tiver o seu perfil criado e com suas configurações salvas, ao logar novamente com seu usuário e senha do AD tudo estará lá como era antes.

  • E quando está dando esse erro de confiança e o usuário travado não tem nenhum tipo de acesso administrativo, eu tento fazer da forma errada que é matar o domínio e criar o novo porem ele não tem permissão, com esses comandos precisa ter acesso administrador?

    Obs: usuário local não tenho a senha, e não consigo logar no usuário administrador.

    • Eduardo

      Já passou muito tempo, más Bruno com o Hirens Boot, você consegue trocar a senha do administrador local, dá uma olhada na net, tem alguns procedimentos.
      Att

  • Andre

    A solução do Nathan é muito boa.

  • Adilson

    bom dia
    estou com a minha maquina fora da empresa e saiu do dominio como faco para colocar de novo ?

  • Adilson

    se houver alguem ai que pode nos ajudar estou com um computador fora da empresa , nossa empresa esta em SC e o computador em sao paulo em uma feira , preciso colocar essa maquina no dominio novamente

    gentileza se alguém souber uma forma entre em contato urgente

  • Adilson

    Bom dia !
    Desculpa incomoda-los
    Mas estou com um grupo de pessoas em uma feira e uma das maquinas saiu do domínio
    Consigo colocar no domínio mesmo estando a distancia ?
    Como ?