Ícone do site CooperaTI

Redefinir a relação de confiança entre o computador e o Domínio

Este artigo demonstra a melhor prática para suportar contas de computador da mesma forma que lidamos com contas de usuários quando o mesmo esquecem suas senhas e não conseguem fazer logon no domínio.
“Computadores também são gente”, ou pelo menos no Active Directory eles são. De fato computadores têm o atributo objectClass user (usuário), assim, como os usuários podem esquecer as senhas os computadores também esquecem suas senhas. Tenho certeza de que você já se deparou com uma situação em que teve que remover um computador de um domínio para então adicioná-lo novamente, pelo fato do computador ter perdido a “Relação de Confiança com o Domínio”. Essa é uma prática ruim, é equivalente a excluir uma conta de um usuário e recriá-la, porque o usuário esqueceu a senha.

Logon e canal seguro do computador


➤ Conheça nossas soluções em nuvem: https://k2cloud.com.br


 

Cada computador em um domínio Active Directory mantém uma conta com seu nome de usuário (SAMAaccountName) e senha. O computador armazena a senha na forma de um segredo de autoridade de segurança local (LSA, local security authority) e altera a senha no domínio mais ou menos a cada 30 dias. O serviço NetLogon utiliza as credenciais para efetuar logon no domínio, o que estabelece o canal seguro com um controlador de domínio.
Contudo, poderia haver situações em que um computador não fosse mais capaz de se autenticar no domínio. Algumas situações seria:

Contudo o principal sintoma apresentado no computador seria o da imagem abaixo:

Muitos administradores resolvem este problema reingressando o computador no domínio, como dito isso é uma pratica ruim, pois é o mesmo que deletar o computador e criá-lo novamente podendo perder suas associações de grupo e ACLs existente no objeto. Para redefinir o canal seguro entre um computador do domínio utilize o snap-in Active Directory User And Computer, Dsmod.exe, Netdom.exe ou Nlteste.exe.
Active Directory User and Computer:

 

Dsmod.exe 

dsmod computer “Computer DN” -reset
Faça logon com sua conta administrativa local e adicione o computador ao domínio novamente.
Netdom.exe

netdom reset “Nome do Computador” /domain:”nome do domínio” /UserO:”Administrador Local” /PasswordO: * /SecurePasswordPrompt
A conta com as credenciais fornecidas com UserNameO e PasswordO é um membro do grupo Administradores locais do computador. Esse comando tenta redefinir a senha tanto no computador quando no domínio, assim, não precisa ser reiniciado ou adicionado novamente ao domínio.
Nltest.exe

nltest /Server:”Computador” /SC_Reset:Domain\DomainController
Esse comando tem o mesmo efeito do Netdom.exe, assim, não precisa reiniciar ou adicionar o computador ao domínio novamente.
Como o NLTest e o NetDom, redefinem o canal seguro sem exigir uma reinicialização. Tente esses comandos primeiro. Somente se não for bem-sucedido é que o comando Reset Account e DSMod devem ser usados, para redefinir a conta do computador.
Espero que tenha gostado. Até a próxima.
 
 

Sair da versão mobile