none
ドメイン離脱が行えない RRS feed

  • 質問

  • 物理修理がメインのSEでシステム系にあまり詳しくありませんが

    どうぞ、よろしくお願いいたします。

    ユーザさんからログオンができないという不具合が発生しているPCを預かりました。

    PCにユーザのIDとPWを入力後にログオンしようとすると

    「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示され

    ログオンができないという不具合になります。

    そこで、セーフモードを使用しドメインから離脱しようとしたところ

    ドメインの管理IDとPWを要求されたため入力したのですが

    「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示され

    ドメインから離脱することが不可能な状態となっております。

    次に、ローカル内のAdministratorを有効にしようとしたところ、

    コマンドプロンプト上からも、コンピューターの管理上からも

    アクセスを拒否されてしまい有効にできない状況になっております。

    コマンドプロンプトも管理者でログオンすることができず

    このままだとドメインのアカウントにも入れません。

    何か対処方法を教えてください。

    2019年5月20日 9:43

回答

  • チャブーンです。

    この件ですが、認識違いも含め、いくつか注意点があると思います。

    1. 「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示される理由はセキュアチャネルの破損が原因です。この場合、クライアントとドメインコントローラーの時刻が狂っている、などを修正したうえ、「ワークグループへの参加」→「ドメインへの再参加」を行うか、Test-ComputerSecureChannel -Repair -Credentialコマンドを実行し、セキュアチャネルの修正が必要です。Test-ComputerSecureChannelについては、インターネット検索で探せばすぐ見つかるでしょう。
    2. Windowsのセーフモードは使用不要です。またWindows 10では「ビルトインAdministrator」は無効化されており、有効化するには「ローカルセキュリティポリシー」を変更する必要があります。net userコマンドやGUIでは直せませんので、注意してください。Administratorを使う必要はなく、Windows 10セットアップ時に設定した、最初のローカルアカウントには管理者権限がありますので、これを使ってログオンしてください。

    この件に対応するためには、「ローカル管理者アカウント」でログオンして、ワークグループへの参加とドメインへの再参加をする必要があります。

    で、もし普段使いのドメインアカウントが「ローカル管理者権限」を持っているならですが、ネットワークからクライアントを切断し、その状態でログオンすれば、資格情報のキャッシュによりログオンが可能になりますので、この段階で「ローカル管理者アカウント」のIDとパスワードを確認(わからなければ新規管理者ユーザーを設定)し、ワークグループに参加して再起動するまで、ネットワークに接続しないことです。こうすることで、ワークグループへの変更はできると思います。

    そのあとネットワークに接続し、ローカル管理者アカウントでログオンして、ドメインへの再参加を行えば、ふつうに参加できると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月20日 12:06

すべての返信

  • チャブーンです。

    この件ですが、認識違いも含め、いくつか注意点があると思います。

    1. 「このワークステーションとプライマリドメインとの信頼関係に失敗しました」と表示される理由はセキュアチャネルの破損が原因です。この場合、クライアントとドメインコントローラーの時刻が狂っている、などを修正したうえ、「ワークグループへの参加」→「ドメインへの再参加」を行うか、Test-ComputerSecureChannel -Repair -Credentialコマンドを実行し、セキュアチャネルの修正が必要です。Test-ComputerSecureChannelについては、インターネット検索で探せばすぐ見つかるでしょう。
    2. Windowsのセーフモードは使用不要です。またWindows 10では「ビルトインAdministrator」は無効化されており、有効化するには「ローカルセキュリティポリシー」を変更する必要があります。net userコマンドやGUIでは直せませんので、注意してください。Administratorを使う必要はなく、Windows 10セットアップ時に設定した、最初のローカルアカウントには管理者権限がありますので、これを使ってログオンしてください。

    この件に対応するためには、「ローカル管理者アカウント」でログオンして、ワークグループへの参加とドメインへの再参加をする必要があります。

    で、もし普段使いのドメインアカウントが「ローカル管理者権限」を持っているならですが、ネットワークからクライアントを切断し、その状態でログオンすれば、資格情報のキャッシュによりログオンが可能になりますので、この段階で「ローカル管理者アカウント」のIDとパスワードを確認(わからなければ新規管理者ユーザーを設定)し、ワークグループに参加して再起動するまで、ネットワークに接続しないことです。こうすることで、ワークグループへの変更はできると思います。

    そのあとネットワークに接続し、ローカル管理者アカウントでログオンして、ドメインへの再参加を行えば、ふつうに参加できると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月20日 12:06
  • チャブーンさん、認識違いの点等ご指摘ありがとうございます。

    Test-ComputerSecureChannel -Repair -Credentialを

    実施したいのですが、ローカル上に管理者権限のあるアカウントがなく、

    実施することができない状況です。

    通常無効化されているビルトインAdministratorを有効にしないと

    管理者権限のあるアカウントが存在しないのが現状です

    最初に設定されたアカウントからもいつの間にか管理者権限が無くなっています。

    Windows10の1803から1809へのアップデートに失敗し

    一度システムの復元を行った影響でしょうか?

    2019年5月21日 1:55
  • こんにちは

    もしローカル内のAdministratorも登録できない場合、

    下記の方法をご検討をお願いします。

         DCからNetdom.exeを使用してコンピュータアカウントのパスワードをリセットする

    l  ドメイン管理者アカウントを使用してWindows Serverにログオンします。

    l  コマンドプロンプトを開く

    l  netdom resetpwd / sserver / uddomain \ User / pd*」と入力してEnterキーを押します。sはドメインサーバーの名前、domainはドメイン名、Userはドメインコントローラに接続できないユーザーアカウントです。

    l  コマンドプロンプトを閉じる

    l  クライアントを再起動

    l  ドメインユーザーアカウントを使用してWindowsマシンにログオンする

         dcからコンピュータアカウントをリセット

    l  Active Directoryユーザーとコンピュータを開く

    l  ドメイン名を展開します。 コンピュータを選択

    l  ドメインに接続できないコンピュータアカウントに移動する

    l  コンピュータを右クリックして[アカウントのリセット]を選択する

    l  [はい]をクリックしてコンピュータアカウントのリセットを確認する

    l  OKをクリック

    l  Active Directoryユーザーとコンピュータを閉じる

    l  Windows 10マシンを再起動する

    l  ドメインユーザーアカウントにログオンする

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月21日 3:23
    モデレータ
  • チャブーンです。

    もしもセーフモードでAdministratorにログオンできるなら、その状態で新規ユーザーを作成し、そのユーザーをAdministratorsグループにすればいいのではないでしょうか。

    セーフモードでは例外的に無効になっているビルトインAdministratorでログオンできます。最初から無効になっているなら、ふつうはパスワードなしでログオンできます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月23日 1:41
  • こんにちは

    今の状況を確認させていただきます

    お役に立つところがありましたら,遠慮なくてご連絡ください

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月27日 10:17
    モデレータ