Как войти в домен без интернета
Применяется к: Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 4341920
Подключение к домену без интернета?
Есть домен.
Есть юзеры с ноутами, которые разъездные и могут в течение 1-3 дней уезжать с ноутом.
Как организовать правильно аутентификауию в AD для разъездных ?
Есть 2 вариант:
1) VPN на маршрутизаторе до аутентификации. (тут встает вопрос, сначала надо включить ПК, подключить к интернету. А ВПН включается уже при запуске ПК, т.е. как он запустится без настроеного доступа в мир)
2) Вариант с сохранением кеша пароля локально (CashedLogonsCount). Прошел аутентификацию (локально), выбрал VPN, подключился к доменной сети.
Мне нравится 2 вариант, чем он плох ? Что посоветуете ?
- Вопрос задан более двух лет назад
- 792 просмотра
1. на первый пункт отвечать не вижу смысла, уж простите. второй покрывает всё.
2. вообще не понятна суть проблемы. так работает огромное кол-во людей.
ноуты введены в домен? если да, то это означает, что вы уже логинились и учетка кеширована, что даст вам право залогиниться еще N раз. и ничего дополнительно делать не надо даже. после логина подключились к доменной сети, работаем. при этом еще и кеш обновился. единственное условие - хоть раз залогиниться перед поездкой в поля. хотя и это можно решить.
Спасибо за ответ. Я знакомлюсь с AD.
Т.е. вне офиса, включил пк, залогинился (без инета), зашел, включил ВПН-клиент до офиса и пользуешься всеми сервисами. Понял.
Один коллега сказал, что после выезда и возвращения в офис, человек не сможет залогиниться в домене. Как это понимать? Так ли это ?(т.е. уехал, подключился через кеш, впн, поработал. приехал в офис, подключился к локальной сети и не сможет войти в домен).
Т.е. вне офиса, включил пк, залогинился (без инета), зашел, включил ВПН-клиент до офиса и пользуешься всеми сервисами.
после выезда и возвращения в офис, человек не сможет залогиниться в домене.
если у него так происходит, значит есть проблемы с его доменом. это не нормальное поведение.
Active Directory: как авторизовать пользователя вне локальной сети?
Имеется локальная сеть 10.x.x.x и контроллер домена на windows server 2019 в ней
КД находится на NAT, имеется внешний статический IP адрес.
У компании есть сотрудники, которые работают из дома или выезжают на проекты, в свою очередь они работают на ноутбуках, то есть возят его в собой в том числе для работы в офисе.
Каким образом пользователи могут входить в домен, находясь не в локальной сети офиса с КД?
Читал вариант реализации с терминальным сервером, но нет ресурсов в настоящий момент для его реализации.
Возможно ли настроить установку VPN соединения до ввода пароля пользователя Win? Читал про SSO, но вроде как работает только на Win7, а на ноутах сотрудников Win10.
Где найти файл Netsetup.log
Windows в файле %windir% отламывание \ \ Netsetup.log.
Ошибка 1
Попытка разрешить DNS-имя dc в присоединяемом домене не удалась. Убедитесь, что этот клиент настроен для достижения DNS-сервера, который может разрешать имена DNS в целевом домене.
Решение
Кроме того, убедитесь, что компьютер может достичь DNS-сервера, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте как предпочтительный DNS и что клиент имеет подключение к этому серверу. Чтобы убедиться в этом, можно выполнить одну из следующих команд:
Ошибка 2
Попытка устранить имя DNS контроллера домена в присоединяемом домене не удалась. Убедитесь, что этот клиент настроен для достижения DNS-сервера, который может разрешать имена DNS в целевом домене.
Решение
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS.
Кроме того, убедитесь, что компьютер может достичь DNS-сервера, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте как предпочтительный DNS и что клиент имеет подключение к этому серверу. Чтобы убедиться в этом, можно выполнить одну из следующих команд:
Ошибка 3
Была предпринята попытка операции при несущестовом сетевом подключении.
Решение
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS. Кроме того, перезапустите компьютер, прежде чем пытаться присоединиться к компьютеру в домен.
Ошибка 4
Не допускается несколько подключений к серверу или общему ресурсу одного пользователя с несколькими именами пользователей. Отключите все предыдущие подключения к серверу или общему ресурсу и попробуйте еще раз.
Решение
Перезапустите компьютер, который вы пытаетесь присоединиться к домену, чтобы убедиться в том, что на серверах домена нет никаких затаивных подключений.
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS.
Ошибка 5
Решение
Убедитесь, что компьютер может достичь DNS-сервера, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте как предпочтительный DNS и что клиент имеет подключение к этому серверу. Чтобы убедиться в этом, можно выполнить одну из следующих команд:
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS.
Кроме того, можно обновить драйвер сетевого адаптер.
Ошибка 6
В настоящее время на этом удаленном компьютере не может быть подключено больше подключений, так как подключений уже столько, сколько может принять компьютер.
Решение
Перед присоединением компьютера к домену убедитесь, что вы счистили все подключений к любым дискам.
Перезапустите компьютер, который вы пытаетесь присоединиться к домену, чтобы убедиться в том, что на серверах домена нет никаких затаивных подключений.
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS.
Ошибка может быть переходной. Повторите попытку позже. Если проблема сохраняется, проверьте состояние постоянного тока, к который подключается клиент (активные подключения, подключение к сети и так далее). При сохраняемой проблеме может потребоваться перезапустить dc.
Ошибка 7
Формат указанного имени сети недействителен.
Решение
Убедитесь, что компьютер может достичь DNS-сервера, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте как предпочтительный DNS и что клиент имеет подключение к этому серверу. Чтобы убедиться в этом, можно выполнить одну из следующих команд:
При введите доменное имя, убедитесь, что вы введите имя DNS, а не имя NetBIOS. Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние драйверы. Проверка подключения между подключенным клиентом и целевой dc над требуемой портами и протоколами. Отключите функцию разгрузки труб TCP и разгрузку IP.
Ошибка 8
Служба каталогов исчерпала пул относительных идентификаторов.
Решение
Убедитесь, что контроллер постоянного тока, в котором размещен мастер операций по относительному ID (RID), является сетевым и функциональным. Дополнительные сведения см. в документе Event ID 16650:в сервере Windows идентификатор учетной записи не удалось инициализировать.
Вы можете использовать netdom query fsmo команду, чтобы определить, какая роль dc имеет главную роль RID.
Убедитесь, что Active Directory реплицируется между всеми DCs. Для обнаружения ошибок можно использовать следующую команду:
Ошибка 9
Вызов удаленной процедуры не удался и не выполняется.
Решение
Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние драйверы. Проверка подключения между подключенным клиентом и целевой dc над требуемой портами и протоколами. Отключите функцию разгрузки труб TCP и разгрузку IP.
Эта проблема также может быть вызвана одним из следующих условий:
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение к портам и протоколам, используемым протоколом MSRPC.
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между клиентом, который присоединяется, и dc.
Ошибка 10
Изменение имени DNS основного домена этого компьютера на "" не удалось. Имя останется ".". Указанный сервер не может выполнять операцию.
Решение
Эта ошибка возникает при использовании пользовательского интерфейса присоединиться к домену Windows 7 или Windows Server 2008 R2 в домен Active Directory, указав целевой домен DNS. Чтобы устранить эту ошибку, см. в 2018583 Windows 7 или Windows 2008 R2 домена Server 2008отображает ошибку "Изменение имени DNS основного домена этого компьютера на "" не удалось. " .
Ошибка 1
Вы превысили максимальное количество учетных записей компьютера, которые можно создать в этом домене.
Решение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что квота, определяемая администратором домена, не превышается.
Чтобы присоединить компьютер к домену, учетной записи пользователя необходимо предоставить разрешение на создание объектов компьютера в Active Directory.
По умолчанию пользователь, не управляющий, может присоединиться к домену Active Directory не более 10 компьютеров.
Ошибка 2
Ошибка logon. Имя целевой учетной записи неверно.
Решение
Ошибка 3
Ошибка logon: пользователю не был предоставлен запрашиваемого типа логотипа на этом компьютере.
Решение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен. Чтобы присоединиться к компьютеру в домене, учетной записи пользователя необходимо предоставить разрешение на создание объекта компьютера в Active Directory.
Кроме того, убедитесь, что указанной учетной записи пользователя разрешено войти на локальном компьютере клиента. Для этого настройте журнал Разрешить локальное настройку в групповой политике в соответствии с конфигурацией компьютера > Windows Параметры > безопасности Параметры > локальных политик > назначения прав пользователей.
Ошибка 4
Ошибка logon: неизвестное имя пользователя или плохой пароль.
Решение
Убедитесь, что вы используете правильное имя пользователя и сочетание паролей существующей учетной записи пользователя Active Directory, когда вам будут предложены учетные данные для добавления компьютера в домен.
Ошибка 5
Сопоставление между именами учетных записей и ИД безопасности не было сделано.
Решение
Эта ошибка, скорее всего, является переходной ошибкой, которая регистрируется при вступивании домена в поиске целевого домена, чтобы определить, была ли уже создана учетная запись компьютера с учетной записью, которая соответствует этому, или же операция при подсоединение должна динамически создать учетную запись компьютера в целевом домене.
Ошибка 6
Недостаточное хранилище доступно для выполнения этой операции.
Решение
Ошибка 7
Учетная запись не разрешена для входа с этой станции.
Решение
Эта проблема связана с несоответствием параметров подписи SMB между клиентского компьютера и dc, который в настоящее время связаться для операции пользования доменом присоединиться. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
281648 ошибки: учетная запись не разрешена для входа с этой станции 823659 проблемы с клиентом, службой и программой могут возникнуть при изменении параметров безопасности и назначений прав пользователей
Ошибка 8
Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.
Решение
Убедитесь, что в dc, через который вы пытаетесь присоединиться к домену, запущена Windows time.
Как выйти из домена не имея подключения к сети?
Коллеги, в общем суть такая, один из юзверей забрал ноутбук домой, и теперь при подключении пишет "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть". Как обойти это?
P.S он входит в домен.
Обычно помогает залогиниться этим юзером, будучи подключенным к сети домена.
Выйти из домена без подключения можно с помощью локального администратора.
как зайти с помощью локального администратора?
если при нажатии CTRL ALT DEL выдаёт "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть"
Игорь, в безопасном режиме грузитесь.
Я думал, у вас Десятка.
отсутствуют сервера - это СРАЗУ после Ctrl+alt+del?
По идее должно предложить ввести логин/пароль, и там же можно выбрать домен
Saboteur, да просто пользователь по всей видимости не выключает ноутбук. Крышку закрыл - он уснул. Само собой что б в сессию попасть - нужно залогинится, но видимо тикет прокис. По этому только холодный резет.
Зайти под учётной записью локального администратора и вывести комп из домена.
Если нужно просто логиниться, то временное решение - отключить сеть на ноуте. После этого ОС пустит юзера, использую локально кэшированные данные авторизации. После логина - включить сеть снова.
Читайте также: