Como voltar a dominar quando a relação de confiança é perdida

7

Eu tenho um número de máquinas virtuais que possuem instantâneos aplicados usando um script do PowerShell. Ocasionalmente, as máquinas virtuais perdem sua "relação de confiança" com o domínio. Isso quebra o script, pois não posso mais usar o controle remoto do PowerShell para acessar as máquinas e configurá-las.

Como posso remotamente redefinir a relação de confiança dessas máquinas virtuais? Talvez existam possibilidades de reunir o domínio que não envolve remoting?

Quaisquer soluções alternativas para retornar ao domínio manualmente exigem que você faça login no computador e faça isso localmente. Eu não encontrei nada que possa fazer isso de outra forma.

Até agora, tentei criar um script que simplesmente remotos para a caixa como o administrador local:

$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred

Neste ponto, eu esperava usar o PowerShell para redefinir a senha ou algo assim para redefinir a relação de confiança do domínio. No entanto, isso resulta em um erro na última linha: Access is Denied .

Não acredito que você possa usar a conta de administrador local com o controle remoto do PowerShell. Existe alguma outra maneira que eu possa remotamente obter uma máquina virtual que perdeu sua relação de confiança de domínio para reingressar no domínio?

    
por tnw 23.09.2013 / 18:44

1 resposta

10

Isso acontece porque os computadores associados ao domínio alteram automaticamente as senhas da conta da máquina a cada 30 dias. O cliente inicia sua própria alteração de senha e a armazena no Active Directory. Quando você reverte para um instantâneo de um tempo antes da alteração da senha da última conta do computador, a senha armazenada no AD não corresponde mais à senha que o computador está tentando usar para fazer logon no domínio.

Para desabilitar as alterações de senha da conta da máquina no computador cliente:

1. Start Registry Editor.
2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. In the right pane, click the DisablePasswordChange entry.
4. On the Edit menu, click Modify.
5. In the Value data box, type a value of 1, and then click OK.

Além disso,

I don't think you can use the local administrator account with PowerShell remoting

Sim, você pode. Você simplesmente não pode usar o Kerberos. E como não há autenticação mútua sem o Kerberos, você precisa adicionar o computador remoto à sua lista de Hosts Confiáveis para poder usar o Powershell Remoting para acessá-lo.

    
por 23.09.2013 / 19:04