Solución: Las Máquinas que se Salen del Dominio

Este es un tema que se repite, y no desde hace poco tiempo, con bastante frecuencia, vamos a tratar de que no suceda, y si sucediera cómo solucionarlo

¿Quién no ha recibido nunca cuando va a iniciar sesión, un mensaje que alerta que se ha roto la relación de confianza de la máquina con el Dominio?

Lo importante en realidad es que no suceda, así que primero vamos a conversar un poco sobre el tema

En un ambiente de Dominio Active Directory las máquinas, durante su arranque, se autentican/autentifican en el Dominio, casi como lo hace cualquier cuenta de usuario

Cada máquina usa como nombre de cuenta su propio nombre con el agregado de un signo “$” al final. Por ejemplo, una máquina de nombre SRV1, utiliza la cuenta SRV1$

El por qué usa este caracter diferenciador de cualquier otra cuenta, es una historia muy larga, pero los viejos Dominios con Windows NT no diferenciaban en su estructura (hoy diríamos Esquema) un usuario de una máquina
Así que este carácter era lo que usaba el sistema operativo para diferenciarlos

Esta contraseña de la cuenta de máquina periódicamente se cambia. A lo largo de las diferentes versiones de sistema operativo cambió varias veces, pero actualmente es de 30 días. O sea que cada ese período la máquina cambia su contraseña. Si puede “avisarle” al Controlador de Dominio entonces mejor, pero si no puede, también lo hace

Inclusive a partir de Windows Server 2008, para ayudar a paliar estos problemas, los Controladores de Dominio, no sólo mantienen la última versión de la contraseña, sino también la anterior

Pero de todas formas, a veces sucede el problema

Primero enumeremos algunas de las condiciones que pueden provocarla:

  • Máquinas que hace más de 30 días estuvieron sin conectividad con un Controlador de Dominio de su Dominio. Puede ser porque estuvieron apagadas o fuera de la red
  • Máquinas recuperadas desde una copia de seguridad (Backup) antiguo
  • Máquinas con sistema operativo de escritorio recuperadas desde un punto de restauración
  • Máquinas virtuales recuperadas desde un punto de restauración (“Snapshot”) del sistema de virtualización
  • Máquinas con dirección de DNS incorrecta. Por ejemplo por no estar configuradas para usar *solamente* el o los servidores DNS que resuelven el Dominio. Nunca, nunca, nunca los del ISP o el “Router”
  • Máquinas clonadas sin el correspondiente proceso de SYSPREP

Y seguramente podríamos comentar aún más

¿Y cómo lo soluciona la mayoría? Bueno la mayoría usa el procedimiento que yo llamo “cavernícola” (“Nearthental Process”) :-) que consiste en:

  1. Sacar la máquina del Dominio a Grupo de Trabajo
  2. Reiniciar
  3. Borrar la cuenta de máquina en el Dominio
  4. Volver a unir la máquina al Dominio
  5. Reinciar

Este, el más común, es el peor de todos los procedimientos, porque además del tiempo que lleva (2 reinicios) cuando se une nuevamente la máquina al Dominio se le asigna un nuevo SID (SID = “Security ID”)

Si entrar en detalles, el SID es análogo a un número de documento. El sistema muestra en la interfaz gráfica nombres de máquinas, usuarios y grupos, pero internamente utiliza sus correspondientes SIDs
Análogamente a un número de documento de persona, nunca ese número es reutilizado

Como consecuencia, la máquina, que es la misma, para el Domino es otra totalmente diferente, aunque se llame igual y esté configurada exactamente igual, y sea el mismo hardware, y sea …

Y por lo tanto si se están ejecutando servicios con la cuenta de máquina, o se ha agregado la máquina a algún grupo para darle ciertos privilegios, todos eso se pierde irremediablemente

Si quieren, algo un procedimiento un poco “menos malo” sería igual al anterior pero, en lugar de borrar la cuenta de máquina, darle con botón derecho a la cuenta de máquina y seleccionar “Reset account”
La única ventaja de este método, es que se mantiene el SID, pero es tedioso como el anterior

Si uno busca un poco en la Web hay muchísimas soluciones del más variado tipo: scripts VBS, NLTEST, NETDOM, Powershell, y seguramente más

Los scripts me parecen una solución complicada, salvo que lo tuvieran que ejecutar muy seguido, lo cual implicaría otro problema. Ver las causas posibles al principio de la nota, y qué hay que solucionar

El comando NLTEST estaba en versiones anteriores del sistema operativo, pero en Windows Server 2012 ya no está

Powershell, sinceramente no he podido probarlo pero aparentemente se solucionaría con “Test-ComputerSecureChannel -Repair”
[Agregado] Probado y también funciona sin reiniciar igual que NETDOM

Y todo esto, porque encontré que con NETDOM lo solucionaba muy fácilmente, y muy importante no había que reinciar

Una acotación a tener en cuenta, Microsoft tiene una “mala costumbre” a veces los modificadores de los comandos, cambian o directamente desaparecen. Lo que estoy mostrando es sobre un Windows Server 2012 R2. Si tiene otra versión, y la sintaxis le da error, revise la ayuda con “NETDOM /?”

Me puse con las máquinas de mi laboratorio VMware de pruebas, y recuperé dos máquinas virtuales con “Snapshots” lo más alejados posible en el tiempo para hacer que se produzca el problema. Fueron un Controlador de Dominio (DC1) y un servidor miembro (SRV1)

Creé un usuario nuevo en el Dominio, para asegurarme que no se usaran “cached credentials”, y traté de inciar sesión en SRV1. Acá está el resultado

Entonces inicié sesión con un administrador local del servidor

Inicié una línea de comandos (CMD.EXE) ejecutándola como administrador, y en la misma usé NETDOM con la siguiente sintaxis:

NETDOM RESETPWD /s:<NombreDC> /UserD:<DOMINIO\Administrador> /PasswordD:<Contraseña>

Y ahora lo interesante. Sin reiniciar el servidor pude inciar sesión con el usuario nuevo creado al principio, ya está solucionado el problema, sin cambio de SID y muy rápidamente

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 24/07/2014 at 14:13

    Que bueno.

    La de veces que me ha pasado y.siempre usaba el método cavernícola 8)

  • José Flores  On 03/08/2014 at 12:42

    Buenos días!.
    Una consulta, este comando también soluciona este error: no logon servers available to service the logon request.

    Saludos,

    José

    • Guillermo Delprato  On 04/08/2014 at 07:46

      Hola José, no, ese mensaje no tiene relación
      Una cosa es cuando se rompe la relación de confianza con el Dominio, para lo cual realmente el cliente contactó a un Controlador de Dominio, y otra diferente es cuando no encuentra un “logon server” que indica justamente eso, que no lo encuentra

  • jorgus  On 21/08/2014 at 14:57

    Para ejecutar este comando en Windows 7 es necesario instalar algún paquete en especial porque dice que no lo encuentra.

    • Guillermo Delprato  On 21/08/2014 at 16:16

      Hola jorgus, tienes razón, se me pasó ese detalle
      Prueba copiando el NETDOM.EXE desde un servidor, y no te olvides de ejecutar el comando “como administrador”
      Si eso no funcionara, según leo pero no lo he probado, alcanza con instalar las RSAT (Remote Server Administration Tools) en el Win7

  • anacia99  On 11/11/2014 at 14:30

    Y en los equipos Macintosh que se puede hacer, que no sea el metodo cavernicola.???

  • anacia99  On 11/11/2014 at 17:08

    NETDOM.EXE no es una herramienta que pueda correr en las Macintosh.

    • Guillermo Delprato  On 11/11/2014 at 17:43

      Si, sabía que NETDOM no es ejecutable en Macintosh, pero pensaba que se podía hacer remotamente (desde el DC), pero no, no admite ejecutarlo desde otra máquina
      Así, que si no hay algo desde el lado de Macintosh, va a quedar, vestirse con una piel de animal, y agarrar el mazo :-D

  • anacia99  On 11/11/2014 at 18:05

    Y la opcion de darle con botón derecho a la cuenta de máquina y seleccionar “Reset account” como es que funciona?? hay que sacar el equipo del dominio y volverlo a unir el equipo al dominio???

    • Guillermo Delprato  On 11/11/2014 at 19:02

      Esa opción hace el reset de la contraseña en el Controlador de Dominio, pero no en el cliente. Y por lo tanto no se sincronizan
      Si quieres prueba para Macintosh, quizás este tipo de cliente use la contraseña por omisión (que está derivada del nombre de máquina) y funcione

  • Jesús Rodríguez  On 17/01/2015 at 10:02

    Hola, una duda si restauramos el único controlador (por simplificar escenario y no meterse en líos con otros aspectos temporales como ) de un dominio a 50 días atrás nos veríamos obligados a hacer esto para TODOS los clientes?

    Mi duda viene de saber si los PCs también guardan la contraseña anterior y prueban a usarla cuando falla la actual, si esto fuera así habría algunas máquinas que con la anterior entraría. En cambio si lo de almacenar la contraseña anterior solo lo hace el controlador en este escenario tendríamos todas las máquinas con este problema.

    • Guillermo Delprato  On 18/01/2015 at 07:28

      Hola Jesús, como comentario, está bien si quieres simplificar, pero tener un único Controlador de Dominio no es una buena idea ya que pierdes todo lo que es tolerancia a fallas
      Respecto al tema contraseñas de máquina, te comento lo que he leído documentado, ya que no he podido hacer más investigación sobre el tema, el que guarda la versión actual y la anterior de la contraseña son sólo los Controladores de Dominio, las máquinas cliente no lo hacen, sólo conocen la contraseña actual

  • tenux  On 01/07/2015 at 10:27

    Saludos pongo a consideración el siguiente problema, actualmente tengo una red de mas de 290 pc motivo por el cual se decidió, cambiar de la red 192.168.0.0/24 a la red 172.16.0.0/22, tenemos una red con un servidor de dominio con Active directory con windows 2003, actualmente existen maquina que se salen del dominio ya aparecen unidas a otra redes ejemplo: red4 o red2 toman cualquier nombre. me podría ayudar con sus experiencias a identificar el error y las posibles soluciones.

    • Guillermo Delprato  On 01/07/2015 at 14:17

      Hola tenux, no hago soporte en el blog, estos comentarios son sobre la nota
      Te sugiero pongas la pregunta en algún foro de soporte, como por ejemplo los de Technet en español (https://social.technet.microsoft.com/Forums/es-ES/home)
      De todas formas dos sugerencias, primera podrías cambiar la máscara de subred a 255.255.0.0 y solucionas el problema fácilmente porque para la mayoría de las máquinas lo haría el DHCP
      Y segundo, cuando preguntes trata de explicar a qué llamas “red4” o “red2” porque no se entiendo a qué redes te refieres :)
      Respecto a la pregunta de por qué se salen del Dominio, en esta nota están listados justamente los motivos por los que suele suceder el problema

  • Alba  On 09/09/2015 at 15:12

    nada mas para reconfirmar, estas lineas de comandos las hago en mi AD??
    NETDOM RESETPWD /s: /UserD: /PasswordD:

    • Guillermo Delprato  On 09/09/2015 at 15:54

      Hola Alba
      es el nombre del Controlador de Dominio donde se conectará para resolver el problema
      /UserD: /PasswordD: son las credenciales de la cuenta de usuario (administrador) que tiene el privilegio necesario
      Debes reemplazar lo que está entre “” por tus propios valores

  • Alba  On 09/09/2015 at 17:07

    Gracias Guillermo.. lo que describe usted es exactamente lo que me sucede, pero hay algo adicional en esta situacion.. en este tipo de problema tambien hago lo siguiente: elimino el nombre de la maquina en “COMPUTERS”, elimino el registro de la maquina en mi DNS del AD y reseteo la clave del usuario, pero al momento que reinicio la pc y pongo la clave, la maquina ya no se agrega al objeto COMPUTERS y tampoco a mi zona DNS, no voy a tener problemas?? esto lo hice para NO hacer el metodo cavernicola y funcionó, ya no me salio el mensaje “”…. relacion de confianza…!! esto recien lo apliqué hoy, pero cuando ingreso al AD veo que ya no aparece el nombre de la computadora y tampoco en mi zona DNS… tendre problemas??

    • Guillermo Delprato  On 09/09/2015 at 17:23

      Estas confundiendo dos cosas diferentes :)
      Una es la cuenta de máquina, que es la que se sale del Dominio, y otra totalmente independiente como es la de usuario
      Ambos tienen cuenta en el Dominio, y contraseña que cambian periódicamente
      Cuando la máquina se sale del Dominio, el problema está en la cuenta de máquina, sin ninguna relación con cuentas de usuario
      Si borras la cuenta en “Computers” ya no hay forma de solucionar el problema salvo que se vuelva a crear una cuenta de máquina
      Lo *único* que hay que hacer es el comando NETDOM …

  • Alba  On 09/09/2015 at 19:22

    y entonces porque funciono?? pero gracias x su explicacion… el comando NETDOM lo ejecuto del lado del cliente o del servidor??

    • Guillermo Delprato  On 10/09/2015 at 06:49

      Si la cuenta de máquina no aparece en Active Directory, y tampoco se registra en el DNS, entonces eso no funcionó
      El comando se ejecuta en el cliente
      Pero si ya se ha borrado la cuenta de Active Directory entonces no este no va a funcionar
      El NETDOM hay que ejecutarlo con la cuenta original creada, lo que hace es “resetear” la contraseña de la cuenta de máquina, y por lo tanto si no existe a cuenta de máquina en el Dominio, no lo podrá hacer

  • David Cortez  On 15/09/2015 at 16:12

    Hola Guillermo una consulta, puedo utilizar ese comando en una pc Cliente con windows 7 sin perder los archivos en esa pc cliente que no se puede conectar al dominio??

    • Guillermo Delprato  On 15/09/2015 at 17:02

      Si, por supuesto David, con Netdom o con PowerShell
      No tiene relación con archivos, el que se conecta al Dominio para acceder a archivos es la cuenta de usuario

  • Alba  On 21/09/2015 at 19:13

    Guillermo otra consulta, cual seria la forma correcta de unir al dominio una maquina formateada?? porque veo que esto sucede cuando se formatea una pc y se vuelve a poner el mismo nombre, hay que realizar primero algo previo en el AD?? y tengo otra consulta, que significa cuando en la cuenta de la maquina aparece una “flechita hacia abajo”?? y cual es la solucion??

    • Guillermo Delprato  On 21/09/2015 at 19:49

      Hola Alba, antes de unir la máquina nuevamente con el mismo nombre hay que “resetear” la cuenta de máquina, en realidad la contraseña de la cuenta de la misma
      Con botón derecho sobre la cuenta de máquina aparece la opción
      De esta forma se mantiene el SID del Dominio de la cuenta de máquina, importante si tiene asignado algún privilegio

      Cuando tiene una “flechita hacia abajo” eso indica que la cuenta está deshabilitada

      • Marlon Mejía Nuñez  On 05/02/2016 at 15:04

        Estimado Guillermo,

        Entiendo que si formatie la maquina y no hice el resetear cuenta se creó otro SID con el mismo nombre de maquina? y si eso fuese así, como corregir ese error? o como eliminar los SID que no son validos o saber cuantos existen por cada objeto con el mismo nombre. Gracias

      • Guillermo Delprato  On 05/02/2016 at 16:45

        Hola Marlon, vamos por partes :)
        La máquina tiene un SID propio, este se crea durante la instalación
        Cuando se une la máquina al Dominio, se crea un SID de la cuenta de la máquina en el Dominio
        Para poder unir la “nueva” máquina con el mismo nombre, al Dominio, hay dos posibilidades:
        1.- Borraste la cuenta en el Dominio –> se crea un nuevo SID en el Dominio
        2.- Hiciste un “Reset Account” –> en ese caso se mantiene el SID en el Dominio
        ¿Fui claro?

      • Marlon Mejía Nuñez  On 08/02/2016 at 13:04

        Guillermo,

        Disculpa pero mi duda es : si al formatear la maquina y quererla unir nuevamente al dominio no borre la cuenta ni hice el reset account, solo la volví a unir con el mismo nombre.Que sucede en ese caso ?

      • Guillermo Delprato  On 08/02/2016 at 13:36

        Hola Marlon, si no haz borrado ni reseteado la cuenta de máquina en el Dominio, lo raro es que te haya dejado unirla nuevamente :)
        No puedo afirmarlo 100% pero esto seguro que mantuvo el SID del Dominio porque se dió cuenta por el SID de máquina que fue una reinstalación
        Para poder verificarlo habría que poder observar el SID anterior en el Dominio

  • Alba  On 22/09/2015 at 11:55

    gracias guillermo, disculpe lo moleste.. pero justamente estoy atravesando inconvenientes y este foro me cae de pelicula.. por favor si molesta que siga preguntando me indica.. tengo otra consulta.. que sucede si estoy poniendo un servidor a un dominio con nombre de maquina nueva y ésta no se registra en el objeto computer??? y vuelvo e intento con diferentes nombres y no se registra en AD.. que tengo que hacer??? disculpe.

    • Guillermo Delprato  On 22/09/2015 at 13:12

      ¿Tiene configurada para usar como DNS *únicamente* al Controlador de Dominio?
      ¿Pones el nombre del Dominio en formato NombreDominio.sufijo?
      ¿Qué error da al tratar de unirla al Dominio?

  • Alba  On 22/09/2015 at 13:22

    Si tengo configurada para usar como DNS unicamente mi controlador de dominio.
    Si pongo el nombre del dominio correctamente que es hospital.gye,
    el error que me da con todo nombre que ponga en el event viewer me muestra
    .. “The session setup from the computer HASRV27 failed to authenticate. The
    following error occurred: Access is denied.” y esto sucede con todo nombre que le ponga al server…

    USER ACTION
    If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn’t require any action at this time. If this is a Read-Only Domain Controller and ‘HAGYESRV27$’ is a legitimate machine account for the computer ‘HAGYESRV27’ then ‘HAGYESRV27’ should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller capable of servicing the request (for example a writable domain controller). Otherwise, the following steps may be taken to resolve this problem… etc etc etc..

    Ya no se que hacer… solo se me ocurre cambiar de ip al server, amarrarla al dominio con otro usuario que no sea administrador sino Domain Admins o formatear… que me aconseja usted que es el experto..??

    • Guillermo Delprato  On 22/09/2015 at 16:17

      En la máquina en cuestión hay que iniciar sesión con administrador local, no hay alternativa, pero cuando pide credenciales para unir al Dominio, hay que poner una cuenta del Dominio que tenga privilegio para unir máquinas al Dominio
      Un Administrador de Dominio no tiene límites en la cantidad de máquinas a agregar, en cambio si es un usuario, por omisión, tienen un límite máximo de 10, que sospecho que es lo que está causando el problema
      Únela, y cuando pida contraseña pon las credenciales de un Domain Admin
      Si con lo anterior no se solucionara, en lugar de usar estos comentarios pon el tema en los foros de Technet por ejemplo, yo también estoy por ahí, y muchos más (https://social.technet.microsoft.com/Forums/es-ES/home)

  • Pierre P.  On 15/10/2015 at 13:28

    Buenas tardes, una consulta, cuando aplico la solución en este caso un servidor miembro, me sale lo siguiente:

    “No se pudo restablecer la contraseña de cuenta de equipo para el equipo local.
    Error de inicio de sesión: el nombre de cuenta destino es incorrecto.
    El comando no se pudo completar correctamente.”

    A que se debe este problema es un servidor miembro MS Windows server 2008R2.

    La solución la apliqué en una PC cliente y no hubo problema…

    • Guillermo Delprato  On 15/10/2015 at 15:18

      Hola Pierre, a partir de ese mensaje yo tampoco sé el motivo :)
      En la nota hay varios métodos, prueba con alguno de los otros, y si ninguna solucionara el problema quedará solamente la “opción cavernícola” :D

  • bryan2515  On 05/11/2015 at 17:53

    Buenas tardes si lo hago con el NETDOM ¿tendria problemas al hacerlo sobre maquinas que tienen alojadas maquinas en hyperv?

  • Bryan Alvino  On 06/11/2015 at 12:27

    Buenos días Guillermo disculpa la molestia, actualmente estoy trabajando en una empresa y soy nuevo en el mundo de los servidores, acabo de reinstalar el windows server en un servidor que tenia el WS en evalution este servidor tenia un Dominio y algunos usuarios registrados lo que pasa es que no realizamos un backup de los usuarios y pensábamos que al instalar el AD con el mismo nombre de dominio no habría problemas y los usuarios ingresarían normalmente con sus cuentas pero por mas que haigamos vuelto a crear esos usuarios con las mismas contraseñas y cuando un usuario intenta logearse le sale este error: “The trust relationship between this workstation and the primary domain failed” y tambien “The security database on the server does not have a computer account for this workstation trust relationship”

    he tratado de resolverlo con el comando NETDOM RESET y no funciona, quisiera saber si al RESETEAR LA CUENTA como cavernicola se perdería información de perfiles y configuraciones que tiene cada usuario en su escritorio y pc, la verdad es que no quiero perder información ya que tengo servidores enlazados a ese dominio, por favor alguna idea de solución amigo?

    en definición se volvió a reinstalar el WS 2012 y crear el mismo nombre de DOMINIO sin realizar backup de los usuarios y busco una solución para no perder los perfiles de los usuarios que están en el dominio antiguo pero el nombre de dominio es el mismo. espero tu apoyo estimado Guillermo.

    • Guillermo Delprato  On 06/11/2015 at 13:38

      Hola Bryan, las noticias son malas, el sistema no trabaja como piensas
      Aunque la interfaz gráfica muestre nombres, internamente utiliza SIDs, que son identificadores de seguridad análogos a un número de documento de identidad de una persona
      Por lo tanto aunque todo se llame igual, es otro Dominio diferente
      La única posibilidad que tienes es que los usuarios copien toda su información fuera de su perfil. Sacar las máquinas a grupo de trabajo, y volverlas a unir al Dominio
      Luego con el usuario del nuevo Dominio los usuarios pueden recuperar sus datos, pero aunque se llamen igual son otros, así que si haz dado permisos a los usuarios anteriores, toca hacer el trabajo nuevamente

  • Bryan Alvino  On 06/11/2015 at 14:17

    Gracias Guillermo, quiere decir que si o si tengo que volver a unir al dominio a los usuarios, con eso perderé toda la información cierto de los usuarios? hay alguna manera de clonar o duplicar el SIDs?

    • Guillermo Delprato  On 06/11/2015 at 17:15

      ¿Quieres tener un documento de identidad falso??? ja ja ja
      No, no se puede, por eso puse lo de sacar la información que tengan los usuarios a otra carpeta y que puedan acceder luego para recuperarla

  • luis  On 17/11/2015 at 14:21

    ese comando también funciona cuando me aparece el siguiente mensaje???:
    La base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación.

    Agradecere tu respuesta amigo.

    • Guillermo Delprato  On 17/11/2015 at 16:43

      Hola Luis, todo dependerá si la máquina tiene la cuenta creada en el Domino, o no, revisa eso
      Si no existe la cuenta de máquina no lo solucionará

  • Jesus Castro  On 18/12/2015 at 19:27

    Sr. Guillermo, en mi caso no boraron al usuario como usted lo pone de ejemplo, en mi caso cambiaron la configuracion de Business Network a Home y al reiniciar la computadora ya no aparece el usuario y tampoco la informacion. Aplica hacer esto para recuperar la informacion?
    Uso S.O. Windows 7 ultimate

    • Guillermo Delprato  On 19/12/2015 at 05:43

      Hola Jesus, no, esto no tiene relación con el tema

      • Jesus Castro  On 19/12/2015 at 20:22

        Gracias Sr. Guillermo, hay alguna forma de volver a ver la informacion?, la empresa dueña del dominio es una empresa en banca rota y no hay manera de solicitar su ayuda y yo cuento con el password y el dominio y el IP. Me recuperaron informacion pero no se recuperaron todos los archivos y para mi seria mejor volver a entrar y hacer un backup de la info. Saludos!!

      • Guillermo Delprato  On 20/12/2015 at 15:37

        Hola Jesus, si el usuario del Dominio ha iniciado sesión anteriormente, hay “cacheada” localmente su contraseña en su perfil, y por lo tanto puedes iniciar sesión con ese usuario y sacar toda la información que tengas
        Si diera problema, simplemente desconecta el cable de red para iniciar sesión
        Todo lo anterior suponiendo que en el Dominio, no hay cambiado los valores por omisión para que quede localmente copia del perfil

      • Jesus Castro  On 20/12/2015 at 19:30

        Gracias de Nuevo Sr. Guillermo, soy un usuario afectado pero que conoce muy poco de este tema, si esta usted disponible yo le pagaria para que me ayudara a resolver mi problema y como estamos muy distantes quizas pudiera ser de forma remota. Le dejo mi contacto para que me avise si puede sacarme de mi problema: ………@hotmail.com.

        Nota: Yo soy el usuario y he usado el mismo equipo por 3 años y los ultimos 10 meses han sido sin conexion a la red de la empresa que manejaba el dominio.
        En estos dias por accidente me hicieron la desconexion desde mi propio equipo del dominio de la empresa y desde ahi es que perdi toda la informacion ya que al reiniciar la computadora el usuario que trabajaba con el dominio borrado ya no me aparece como opcion para iniciar.
        Le agradecere mucho si toma mi caso y me puede ayudar y de verdad que garantizo el pago por su servicio.
        Saludos!!!

      • Guillermo Delprato  On 21/12/2015 at 08:17

        Hola Jesus, si han sacado la máquina del Dominio ya no hay solución. Sólo queda una posibilidad, y es que con usuario local con privilegios de administrador, darte permisos y tomar propiedad del perfil del usuario del Dominio que quedó localmente, y trates de sacar la información, aunque hay alguna que no podrás como por ejemplo si hay certificados digitales
        He editado tu mensaje para que no sea visible tu dirección de correo, por sinó el “spam” te tapará :)
        Y por otro lado, agradezco el ofrecimiento, pero con el cambio que han hecho al sacar la máquina del Dominio ya no hay mucho que se pueda hacer :(

  • Esteban Oliveras  On 28/12/2015 at 10:04

    Buenos días, primero disculparme por mis pobres conocimientos informáticos. El tema es que he trabajado con un ordenador personal para una multinacional en los últimos años, con administracion del dispositivo por su parte, con el paso del tiempo por motivos de seguridad por parte de la empresa me han enviado un nuevo PC de empresa con sus niveles de seguridad actualizados, el antiguo PC me lo he quedado para uso particular.
    Así pués lo han sacado del dominio (según me comentan) , pero para entrar en el mismo me pide usuario y contraseña, sobre el dominio en el que estaba, pongo el usuario y contraseña que utilizaba hasta ahora y entro sin problemas. Pero al intentar decargar, instalar o incluso actualizar Windows (Windows 7 profesional) me solicita las credenciales del administrador del dominio en cuestión.
    Hay alguna manera para poder, estando fuera del dominio, restaurar Windows sin perdida de datos y que no me solicite las credenciales y poder hacer uso del PC sin problemas o simplementepoder poder hacer uso del mismo al 100%. Muchas gracias!!!

    • Guillermo Delprato  On 28/12/2015 at 10:17

      Hola Esteban, si en la empresa te han dado el uso de la máquina, yo supongo que no tendrán problemas si les pides que te den nombre de usuario y contraseña de un usuario local. Sería la opción más sencilla y rápida, ya que no tiene mucho sentido darte una equipamiento y luego limitarte el uso
      Si lo anterior no fuera posible, hay otra opción: la siguiente nota del enlace es para Vista, pero creo que funciona exactamente igual en W7
      Recuperar la Contraseña en Vista | WindowServer:
      https://windowserver.wordpress.com/2011/02/26/recuperar-la-contrasea-en-vista/
      Algo a revisar, por omisión, la cuenta original Administrador está deshabilitada, deberías habilitarla además, o simplemente crear otra cuenta que sea administrador local

      • Esteban Oliveras  On 29/12/2015 at 05:37

        Buenos días !! Muchas gracias por tu respuesta, pruebo y te cuento. Saudos

  • Antonio  On 29/12/2015 at 12:17

    Guillermo tengo un Windows server 2000 y de buenas a primeras a algunos usuarios le aparece este mesaje:
    “The security database on the server does not have a computer account for this workstation trust relationship”
    Ya con algunos usuarios se utilizo el metodo cavernicola, y por otro lado reinicie el servidor de dominio tratando de solucionarlo masivamente, sin embargo he tenido que estar asociando nuevamente uno a uno los usuarios al dominio; mi pregunta es, por que se presento esta situación? o como podría prevenir que suceda nuevamente! De antemano muchas gracias!!

    • Guillermo Delprato  On 29/12/2015 at 13:44

      Hola Antonio, en la nota dice cuáles son las causas más comunes que provocan el problema
      Pero el mensaje de error que pones da para pensar en otra cosa diferente
      ¿Se reinstaló o recuperó de copia de seguridad al Controlador de Dominio?
      ¿Existe la posibilidad que alguien haya borrado las cuentas de máquina en el AD? ¿cuando da ese error haz controlado que la cuenta de máquina exista en AD?

      • Antonio  On 29/12/2015 at 17:48

        Gracias Guillermo, revisando el registro de eventos encontre que Symantec hizo una restore!! Esto propicio la falla!!

      • Guillermo Delprato  On 29/12/2015 at 18:53

        Las máquinas que forman parte de un Dominio, se autentican, muy parecido a un usuario, y cambian la contraseña automáticamente por omisión cada 30 días. Si se recuperó una copia de seguridad se des-sincronizan las contraseñas

  • marcos  On 04/03/2016 at 11:10

    hola amigo por lo que yo tengo entendido al perder la relacionde confianza con el AD es claro que ya no dejara firmarse
    el metodo que aun seguimos realizando es el siguente

    eliminamos la maquina (S/N) del repositorio del AD eso desde la consola de administracion

    despues de unos minutos se vuelve a meter al dominio del AD

    como podemos dar solucion a este detalle ya que a mi modo de ver es perder tiempo.

    Saludos!!!

    • Guillermo Delprato  On 04/03/2016 at 11:35

      Hola Marcos, en la nota están detalladas cuáles son las causas más comunes por las que se presenta el problema, así que la mejor solución pasar por solucionar, o reconfigurar de acuerdo a cuál sea la causa. Eso deberías saberlo tú :)
      Y además en la nota, están dos formas mucho más sencillas y rápidas para no tener que hacer lo que mencionas, tanto con NETDOM como con PowerShell

  • diego  On 14/06/2016 at 13:09

    hola guillermo tengo un server 2012 r2 con un dc y tres maquinas con wind7 se conectaban con usuarios normales al dominio
    de unos dias para aca no deja conectar con esos usuarios normales tan solo con el usuario administrador
    ese tema lo he solucionado formateando esas estaciones ..pero logicamente no es una solucion he usado el metodo cavernicola de desconectar las maquinas del dominio y en una ocasion funciono pero sigue el mismo problema solo se conectan al dominio con el usuario administrador.
    el comando NETDOM me podria servir para esta situacion?

  • Antonio Diaz de Teran  On 25/10/2016 at 10:42

    Hola Guillermo, tengo un Dominio en un server 2003 con más de 300 equipos conectados al dominio, tuve que restaurar una copia de C y del estado del Sistema porque el NTDS.dit estaba corrupto y no había manera de repararlo, el problema es que no había copias recientes y la única copia disponible es de hace 4 meses. Después de restaurar la copia el servidor funciona correctamente, el AD está correcto, todo funciona perfecto en el servidor, pero los clientes no se pueden loguear en el dominio, en los equipos con Windows 7 el error es el de la relación de confianza y en los que tienen Windows XP el error es que “el controlador de dominio está bloqueado o no disponible” (este error es el mismo error que la relación de confianza pero en Windows XP). Se que esto se soluciona volviendo a meterlos el dominio, ya que me ha pasado siempre que restauro una copia de seguridad del estado del sistema en un servidor y la copia tiene mas de 1 mes de antigüedad (que gracias a tu excelente explicación ahora entiendo porque pasa esto justo cuando la copia tiene mas de 1 mes) pero ¿con alguna de las herramientas que has indicado, o haciendo el “reset acount” a la cuenta del equipo se podria solucionar este problema desde el Servidor sin tener que pasar por los 300 equipos y sin que perdiesen su SID?
    Saludos¡¡¡

    • Guillermo Delprato  On 25/10/2016 at 12:31

      Hola Antonio, quizás primero te convenga solucionar un tema base: siempre es conveniente tener por lo menos dos Controladores de Dominio por Dominio, de esa forma ante un imprevisto no se produce interrupción de servicio. Si no hay presupuesto para un hardware servidor, se puede tener sobre una PC “bien armada”, el sistema se encarga de repartir la carga
      Sobre el tema de la pérdida de confianza, ¿¿¿W2003??? :D ya no me acuerdo qué era eso :D
      En la nota nombra NLTEST y NETDOM, estos utilitarios en algún momento estaban incluidos en el propio sistema operativo del servidor, y en otros eran parte del “Resource Kit”, sinceramente no lo recuerdo ya
      Además, su sintaxis variaba de acuerdo a la versión de sistema operativo, pero revisa si los tienes y la sintaxis con (/?). Creo recordar que con NLTEST se podía hacer remotamente

  • Jacky  On 14/11/2016 at 18:30

    Hola Guillermo tengo una consulta tengo un controlador de dominio windows server 2008, y cuando las contraseñas de los usuarios caducan, les pide que cambien la contraseña, el problema es que en la mayoría de equipos cuando intenta cambiar la contraseñas les da el siguiente mensaje: “la base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relación de confianza de esta estación”. pero son 1200 usuarios aprox. hay alguna forma de poder arreglar este error sin necesidad de ir equipo por equipo?

    • Guillermo Delprato  On 14/11/2016 at 19:02

      Hola Jacky, hay dos posibilidades, una que se haya reinstalado alguna máquina o servidor pensando que poniéndolo el mismo nombre y dirección IP el sistema no se iba a dar cuenta del cambio, lo cual es incorrecto
      O la segunda, algunos de los motivos que nombra la nota, y está rota la relación de confianza. Esto lo puedes verificar fácilmente desde PowerShell, ejecutado como administrador con “Test-ComputerSecureChannel”
      Y una tercera, que ahora recuerdo, si han clonado las máquinas sin usar SYSPREP

  • Medardo Arcaya  On 18/11/2016 at 16:42

    Hola Guillermo tengo una consulta el pc con windows 10 con el que trabajo lo saque del dominio con el metodo arcairco y no tenia activado el usuario administrador local, al reiniciar el equipo solo aparece el nombre del usuario del dominio y el cursor para digitar la contraseña dígito la contraseña y me dice ” la contraseña no es correcta. inténtelo de nuevo” he intentado otras contraseas y nada al presionar crtl alt supr no me da opción para escoger otro usuario la pregunta es como ingreso nuevamente ese PC al dominio si no puedo logonearme.

    • Guillermo Delprato  On 18/11/2016 at 17:12

      Por más que sacaras la máquina del Dominio siempre está el usuario local creado durante la instalación, debs usar la sintaxis “.\NombreUsuario”
      Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home

      • Medardo Arcaya  On 18/11/2016 at 17:59

        Guillermo, gracias, encontré la solución :)

  • Jhordy Gala  On 12/12/2016 at 15:26

    Quisiera saber que fue de la vida de BRYAN ALVINO, el que reinstalo windows server sin sacar backup, no quisiera estar en sus zapatos :c

  • Daniel Rodriguez  On 29/12/2016 at 15:28

    Hola Mi nombre es Daniel, mis feliitaciones por el excelente trabajo que realizan.

    Tengo una consulta actualmente tuvimos u problema de electricidad con nuestros storages y estropearon algunas maquinas virtuales incluyendo la de active directory. Restauramos un VM a la fecha del 06/06/2016 completa y no queremos que el personal de soporte tecnico vaya uno por uno a los puestos a ingresar al dominio esos equipos. y que todo siga marchando con normalidad a excepcion de los nuevos usuarios que se tienen que agregar.

  • Maximiliano Cossio  On 08/02/2017 at 12:09

    Felicitaciones! Muy buena nota. Solo le cambiaría el título, ya que por lo que veo, es de server a server. Me gustaría saber como hacer esto mismo desde una workstation y sin utilizar RSAT. Se podrá de alguna forma? Saludos!

    • Guillermo Delprato  On 08/02/2017 at 15:12

      Hola Maximiliando ¡me alegro te sirva la nota! pero no es sólo server a server :)
      Por supuesto que los Controladores de Dominio deben ser servidores, pero la máquina que ha roto la relación de confianza puede ser servidor o cliente, yo lo hago con servidores sólo porque es lo que tengo más a mano :)

  • julian gonzalez  On 13/02/2017 at 11:03

    Buenos dias, tengo una red de aproximadamente 100 pcs, y se me esta presentando el problema que estas se estan “cambiando de red”, explico:
    si colocas el cursor o puntero en la imagen que aparece en la parte derecha de abajo (una pc), normalmente aparece el nombre de la red XXXXXX.local, actualmente la mayoria aparece red1, red2, red3, hasta ahora llegando hasta la red6, y no reconoce los demas dispositivos de la red, tales como impresoras, anteriormente las baja de dominio y los volvia a subir y problema resuelto, actualmente al tratarla de subir me aparece una caja de texto que dice que no reconoce el dhcp, y que el dominio no es valido,
    Que solucion podria darme al respecto.

    • Guillermo Delprato  On 13/02/2017 at 11:57

      Hola Julián, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      Para que puedan ayudarte, además de los síntomas, proporciona datos, por ejemplo cómo se asigna la configuración IP y quién es el DHCP. Recuerda que todas las máquinas deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS

  • James  On 20/03/2017 at 21:54

    Hola buenas noches Sr. Guillermo, soy nuevo en el tema de administrar controladores de dominio, tengo una duda, si saco la maquina del controlador de dominio, el usuario que se habia creado en mi maquina de trabajo, y si uno nuevamente la maquina al dominio, pierdo el perfil que o al unir la maquina nuevamente, me carga el perfil de controlador de dominio sin problemas?

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: