В этой статье мы рассмотрим проблему нарушения доверительных отношений между рабочей станцией и доменом Active Directory, из-за которой пользователь не может авторизоваться на компьютере. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений компьютера с контроллером домена по безопасному каналу без перезагрузки компьютера.
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:
Также ошибка может выглядеть так:
Пароль учетной записи компьютера в домене Active Directory
Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись типа computer. У каждого компьютера в домене, как и у пользователей есть свой пароль, который необходим для аутентификации компьютера в домене и установления доверенного подключения к контроллеру домена. Однако, в отличии от паролей пользователя, пароли компьютеров задаются и меняются автоматически.
Несколько важных моментов, касающихся паролей компьютеров в AD:
Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domain member: Maximum machine account password age, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).
Если хэш пароля, который компьютер отправляет контроллеру домена не совпадает с паролем учетной записи компьютера, компьютер не может установить защищённое подключение к DC и выдает ошибки о невозможности установить доверенное подключение.
Почему это может произойти:
Классический способ восстановить доверительных отношений компьютера с доменом в этом случае:
Этот метод кажется простым, но слишком топорный и требует, как минимум двух перезагрузок компьютера, и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.
Есть более элегантный способ восстановить доверительные отношения с помощью PowerShell без перевключения в домен и без перезагрузок компьютера.
Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell
Если вы не можете аутентифицироваться на компьютере под доменной учетной записью с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”, вам нужно войти на компьютер под локальной учетной записью с правами администратора. Также можно отключить сетевой кабель и авторизоваться на компьютере под доменной учетной записью, которая недавно заходила на этот компьютер, с помощью кэшированных учетных данных (Cached Credentials).
Откройте консоль PowerShell и с помощью командлета Test-ComputerSecureChannel проверьте соответствует ли локальный пароль компьютера паролю, хранящемуся в AD.
Чтобы принудительно сбросить пароль учётной записи данного компьютера в AD, нужно выполнить команду:
Test-ComputerSecureChannel – Repair – Credential (Get-Credential)
Для выполнения операции сброса пароля нужно указать учетную запись и пароль пользователя, у которого достаточно полномочий на сброс пароля учетной записи компьютера. Этому пользователя должны быть делегированы права на компьютеры в Active Directory (можно использовать и члена группы Domain Admins, но это не комильфо).
После этого нужно еще раз выполнить команду Test-ComputerSecureChannel и убедится, что она возвращает True ( The Secure channel between the local computer and the domain winitpro. ru is in good condition ).
Итак, пароль компьютера сброшен без перезагрузки и без ручного перевоода в домен. Теперь вы можете аутентифицировать на компьютере под доменной учетной записью.
dc01.corp. winitpro. ru – имя ближайшего DC, на котором нужно сменить пароль компьютера.
Имеет смысл сбрасывать пароль компьютера каждый раз, перед тем как вы создаете снапшот виртуальной машины или точку восстановления компьютера. Это упростит вам жизнь при откате к предыдущему состоянию компьютера.
С помощью командлета Get-ADComputer (из модуля Active Directory Windows PowerShell) можно проверить время последней смены пароля компьютера в AD:
Также можно проверить наличие безопасного канала между компьютером и DC командой:
Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:
Восстановления доверия с помощью утилиты Netdom
Утилита Netdom включена в состав Windows Server начиная с 2008, а на компьютерах пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстановить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:
Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password
Netdom resetpwd /Server:spb-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd
Послу успешного выполнения команды не нужно перезагружать компьютер, достаточно выполнить логофф и войти в систему под доменной учетной.
Как вы видите, восстановить доверительные отношения междду компьютером и доменом довольно просто.
Как исправить ошибку DistributedCOM Error 10016 в Windows 10
Что такое DistributedCOM?
Во-первых, что такое DistributedCOM, и почему он показывает ошибку?
Distributed Component Object Model (DCOM) является неотъемлемой частью сетевого взаимодействия на компьютерах с операционной системой Windows. Это запатентованная технология Microsoft, которая срабатывает каждый раз, когда приложение подключается к интернету. Традиционный COM может получить доступ к информации только на той же машине, в то время как DCOM может получить доступ к данным на удаленных серверах.
Например, многие сайты и службы используют сценарии доступа к удаленному серверу. Когда ваша система делает запрос с помощью сценария или иным образом, DCOM пересылает запрос на определенный объект сценария. Учитывая, как часто современные приложения используют сетевое подключение, и наше повсеместное использование компьютеров, вы можете убедиться, что DCOM используется очень часто.
Ошибка DCOM обычно возникает, когда приложение или служба пытается использовать DCOM, но не имеет соответствующих разрешений. Большую часть времени ошибки DCOM не будут влиять на вашу систему, за исключением засорения Event Viewer. Поскольку большинство пользователей Windows 10 не проверяют Event Viewer регулярно, ошибки DCOM не о чем беспокоиться. Тем не менее, система без ошибок лучше, чем наоборот.
Учитывая это, приведем один простой способ устранения ошибки DCOM Error 10016, и еще одно несколько более длинное исправление.
1. Редактирование реестра Windows для исправления ошибки DCOM Error 10016
Простая настройка реестра иногда позволяет немедленно исправить ошибку DCOM Error 10016.
Перед редактированием реестра я рекомендую сделать резервную копию.
Введите registry в строке поиска меню Пуск. Перейдите в меню Файл > Экспорт, установите для параметра Экспорт диапазон значение Все, а затем Сохранить реестр Windows в удобном месте. Следующее исправление не повредит ваш компьютер, но лучше всего сделать резервную копию для восстановления в случае непредвиденной ошибки.
Итак, давайте попробуем исправить ошибку.
С этого момента в системе не должно быть ошибки DCOM Error 10016.
2. Разрешение DCOM на выполнение определенных действий при возникновении ошибок
Если это не сработает, то вы сможете найти гораздо более длинный выход из сложившейся ситуации. Сообщение об ошибке DCOM Error 10016 в средстве просмотра событий содержит информацию о конкретном приложении или процессе, создающем проблему.
Загрузите средство просмотра событий.
Перейдите в Журнал Windows > Система и найдите вашу последнюю ошибку DCOM 10016. Дважды щелкните сообщение об ошибке, чтобы развернуть его.
Вкладка General (Общие) объясняет причину ошибки 10016 и содержит список CLSID (Class ID) и APPID (Application ID). Символьные строки CLSID и APPID выглядят случайно. Однако с их помощью можно определить, какое приложение или служба является источником ошибки 10016.
Найдите CLSID и APPID в редакторе реестра
Вот как найти службу в Редакторе реестра.
Сначала выделите CLSID в средстве просмотра событий, а затем нажмите CTRL + C для копирования. Затем откройте Редактор реестра. Поиск в реестре осуществляется по следующим параметрам:
Помните, что адрес можно скопировать и вставить в адресную строку редактора реестра. По окончании поиска CLSID можно выполнить перекрестные ссылки на APPID из сообщения об ошибке с AppID, указанным в CLSID.
Ошибка DCOM 10016 в примере связана с Runtime Broker, который является одной из наиболее распространенных причин этой ошибки.
Редактирование разрешений CLSID
В левом списке записей реестра щелкните правой кнопкой мыши CLSID, относящийся к ошибке, затем выберите Permission > Advanced (Разрешение > Дополнительно). Отсюда вы можете отредактировать права доступа к службе.
Выделите пункт Administrators (Администраторы) и выберите Edit (Редактировать). Переключите основные разрешения на Full Control, а затем нажмите OK > Apply > OK.
Теперь перезапустите систему.
После завершения перезапуска введите Component Services (Службы компонентов) в строку поиска меню Пуск и запустите сервис. Перейдите к Компьютеры > Мой компьютер > DCOM Config.
Вы увидите длинный список сервисов, использующих DCOM каким-либо образом. Найдите службу, используя имя и APPID, щелкните правой кнопкой мыши и выберите Properties > Security.
В разделе Launch and Activation Permissions выберите Edit > Add > Add a Local Service > Apply. Теперь поставьте галочку в поле Local Activation, нажмите OK и перезагрузите систему еще раз.
Ух ты! Все сделано, процесс завершен.
Примечание: К сожалению, если у вас несколько причин ошибки 10016, вам придется выполнять этот процесс для каждой комбинации CSLID/APPID.
DCOM Error 10016 решена
Надеюсь, это помогло вам исправить ошибку распределенного COM 10016. Должен подчеркнуть, что ошибка DCOM 10016 вряд ли повлияет на производительность вашей системы.
Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс. Мессенджере и Яндекс. Дзен. Только там последние обновления блога и новости мира информационных технологий.
Респект за пост! Спасибо за работу!
Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.
Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.
https://winitpro. ru/index. php/2014/09/18/vosstanovlenie-doveritelnyx-otnoshenij-bez-perevvoda-v-domen/
https://levashove. ru/fix-distributedcom-error-10016-windows/
