Как подключить виртуальную машину к домену
Присоединение виртуальной машины Windows Server к управляемому домену доменных служб Azure Active Directory с использованием шаблона Resource Manager
Чтобы автоматизировать развертывание и настройку виртуальных машин Azure, можно использовать шаблоны Resource Manager. Они позволяют создавать последовательные развертывания каждый раз. В шаблоны также можно включить расширения для автоматической настройки виртуальной машины в ходе развертывания. Одно из полезных расширений присоединяет виртуальные машины к домену, который можно использовать с управляемыми доменами доменных служб Azure Active Directory (Azure AD DS).
В этой статье показано, как с помощью шаблонов Azure Resource Manager создать и присоединить виртуальную машину Windows Server к управляемому домену Azure AD DS. Вы также узнаете, как присоединить существующую виртуальную машину Windows Server к домену Azure AD DS.
Предварительные требования
Для работы с этим учебником требуются следующие ресурсы и разрешения:
Обзор шаблона Azure Resource Manager
Шаблоны Resource Manager позволяют определить инфраструктуру Azure в коде. В шаблоне можно определить необходимые ресурсы, сетевые подключения или конфигурацию виртуальных машин. Эти шаблоны создают единообразные, воспроизводимые развертывания каждый раз, и их можно изменять путем версионирования. Дополнительные сведения см. в статье Обзор шаблонов Azure Resource Manager.
Каждый ресурс определяется в шаблоне с помощью нотации объектов JavaScript (JSON). В следующем примере JSON используется тип ресурса Microsoft.Compute/virtualMachines/extensions для установки расширения присоединения к домену Active Directory. Используются параметры, указанные во время развертывания. При развертывании расширения виртуальная машина присоединяется к указанному управляемому домену.
Это расширение виртуальной машины можно развернуть, даже если вы не создаете виртуальную машину в том же шаблоне. В примерах, приведенных в этой статье, демонстрируются следующие подходы:
Создание и присоединение виртуальной машины Windows Server к управляемому домену
Если требуется виртуальная машина Windows Server, можно создать и настроить ее с помощью шаблона Resource Manager. После развертывания виртуальной машины устанавливается расширение для присоединения виртуальной машины к управляемому домену. Если у вас уже есть виртуальная машина, которую вы хотите присоединить к управляемому домену, перейдите к разделу Присоединение существующей виртуальной машины Windows Server к управляемому домену.
Чтобы создать виртуальную машину Windows Server и присоединить ее к управляемому домену, выполните следующие шаги:
Изучите шаблоны быстрого запуска. Выберите параметр Развернуть в Azure.
На странице Настраиваемое развертывание введите следующие сведения, чтобы создать виртуальную машину Windows Server и присоединить ее к управляемому домену:
Прочтите условия использования и установите флажок Я принимаю указанные выше условия. Когда все будет готово, выберите Приобрести, чтобы создать виртуальную машину и присоединить ее к управляемому домену.
С осторожностью обращайтесь с паролями. Файл параметров шаблона запрашивает пароль для учетной записи пользователя, которая является частью управляемого домена. Не вводите значения вручную в этот файл и оставьте его доступным в общих папках или в других общих расположениях.
Подождите несколько минут до завершения развертывания. По завершении виртуальная машина Windows будет создана и присоединена к управляемому домену. Виртуальной машиной можно управлять или входить в нее с помощью учетных записей домена.
Присоединение существующей виртуальной машины Windows Server к управляемому домену
Если у вас есть виртуальная машина или группа виртуальных машин, которые вы хотите присоединить к управляемому домену, можно использовать шаблон Resource Manager, чтобы просто развернуть расширение виртуальной машины.
Чтобы присоединить существующую виртуальную машину Windows Server к управляемому домену, выполните следующие действия.
Изучите шаблоны быстрого запуска. Выберите параметр Развернуть в Azure.
На странице Настраиваемое развертывание введите следующие сведения, чтобы присоединить виртуальную машину к управляемому домену:
Прочтите условия использования и установите флажок Я принимаю указанные выше условия. Когда все будет готово, выберите Приобрести, чтобы присоединить виртуальную машину к управляемому домену.
С осторожностью обращайтесь с паролями. Файл параметров шаблона запрашивает пароль для учетной записи пользователя, которая является частью управляемого домена. Не вводите значения вручную в этот файл и оставьте его доступным в общих папках или в других общих расположениях.
Подождите немного до завершения развертывания. По завершении указанные виртуальные машины Windows присоединяются к управляемому домену. Управлять ими или входить в них можно с использованием учетных записей домена.
Дальнейшие действия
В этой статье вы использовали портал Azure для настройки и развертывания ресурсов с помощью шаблонов. Вы также можете развертывать ресурсы с помощью шаблонов Resource Manager, используя Azure PowerShell или Azure CLI.
Устранение неполадок с присоединением к домену с помощью управляемого домена доменных служб Azure Active Directory
При попытке присоединить виртуальную машину или подключить приложение к управляемому домену доменных служб Azure Active Directory (Azure AD DS) может появиться сообщение о том, что операцию выполнить не удается. Чтобы устранить проблемы с присоединением к домену, определите, на каком из перечисленных этапов они возникают:
Проблемы подключения при присоединении к домену
Если виртуальная машина не может найти управляемый домен, обычно это связано с сетевым подключением или настройками. Чтобы найти и устранить проблему, выполните следующие действия:
Настройка группы безопасности сети
При создании управляемого домена также создается группа безопасности сети с соответствующими правилами для надлежащей работы домена. Если вы изменяете или создаете дополнительные правила группы безопасности сети, вы можете непреднамеренно заблокировать порты, которые Azure AD DS использует для подключения и проверки подлинности. Эти правила группы безопасности сети могут вызывать такие проблемы, как ошибка синхронизации паролей, ошибка входа пользователей в систему или проблемы с подключением к домену.
Если проблемы с подключением продолжают возникать, выполните следующие действия по устранению неполадок:
Проблемы с учетными данными во время присоединения к домену
Если появится диалоговое окно с запросом учетных данных для присоединения к управляемому домену, виртуальная машина сможет подключиться к домену с помощью виртуальной сети Azure. Процесс присоединения к домену завершается сбоем при проверке подлинности в домене или о время авторизации на домене с использованием введенных учетных данных.
Чтобы устранить неполадки, связанные с учетными данными, выполните следующие действия:
Дальнейшие действия
Дополнительные сведения о процессе присоединения к домену в Active Directory см. в разделе Проблемы с соединением и проверкой подлинности.
Если у вас по-прежнему возникают проблемы при присоединении виртуальной машины к управляемому домену, перейдите в раздел справки и отправьте запрос в службу поддержки для Azure Active Directory.
Руководство по Присоединение виртуальной машины Windows Server к управляемому домену доменных служб Azure Active Directory
Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP, а также выполнение аутентификации Kerberos или NTLM (полностью поддерживается Windows Server Active Directory). Управляемый домен Azure AD DS позволяет предоставить функции присоединения к домену и управления для виртуальных машин Azure. В этом руководстве показано, как создать виртуальную машину Windows Server и присоединить ее к управляемому домену.
В этом руководстве описано следующее:
Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу.
Предварительные требования
Для работы с этим учебником требуются следующие ресурсы:
Если у вас уже есть виртуальная машина, которую вы хотите присоединить к домену, перейдите к разделу о присоединении виртуальной машины к управляемому домену.
Вход на портал Azure
В этом руководстве рассказывается о том, как создать виртуальную машину Windows Server и присоединить ее к управляемому домену с помощью портала Azure. Чтобы начать работу, войдите на портал Azure.
Создание виртуальной машины Windows Server
Чтобы продемонстрировать, как присоединить компьютер к управляемому домену, мы для начала создадим виртуальную машину Windows Server. Эта виртуальная машина подключается к виртуальной сети Azure, которая обеспечивает подключение к управляемому домену. Процесс присоединения к управляемому домену аналогичен присоединению к обычному локальному домену доменных служб Active Directory.
Если у вас уже есть виртуальная машина, которую вы хотите присоединить к домену, перейдите к разделу о присоединении виртуальной машины к управляемому домену.
На домашней странице или в меню портала Azure выберите команду Создать ресурс.
В разделе Начало работы выберите Windows Server 2016 Datacenter.
В окне Основные сведения настройте основные параметры виртуальной машины. Сохраните значения по умолчанию в полях Параметры доступности, Образ и Размер.
| Параметр | Рекомендуемое значение |
|---|---|
| Группа ресурсов | Выберите или создайте группу ресурсов, например myResourceGroup. |
| Имя виртуальной машины | Введите имя виртуальной машины, например myVM. |
| Регион | Выберите регион для создания виртуальной машины, например Восточная часть США. |
| Имя пользователя | Введите имя пользователя для учетной записи локального администратора виртуальной машины, например azureuser. |
| Пароль | Введите и подтвердите надежный пароль для локального администратора, который будет создан на виртуальной машине. Не вводите учетные данные пользователя домена. |
По умолчанию виртуальные машины, созданные в Azure, доступны из Интернета с помощью RDP. При включенном протоколе удаленного рабочего стола крайне вероятны атаки с автоматическим входом, что может привести к отключению учетных записей с типичными именами (например, admin, administrator и т. п.) после многочисленных неудачных попыток входа.
Протокол RDP нужно включать только при необходимости и только для нескольких разрешенных IP-адресов. Такая конфигурация повышает безопасность виртуальной машины и сокращает потенциальную область атаки. Или создайте и используйте узел-бастион Azure, который разрешает доступ только через портал Azure по протоколу TLS. На следующем шаге этого учебника вы используете узел Бастиона Azure для безопасного подключения к виртуальной машине.
В разделе Общедоступные входящие порты выберите Нет.
По завершении нажмите Далее: Диски.
В раскрывающемся меню Тип диска ОС выберите SSD (цен. категория «Стандартный») и нажмите кнопку Далее: сеть.
Виртуальная машина должна подключаться к подсети виртуальной сети Azure, которая может взаимодействовать с подсетью, где развернут управляемый домен. Мы рекомендуем развертывать управляемый домен в собственной выделенной подсети. Не развертывайте виртуальную машину в той же подсети, что и управляемый домен.
Есть два основных способа развернуть виртуальную машину и правильно подключить ее к подсети виртуальной сети.
Если вы выберете подсеть виртуальной сети, которая не подключена к подсети управляемого домена, вы не сможете присоединить к нему виртуальную машину. В этом учебнике мы создадим новую подсеть в виртуальной сети Azure.
В области Сеть выберите виртуальную сеть, в которой развернут управляемый домен, например aaads-vnet.
В этом примере отображается существующая подсеть aaads-subnet, к которой подключен управляемый домен. Не подключайте виртуальную машину к этой подсети. Чтобы создать подсеть для виртуальной машины, выберите Управление конфигурацией подсети.
В окне виртуальной сети выберите в меню слева элемент Адресное пространство. Виртуальная сеть создается с одним диапазоном адресов 10.0.2.0/24, который используется для создаваемой по умолчанию сети. Также могут существовать другие подсети, например для рабочих нагрузок или службы «Бастион Azure».
Добавьте еще один диапазон IP-адресов к этой виртуальной сети. Размер этого диапазона адресов и фактические значения IP-адресов следует выбирать с учетом уже развернутых сетевых ресурсов. Этот диапазон IP-адресов не должен перекрываться с существующими диапазонами адресов в Azure или локальной среде. Предоставьте диапазон IP-адресов достаточного размера для размещения всех запланированных виртуальных машин.
В следующем примере добавляется диапазон IP-адресов 10.0.5.0/24. Когда все будет готово, щелкните Сохранить.
Теперь в окне виртуальной сети выберите в меню слева элемент Подсети, а затем щелкните +Подсеть, чтобы добавить подсеть.
Создание виртуальной сети занимает несколько секунд. Когда создание завершится, щелкните X, чтобы закрыть окно подсети.
Теперь в панели Сети, которую вы открыли для создания виртуальной машины, выберите из раскрывающегося меню созданную подсеть, например management. Здесь также убедитесь, что выбрана правильная подсеть, и не развертывайте виртуальную машину в той же подсети, что и управляемый домен.
Для параметра Общедоступный IP-адрес выберите из раскрывающееся списка значение Нет. Так как в этом руководстве используется Бастион Azure для подключения к системе управления, вам не нужен общедоступный IP-адрес, назначенный виртуальной машине.
Для других параметров сохраните значения по умолчанию и щелкните Управление.
Для параметра Диагностика загрузки укажите значение Выкл. Для других параметров сохраните значения по умолчанию и щелкните Просмотреть и создать.
Проверьте параметры виртуальной машины и щелкните Создать.
Создание виртуальной машины занимает несколько минут. Портал Azure отображает текущее состояние развертывания: Когда виртуальная машина будет готова, выберите Перейти к ресурсу.
Подключение к виртуальной машине Windows Server
Для безопасного подключения к виртуальным машинам используйте узел Бастиона Azure. В Бастионе Azure управляемый узел развертывается в виртуальной сети и обеспечивает веб-подключение RDP или SSH к виртуальным машинам. Для виртуальных машин не требуются общедоступные IP-адреса, и вам не нужно открывать правила группы безопасности сети для внешнего удаленного трафика. Подключение к виртуальным машинам осуществляется с помощью портала Azure из веб-браузера. При необходимости создайте узел Бастиона Azure.
Чтобы использовать узел-бастион для подключения к вашей виртуальной машине, выполните следующие действия:
В области Обзор виртуальной машины выберите Подключить, а затем — Бастион.
Введите учетные данные для виртуальной машины, указанные в предыдущем разделе, а затем выберите Подключить.
При необходимости разрешите веб-браузеру открывать всплывающие окна для отображения подключения Бастиона. Подключение к виртуальной машине займет несколько секунд.
Присоединение виртуальной машины к управляемому домену
После создания виртуальной машины и веб-подключения RDP, установленного с помощью Бастиона Azure, присоединим виртуальную машину Windows Server к управляемому домену. Процесс будет таким же, как и при присоединении к обычному локальному домену доменных служб Active Directory.
Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.
В левой области окна диспетчера серверов выберите Локальный сервер. В разделе Свойства в правой области выберите Рабочая группа.
В окне Свойства системы выберите Изменить для присоединения к управляемому домену.
В поле Домен укажите имя управляемого домена, например aaddscontoso.com, а затем щелкните ОК.
Введите учетные данные для присоединения к домену. Укажите учетные данные пользователя, принадлежащего управляемому домену. Учетная запись должна входить в управляемый домен или клиент Azure AD — учетные записи из внешних каталогов, связанных с клиентом Azure AD, не смогут пройти проверку подлинности в процессе присоединения к домену.
Учетные данные учетной записи можно задать одним из следующих способов.
Присоединение к управляемому домену занимает несколько секунд. Когда этот процесс завершится, появится сообщение с приветствием.
Чтобы завершить процесс присоединения к управляемому домену, перезапустите виртуальную машину.
Вы можете присоединить виртуальную машину к домену с помощью PowerShell, используя командлет Add-Computer. Следующий пример присоединяет виртуальную машину к домену AADDSCONTOSO и перезапускает ее. В ответ на приглашение введите учетные данные пользователя, входящего в управляемый домен.
Чтобы присоединить к домену виртуальную машину, не подключаясь к ней и не настраивая подключение вручную, вы также можете воспользоваться командлетом Azure PowerShell под названием Set-AzVmAdDomainExtension.
После перезапуска виртуальной машины Windows Server на нее отправляются все политики, настроенные в управляемом домене. Также вы после этого сможете войти на виртуальную машину Windows Server, используя соответствующие учетные данные домена.
Очистка ресурсов
В следующем учебнике вы используете эту виртуальную машину Windows Server для установки средств управления, которые позволяют администрировать управляемый домен. Если вы не хотите продолжать работу с этой серией учебников, воспользуйтесь описанными ниже шагами для очистки, чтобы удалить виртуальную машину. В противном случае перейдите к следующему учебнику.
Отсоединение виртуальной машины от управляемого домена
Чтобы удалить виртуальную машину из управляемого домена, выполните еще раз шаги по присоединению виртуальной машины к домену, но вместо управляемого домена выберите для присоединения рабочую группу, например РАБОЧУЮ ГРУППУ по умолчанию. После перезагрузки виртуальной машины объект-компьютер будет удален из управляемого домена.
Если удалить виртуальную машину, не отсоединяя ее от домена, потерянный объект-компьютер останется в Azure AD DS.
Удаление виртуальной машины
Если вы не намерены использовать эту виртуальную машину Windows Server, удалите ее с помощью следующей процедуры.
Устранение неполадок при присоединении к домену
Виртуальная машина Windows Server должна успешно присоединиться к управляемому домену точно так же, как обычный локальный компьютер к домену доменных служб Active Directory. Если виртуальная машина Windows Server не может присоединиться к управляемому домену, значит, существуют проблемы с подключением или учетными данными. Изучите следующие разделы по устранению неполадок, чтобы успешно присоединиться к управляемому домену.
Проблемы, связанные с подключением
Если не отображается приглашение для ввода учетных данных на присоединение к домену, это означает проблему с подключением. Виртуальная машина не может связаться с управляемым доменом в виртуальной сети.
После каждого из предложенных шагов по устранению неполадок повторяйте попытку присоединить виртуальную машину Windows Server к управляемому домену.
Проблемы, связанные с учетными данными
Если появляется запрос на ввод учетных данных для присоединения к домену, но после их ввода вы получаете сообщение об ошибке, значит, виртуальная машина может подключиться к управляемому домену, но не с указанными учетными данными.
После каждого из предложенных шагов по устранению неполадок повторяйте попытку присоединить виртуальную машину Windows Server к управляемому домену.
Дальнейшие действия
В этом руководстве вы узнали, как выполнять следующие задачи:
Для администрирования управляемого домена настройте виртуальную машину управления с помощью Центра администрирования Active Directory (ADAC).
Присоединение виртуальной машины Ubuntu Linux к управляемому домену
Чтобы разрешить пользователям входить в виртуальные машины в Azure с помощью одного набора учетных данных, можно присоединить виртуальные машины к управляемому домену доменных служб Azure Active Directory (Azure AD DS). При присоединении виртуальной машины к управляемому домену Azure AD DS учетные записи пользователей и учетные данные из домена можно использовать для входа на сервера и управления ими. Также применяются членства в группах из управляемого домена, позволяющие управлять доступом к файлам и службам на виртуальной машине.
В этой статье показано, как присоединить виртуальную машину Ubuntu Linux к управляемому домену.
Предварительные требования
Для работы с этим учебником требуются следующие ресурсы и разрешения:
Создание виртуальной машины Ubuntu Linux и подключение к ней
Если у вас есть существующая виртуальная машина Ubuntu Linux в Azure, подключитесь к ней с помощью SSH, а затем перейдите к следующему шагу, чтобы приступить к настройке виртуальной машины.
Если необходимо создать виртуальную машину Ubuntu Linux или создать тестовую виртуальную машину для использования в целях этой статьи, можете использовать один из следующих методов:
При создании виртуальной машины обратите внимание на параметры виртуальной сети и убедитесь, что виртуальная машина может обмениваться данными с управляемым доменом.
После развертывания виртуальной машины выполните действия по подключению к виртуальной машине с использованием протокола SSH.
Настройка файла hosts
Чтобы убедиться, что имя узла виртуальной машины правильно настроено для управляемого домена, измените файл /etc/hosts и задайте имя узла:
В файле hosts обновите адрес localhost. В следующем примере:
Замените эти имена своими значениями:
По завершении сохраните и закройте файл hosts с помощью команды редактора.
Установка необходимых пакетов
Настройка протокола синхронизации времени по сети (NTP)
Для правильного взаимодействия с доменом необходимо синхронизировать дату и время виртуальной машины Ubuntu с управляемым доменом. Добавьте имя узла NTP из управляемого домена в файл /etc/ntp.conf.
Откройте файл ntp.conf с помощью редактора:
В файле ntp.conf создайте строку для добавления DNS-имени управляемого домена. В следующем примере добавляется запись для aaddscontoso.com. Используйте собственное DNS-имя:
Чтобы убедиться, что виртуальная машина синхронизирована с управляемым доменом, необходимо выполнить следующие действия:
Чтобы завершить настройку, выполните следующие шаги. Используйте собственное DNS-имя с помощью команды ntpdate :
Присоединение виртуальной машины к управляемому домену
Теперь, когда необходимые пакеты установлены на виртуальной машине, а протокол NTP настроен, присоедините ВМ к управляемому домену.
Используйте команду realm discover для обнаружения управляемого домена. В следующем примере обнаруживается область определения приложения AADDSCONTOSO.com. Укажите собственное имя управляемого домена В ВЕРХНЕМ РЕГИСТРЕ:
Если команде realm discover не удается найти управляемый домен, попробуйте следующие действия по устранению неполадок:
Присоединение виртуальной машины к управляемому домену занимает несколько секунд. В следующем примере выходных данных показано, что виртуальная машина успешно присоединена к управляемому домену:
Если виртуальная машина не может успешно завершить процесс присоединения к домену, убедитесь, что группа безопасности сети виртуальной машины разрешает исходящий трафик Kerberos для порта TCP + UDP 464 к подсети виртуальной сети для вашего управляемого домена.
Если получено сообщение об ошибке : Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database) (Неуказанная ошибка GSS. Дополнительный код может предоставить дополнительные сведения (сервер не найден в базе данных Kerberos)), откройте файл /etc/krb5.conf, добавьте следующий код в раздел и повторите попытку:
Обновление конфигурации SSSD
Один из пакетов, установленных на предыдущем шаге, использовался для System Security Services Daemon (SSSD). Когда пользователь пытается войти в виртуальную машину с использованием учетных данных домена, SSSD передает запрос поставщику проверки подлинности. В этом случае SSSD использует Azure AD DS для проверки подлинности запроса.
Откройте файл sssd.conf с помощью редактора:
Закомментируйте строку для use_fully_qualified_names следующим образом:
Чтобы применить изменение, перезагрузите службу SSSD.
Настройка учетной записи пользователя и параметров группы
Если виртуальная машина присоединена к управляемому домену и настроена для проверки подлинности, необходимо настроить несколько параметров конфигурации пользователя. Эти изменения конфигурации включают разрешение проверки подлинности на основе пароля и автоматическое создание домашних каталогов на локальной виртуальной машине при первом входе пользователей домена.
Разрешение проверки пароля для SSH
По умолчанию пользователи могут входить в виртуальную машину только с помощью проверки подлинности на основе открытых ключей SSH. Проверку подлинности на основе пароля пройти невозможно. При присоединении виртуальной машины к управляемому домену эти учетные записи домена должны использовать проверку подлинности на основе пароля. Обновите конфигурацию SSH, чтобы разрешить проверку подлинности на основе пароля, как показано ниже.
Откройте файл sshd_conf с помощью редактора:
Для строки PasswordAuthentication установите значение yes:
По завершении сохраните и закройте файл sshd_conf с помощью команды редактора.
Чтобы применить изменения и позволить пользователям входить с помощью пароля, перезапустите службу SSH:
Настройка автоматического создания домашнего каталога
Чтобы включить автоматическое создание домашнего каталога при первом входе пользователя, выполните следующие действия.
Откройте файл /etc/pam.d/common-session в редакторе.
Добавьте следующую строку в файле под строкой session optional pam_sss.so :
Предоставление привилегий суперпользователя группе «Администраторы контроллера домена AAD»
Чтобы предоставить членам группы администраторов контроллера домена AAD права администратора на виртуальной машине Ubuntu, добавьте запись в /etc/sudoers. После добавления члены группы администраторов контроллера домена AAD могут использовать команду на виртуальной машине Ubuntu.
Откройте файл sudoers для редактирования:
Добавьте следующую запись в конец файла /etc/sudoers.
Вход в виртуальную машину с помощью учетной записи домена
Чтобы убедиться, что виртуальная машина успешно присоединена к управляемому домену, запустите новое SSH-подключение, используя учетную запись пользователя домена. Убедитесь, что был создан корневой каталог и применяется членство в группе из домена.
После успешного подключения к виртуальной машине убедитесь, что корневой каталог был инициализирован правильно:
Вы должны находиться в каталоге /home с собственным каталогом, совпадающим с учетной записью пользователя.
Теперь убедитесь, что членство в группе разрешается правильно:
Вы должны видеть свое членство в группе из управляемого домена.
Если вы вошли в виртуальную машину в качестве члена группы администраторов контроллера домена AAD, убедитесь, что вы можете правильно использовать команду :
Дальнейшие действия
Если при подключении виртуальной машины к управляемому домену или при входе с помощью учетной записи домена возникли проблемы, см. статью Устранение неполадок при присоединении к домену.