V tomto článku sa budeme zaoberať problémom narušenia dôvery medzi pracovnou stanicou a doménou, ktorý bráni používateľovi prihlásiť sa do systému. Zvážte príčinu problému a jednoduchý spôsob, ako obnoviť dôveru v zabezpečený kanál.
Ako sa problém prejavuje: používateľ sa pokúsi prihlásiť na pracovnú stanicu alebo server pod svojím účtom a po zadaní hesla sa objaví chyba:
Vzťah dôvery medzi touto pracovnou stanicou a primárnou doménou zlyhalAlebo také:
Databáza zabezpečenia na serveri nemá pre tento vzťah dôveryhodnosti pracovnej stanice počítačový účet Databáza manažéra účtu na serveri neobsahuje záznam na registráciu počítača prostredníctvom vzťahu dôveryhodnosti s touto pracovnou stanicou.Skúsme zistiť, čo tieto chyby znamenajú a ako ich opraviť..
obsah:
- Heslo počítača v doméne AD
- Netdom Utility
- Reset-ComputerMachinePassword Cmdlet
Heslo počítača v doméne AD
Keď je počítač zadaný do domény Active Directory, vytvorí sa preň samostatný počítačový účet s heslom. Na tejto úrovni je dôvera zabezpečená skutočnosťou, že túto operáciu vykonáva správca domény alebo užívateľ domény (každý užívateľ môže predvolene obsahovať 10 počítačov v doméne).
Ak je počítač zaregistrovaný v doméne, medzi ním a radičom domény sa vytvorí zabezpečený kanál, prostredníctvom ktorého sa prenášajú poverenia, a ďalej prebieha interakcia v súlade s bezpečnostnými politikami stanovenými správcom.
Predvolené heslo pre váš počítačový účet je 30 dní, po ktorých sa automaticky zmení. Zmena hesla je iniciovaná samotným počítačom na základe zásad domény.
rada. Maximálna životnosť hesla sa dá nakonfigurovať pomocou tejto politiky. doména člen: maximum stroj účet heslo vek, ktorý sa nachádza v sekcii: počítačový Konfigurace-> windows Nastavenie-> zabezpečenia Nastavenie-> miestna Policies-> zabezpečenia možnosti. Heslo pre počítač môže byť od 0 do 999 (predvolene 30 dní).
Ak heslo počítača vyprší, automaticky sa zmení pri najbližšej registrácii v doméne. Preto, ak ste počítač nereštartovali niekoľko mesiacov, uloží sa vzťah dôveryhodnosti medzi počítačom a doménou a pri nasledujúcom reštartovaní sa heslo počítača zmení..
Ak sa počítač pokúša autentifikovať do domény nesprávnym heslom, sú prerušené vzťahy dôveryhodnosti. Zvyčajne k tomu dôjde, keď sa počítač obnoví z obrázka alebo zo snímky virtuálneho počítača. V takom prípade sa nemusí heslo stroja uložené lokálne a heslo v doméne zhodovať.
„Klasický“ spôsob obnovenia dôvery v tomto prípade je:
- Obnovte heslo miestneho správcu
- Odstráňte počítač z domény a zahrňte ho do pracovnej skupiny
- Reštartuje sa
- Používanie modulu snap-in ADUC - resetovanie účtovníctva v doméne (reset účtu)
- Znova povoľte počítač v doméne
- Reštartujte znova
Táto metóda je najjednoduchšia, ale príliš neohrabaná a vyžaduje najmenej dva reštarty a čas 10-30 minút. Okrem toho sa môžu vyskytnúť problémy s používaním starých miestnych užívateľských profilov..
Existuje elegantnejší spôsob obnovenia dôvery bez prepnutia na doménu a bez reštartu.
Netdom Utility
užitočnosť netdom je súčasťou systému Windows Server od verzie 2008 a je možné ho nainštalovať na počítače používateľov z nástroja RSAT (nástroje na správu vzdialeného servera). Ak chcete obnoviť dôveru, musíte sa prihlásiť pod miestnym správcom (zadaním „. \ Administrator“ na prihlasovacej obrazovke) a spustiť nasledujúci príkaz:
Netdom resetpwd / Server: DomainController / UserD: Administrator / PasswordD: Password
- server - názov ľubovoľného dostupného radiča domény
- UserData - používateľské meno s administrátorom domény alebo s plnými právami kontroly nad organizáciou s počítačovým účtom
- PasswordD - užívateľské heslo
Obnovenie sietedomdom / Server: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd
Po úspešnom vykonaní príkazu nie je potrebné reštartovať počítač, stačí sa odhlásiť a prihlásiť sa pod účtom domény.
Reset-ComputerMachinePassword Cmdlet
cmdlet Reset-ComputerMachinePassword sa objavil v PowerShell 3.0 a na rozdiel od pomôcky Netdom je už v systéme k dispozícii od Windows 8 / Windows Server 2012. V systémoch Windows 7, Server 2008 a Server 2008 R2 sa dá nainštalovať manuálne (http://www.microsoft.com). /en-us/download/details.aspx?id=34595), Net Framework 4.0 alebo vyšší, je tiež potrebný.
Tiež sa musíte prihlásiť pod účtom miestneho administrátora, otvoriť konzolu PowerShell a spustiť príkaz:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin
- server - názov radiča domény
- poverenia - meno používateľa s právami správcu domény (alebo s právami na OU z počítača)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov
V okne zabezpečenia, ktoré sa otvorí, musíte zadať heslo používateľa.
rada. Rovnakú operáciu môžete vykonať pomocou iného rutiny Powershell. Test-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Credential Corp \ aapetrov
Ak chcete skontrolovať bezpečný kanál medzi PC a DC, použite príkaz:
nltest /sc_verify:corp.adatum.com
Nasledujúce riadky potvrdzujú, že dôvera bola úspešne obnovená:
Stav dôveryhodného pripojenia DC = 0 0x0 NERR_Success
Stav overenia dôveryhodnosti = 0 0x0 NERR_Success
Ako vidíte, obnovenie dôvery v doménu je pomerne jednoduché.