kršenje povjerenja između radna stanica i kontroler domene (rješenje)

Online sa flotom od 150 mašina nakon ažuriranja operativni sistem Prije MS Windows 7, problem sa prijavom korisnika na sistem počeo se konstantno uočavati. Jednog lijepog dana, korisnik je, uključivši računar, otkrio da se ne može prijaviti na sistem, pri čemu je vidio poruku koja je bila zapanjujuća po svojoj informativnosti:
"Instalacija nije uspjela odnos poverenja između ove radne stanice i glavne domene"

Postoji samo jedno rješenje. Uklonite mašinu iz domene i uđite nazad. Kada se ova situacija počela ponavljati više puta dnevno, a ja sam se jednostavno umorio, razmišljao sam o prevenciji. I tu je internet utihnuo. Nakon nekog vremena malodušnosti, a malodušnost je, kao što znate, grijeh, odlučeno je da se kopa. Kao rezultat torture iskopavanjem dobijen je uzrok 99% slučajeva (a pretpostavljam da preostalih 1% jednostavno nije priznalo isti razlog). Razlog je servis za popravku pokretanja, koji se uključuje kada se rad neispravno zaustavi. Na samom prvom ekranu dijaloga, servis pita korisnika da li da vrati sistem ili ne. U slučaju pozitivnog odgovora, sistem se vraća u ranije stanje i eventualno nadmašuje stranu mašine. Kako god bilo, domen neće pustiti korisnike sa takve mašine nakon takve operacije. Oslanjanje na korisnika u takvoj stvari je beskorisno. Možete ga zamoliti da odbije, u slučaju takve situacije, ali će korisnik vrlo vjerovatno pritisnuti dugme za vraćanje, a zatim slegnuti rukama, govoreći da je đavo prevario. Općenito, morate grupno onemogućiti uslugu oporavka pri pokretanju na n-mašinama.

Lokalno, rješenje izgleda kao naredba konzole:

Reagentc.exe /disable

Mreži će trebati psexec uslužni program od Microsoft paket Sysinternals PsTools, opis uslužnog programa i sam paket su

Stavili smo Psexec.exe u isti folder sa našim batch fajl(nazovimo to broff.cmd)
unutar broff.cmd pišemo:

:: Nabavite listu računara na mreži, očistite je od smeća i stavite u net.lst net.exe view /domain:megafon >>net.tmp za /f "tokens=1,2 delims=" %%i in (net.tmp ) uradi (Echo %%i>>net1.tmp) za /f "tokens=1,2 delims=\" %%i u (net1.tmp) uradi (Echo %%i>>net. lst) DEL *. TMP::Prođite kroz listu i onemogućite oporavak pokretanja za /f "tokens=1,2 delims=" %%F u (net.lst) uradi (pokreni psexec \\%%F reagentc.exe / onemogućiti)

To je sve. Korisnik više nije naš neprijatelj.

Oznake: Odnosi povjerenja, DC, IT, Mrežna administracija, Umrežavanje, implementacija

Postoji takva situacija da se kompjuter ne može autentifikovati u domenu. Evo nekoliko primjera:

• Nakon ponovne instalacije OS-a na radnoj stanici, mašina ne može da se autentifikuje čak ni sa istim imenom računara. Jer u procesu nova instalacija OS generiran SID a računar ne zna lozinku računa objekta računara u domeni, ne pripada domeni i ne može se autentifikovati na domenu.
• Računar je potpuno vraćen iz sigurnosne kopije i ne može se potvrditi autentičnost. Računarski objekat je možda promijenio svoju lozinku u domeni nakon izrade sigurnosne kopije. Računari mijenjaju svoje lozinke svakih 30 dana i strukturu Aktivni direktorij pamti trenutnu i prethodnu lozinku. Ako je restauriran rezervna kopija kompjuter od davno Stara šifra, računar neće moći da se autentifikuje.
• Tajna LSA računar već duže vreme nije sinhronizovan sa lozinkom poznatom domenu. One. kompjuter nije zaboravio lozinku - samo ta lozinka ne odgovara pravoj lozinki u domeni. U tom slučaju, kompjuter se ne može autentifikovati i sigurni kanal neće biti kreiran.

Glavne karakteristike mogući problemi račun računara:

• Poruke za prijavu na domenu ukazuju na to da računar nije mogao komunicirati sa kontrolorom domene, račun računara nedostaje, unet pogrešna lozinka račun računara ili izgubljeno povjerenje ( sigurna komunikacija) između računara i domena.
• Poruke ili događaji u evidenciji događaja koji ukazuju na slične greške ili sugeriraju probleme sa lozinkama, odnosima povjerenja, sigurnim kanalima ili komunikacijom s domenom ili kontrolorom domene. Jedna od takvih grešaka je neuspeh autentifikacije sa kodom greške 3210 u dnevniku događaja računara.
• Račun računara ne postoji u Active Directory.

Kako liječiti?

Potrebno je ponovo instalirati račun kompjuter. Mreža ima preporuke za takvu ponovnu instalaciju: uklonite računar iz domene, a zatim mu se ponovo pridružite. Da, radi, ali ovu opciju ovo se ne preporučuje jer se gubi SID i članstvo u radnoj grupi računara.

Stoga je neophodno to učiniti :

Otvorite dodatak Active Directory, izaberite Korisnici i računari, kliknite na objekat računara desni klik kliknite i koristite naredbu "Ponovo instaliraj račun". Nakon toga, računar treba ponovo spojiti na domenu i ponovo pokrenuti.

Sa računom povezanim sa lokalna grupa"Administratori":

netdom reset HostName /domain DomainName /Usero Korisničko ime /Passwordo (Lozinka | *)

Na računaru na kojem je izgubljeno povjerenje:

nltest /server:ServerName /sc_reset:DOMAIN\DomainController

U ovom članku ćemo se dotaknuti problema narušavanja povjerenja između radne stanice i domene, što onemogućava korisniku da se prijavi na sistem. Razmotrite uzrok problema i jednostavan način da vratite povjerenje preko sigurnog kanala.

Kako se problem manifestira: korisnik se pokušava prijaviti na radnu stanicu ili server pod svojim računom i nakon unošenja lozinke pojavljuje se greška:

Nije uspjelo vraćanje povjerenja između radne stanice i domene

ili ovako:

Sigurnosna baza podataka na serveru nema račun računala za ovaj odnos povjerenja radne stanice

Pokušajmo shvatiti što znače ove greške i kako ih popraviti.

Lozinka računara u AD domenu

Kada se računar registruje u domenu, između njega i kontrolera domena uspostavlja se bezbedan kanal preko kojeg se prenose akreditivi, a dalja interakcija se odvija u skladu sa bezbednosnim politikama koje postavlja administrator.

Podrazumevana lozinka računa računara važi 30 dana, nakon čega se automatski menja. Promjenu lozinke inicira sam računar na osnovu politika domena.

Savjet. Maksimalni rokŽivotni vijek lozinke se može konfigurirati putem politike domena član: maksimum mašina račun lozinka Dob, koji se nalazi u sekciji: kompjuterKonfiguracija->WindowsPostavke->SigurnostPostavke->LokalnoPolitike->SigurnostOpcije. Period važenja lozinke računara može biti od 0 do 999 (podrazumevano 30 dana).

Ako je lozinka za računar istekla, automatski će se promijeniti kada sledeća registracija u domenu. Stoga, ako niste restartovali računar nekoliko meseci, odnos poverenja između računara i domena je očuvan, a lozinka računara će biti promenjena pri sledećem ponovnom pokretanju.

Odnos povjerenja je prekinut ako računar pokuša da se autentifikuje na domenu sa neispravnom lozinkom. Ovo se obično dešava kada je računar u ili van snimka virtuelne mašine. U ovom slučaju, lozinka uređaja pohranjena lokalno i lozinka u domeni se možda neće podudarati.

"Klasični" način vraćanja povjerenja u ovom slučaju je:

1. Poništi lozinku lokalnog administratora
2. Izvadite računar iz domena i uključite ga u radnu grupu
3. Ponovo pokreni
4. Korišćenjem snap-a - resetujte nalog računara u domeni (Resetujte nalog)
5. Ponovo priključite računar na domenu
6. Ponovo pokrenite još jednom

Ova metoda je najlakša, ali previše nespretna i zahtijeva najmanje dva ponovnog pokretanja i 10-30 minuta vremena. Osim toga, može doći do problema s korištenjem starih lokalni profili korisnika.

Postoji elegantniji način za vraćanje povjerenja bez ponovnog pridruživanja domeni i bez ponovnog pokretanja.

Netdom uslužni program

Utilitynetdom uključeno u Windows Server počevši od verzije 2008, a može se instalirati na korisničke računare sa RSAT-a ( udaljeni server administrativni alati). Da biste vratili povjerenje, morate se prijaviti koristeći lokalni administrator(ukucavanjem “.\Administrator” na ekranu za prijavu) i pokrenite sljedeću naredbu:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

• server- naziv bilo kojeg dostupnog kontrolera domene
• UserD– korisničko ime sa pravima administratora domene ili puna kontrola nad OU sa računom računara
• PasswordD– korisnička lozinka

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD: [email protected]@w0rd

Nakon uspješnog završetka komande, ponovno pokretanje nije potrebno, dovoljno je da se odjavite i prijavite pod nalogom domene.

Reset-ComputerMachinePassword Cmdlet

Cmdlet se pojavio u PowerShell 3.0 i za razliku od uslužnog programa Netdom, već je prisutan u sistemu počevši od Windows 8 / Windows Server 2012. Na Windows 7, Server 2008 i Server 2008 R2, može se instalirati ručno (http:// www.microsoft.com/en-us/download/details.aspx?id=34595), takođe zahteva net framework 4.0 ili noviji.

Također se morate prijaviti sa lokalnim administratorskim računom, otvoriti PowerShell konzolu i pokrenuti naredbu:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• server- naziv kontrolora domena
• Akreditiv– korisničko ime sa administratorskim pravima domene (ili pravima na OU sa računara)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

U sigurnosnom prozoru koji se otvori potrebno je navesti korisničku lozinku.

Savjet. Ista operacija se može izvesti pomoću drugog Powershell cmdleta Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Popravka -Credential corp\aapetrov

Možete provjeriti dostupnost sigurnog kanala između PC-a i DC-a pomoću naredbe:

nltest /sc_verify:corp.adatum.com

Sljedeći redovi potvrđuju da je odnos povjerenja uspješno obnovljen:

Status statusa pouzdane DC veze = 0 0x0 NERR_Success

Status verifikacije poverenja = 0 0x0 NERR_Success

Kao što vidite, vraćanje povjerenja u domenu je prilično jednostavno.

S greškom "Neuspješno uspostaviti odnos povjerenja između ove radne stanice i glavne domene" s vremena na vrijeme svi moraju imati posla sistem administrator. Ali ne razumiju svi uzroke i mehanizme procesa koji dovode do njegovog nastanka. Jer bez razumijevanja značenja tekućih događaja nemoguća je smislena administracija, koju zamjenjuje nepromišljeno izvršavanje instrukcija.

Računalni nalozi, kao i korisnički nalozi, članovi su bezbednosti domena. Svakom principalu sigurnosti se automatski dodjeljuje sigurnosni identifikator (SID) na razini na kojoj se pristupa resursima domene.

Prije nego što odobrite pristup računu domeni, morate provjeriti njenu autentičnost. Svaki sigurnosni principal mora imati svoj vlastiti račun i lozinku, a račun računara nije izuzetak. Kada se računar pridruži Active Directory-u, za njega se kreira račun računara tipa „Računar“ i postavlja se lozinka. Poverenje na ovom nivou osigurava činjenica da ovu operaciju obavlja administrator domene ili drugi korisnik s izričitim ovlaštenjima da to učini.

Nakon toga, svaki put kada se računar prijavi na domenu, uspostavlja siguran kanal sa kontrolerom domena i saopštava mu svoje akreditive. Tako se uspostavlja odnos poverenja između računara i domena, a dalja interakcija se odvija prema tome postavlja administrator sigurnosne politike i prava pristupa.

Lozinka računa računala vrijedi 30 dana i nakon toga se automatski mijenja. Važno je razumjeti da promjenu lozinke pokreće računar. Ovo je slično procesu promjene korisničke lozinke. Ako računar otkrije da je trenutna lozinka istekla, zamijenit će je sljedeći put kada se prijavi na domenu. Stoga, čak i ako niste uključili računar nekoliko mjeseci, odnos povjerenja u domeni će biti očuvan, a lozinka će biti promijenjena pri prvom prijavljivanju nakon duže pauze.

Odnos povjerenja je prekinut ako računar pokuša da se autentifikuje na domenu sa nevažeća lozinka. Kako se ovo može dogoditi? Najlakši način je da vratite stanje računara, na primjer, pomoću standardnog uslužnog programa za vraćanje sistema. Isti efekat se može postići prilikom vraćanja sa slike, snimka (za virtuelne mašine) itd.

Druga opcija je da promenite nalog na drugom računaru sa istim imenom. Situacija je prilično rijetka, ali ponekad se dešava, na primjer, kada je zaposleniku promijenjen PC uz zadržavanje imena, uklanjanje starog iz domene, a zatim ponovno unošenje u domen, zaboravljajući da ga preimenuje. U tom slučaju, stari PC će pri ponovnom ulasku u domenu promijeniti lozinku računa računala i novi PC se više neće moći prijaviti, jer neće moći uspostaviti odnos povjerenja.

Šta treba poduzeti kada se suočite s ovom greškom? Prije svega, utvrdite uzrok povrede povjerenja. Ako je to bio rollback, onda ko, kada i kako je to urađeno, ako je lozinku promijenio drugi računar, onda opet trebamo saznati kada i pod kojim okolnostima se to dogodilo.

Jednostavan primjer: stari kompjuter preimenovan i dat drugom odjeljenju, nakon čega je došlo do kvara, a on se automatski vratio na zadnji kontrolni punkt. Nakon toga, ovaj PC će pokušati da se autentifikuje u domeni pod starim imenom i prirodno će dobiti grešku pri uspostavljanju odnosa povjerenja. Ispravne akcije u ovom slučaju će preimenovati računar kako treba da se zove, kreiraće novu kontrolnu tačku i izbrisati stare.

I tek nakon što se uveri da je povreda poverenja prouzrokovana objektivno neophodne radnje i upravo za ovaj računar možete započeti vraćanje povjerenja. To se može učiniti na nekoliko načina.

Korisnici i računari Active Directory

Ovo je najlakše, ali ne i najbrže zgodan način. Otvorite snap-in na bilo kojem kontroleru domene Korisnici i Aktivni računari Imenik, pronađite traženi račun računara i desnim klikom odaberite Ponovo instalirajte račun.

Zatim se prijavljujemo na računar koji je izgubio povjerenje lokalni administrator i uklonite mašinu iz domene.

Zatim ga unesemo nazad, možete preskočiti ponovno pokretanje između ove dvije akcije. Nakon ponovnog ulaska u domenu, restartujemo se i prijavljujemo se pod nalogom domene. Lozinka računara će se promeniti kada se računar ponovo pridruži domeni.

Nedostatak ove metode je što se mašina mora ukloniti iz domene, kao i potreba za dva (jednom) restartovanja.

Netdom uslužni program

Ovaj uslužni program je uključen u Windows Server od izdanja 2008, može se instalirati na korisničke računare iz RSAT paketa (Alati daljinska administracija server). Da biste ga koristili, prijavite se na ciljni sistem lokalni administrator i pokrenite naredbu:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Pogledajmo opcije komandi:

• server- naziv bilo kojeg kontrolora domene
• UserD- ime naloga administratora domene
• PasswordD- lozinka administratora domene

Nakon uspješnog izvršenja naredbe, ponovno pokretanje nije potrebno, samo se odjavite s lokalnog naloga i prijavite se na nalog domene.

PowerShell 3.0 cmdlet

Za razliku od uslužnog programa Netdom, PowerShell 3.0 je uključen od Windows 8 / Server 2012, za starije sisteme može se instalirati ručno, Windows 7, Server 2008 i Server 2008 R2 su podržani. Net Framework 4.0 ili noviji je potreban kao zavisnost.

Na isti način, prijavite se na sistem za koji želite da vratite povjerenje kao lokalni administrator, pokrenite PowerShell konzolu i pokrenite naredbu:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• server- naziv bilo kojeg kontrolora domene
• Akreditiv- naziv domene / nalog administratora domene

Kada se ova naredba izvrši, pojavit će se prozor za autorizaciju u koji ćete morati unijeti lozinku za nalog administratora domene koji ste naveli.

Cmdlet ne ispisuje nikakvu poruku o uspjehu, stoga samo promijenite svoj račun, nije potrebno ponovno pokretanje.

Kao što vidite, vraćanje povjerenja u domenu je prilično jednostavno, glavna stvar je ispravno identificirati uzrok ovog problema, jer u različitim prilikamaće biti potrebno različite metode. Stoga se ne umaramo ponavljati: ako se pojavi bilo kakav problem, prvo morate identificirati uzrok, a tek onda poduzeti mjere da ga ispravite, umjesto da bezumno ponavljate prvu instrukciju pronađenu na mreži.