kršenje povjerenja između radna stanica i kontroler domene (rješenje)

Online s flotom od 150 strojeva nakon ažuriranja operacijski sustav Prije MS Windows 7, problem s prijavom korisnika na sustav počeo se stalno opažati. Jednog lijepog dana, korisnik je, uključivši računalo, otkrio da se ne može prijaviti na sustav, a pritom je vidio poruku koja je bila zapanjujuća po svojoj informativnosti:
"Instalacija nije uspjela odnos povjerenja između ove radne stanice i glavne domene"

Postoji samo jedno rješenje. Uklonite stroj iz domene i uđite natrag. Kada se ova situacija počela ponavljati više od jednom dnevno, a ja sam se jednostavno umorio, razmišljao sam o prevenciji. I tu je internet utihnuo. Nakon nekog vremena malodušnosti, a malodušnost je, kao što znate, grijeh, odlučeno je kopati. Kao rezultat torture iskopavanjem, dobiven je uzrok 99% slučajeva (a pretpostavljam da preostalih 1% jednostavno nije priznalo isti razlog). Razlog je servis za popravak pokretanja, koji se uključuje kada se rad neispravno zaustavi. Na samom prvom zaslonu dijaloškog okvira, usluga pita korisnika hoće li vratiti sustav ili ne. U slučaju pozitivnog odgovora, sustav se vraća u ranije stanje i možda pobjeđuje stranu stroja. Kako god bilo, domena neće pustiti korisnike s takvog stroja nakon takve operacije. Oslanjati se na korisnika u takvoj stvari je beskorisno. Možete ga zamoliti da odbije, u slučaju takve situacije, ali će korisnik vrlo vjerojatno pritisnuti tipku za vraćanje i potom slegnuti rukama, govoreći da je vrag prevario. Općenito, morate grupno onemogućiti uslugu oporavka pri pokretanju na n-strojevima.

Lokalno, rješenje izgleda kao naredba konzole:

Reagentc.exe /onemogući

Mreži će trebati psexec uslužni program iz Microsoftov paket Sysinternals PsTools, opis uslužnog programa i sam paket su

Stavili smo Psexec.exe u istu mapu s našim batch datoteka(nazovimo to broff.cmd)
unutar broff.cmd pišemo:

:: Nabavite popis računala na mreži, očistite ga od smeća i stavite u net.lst net.exe view /domain:megafon >>net.tmp za /f "tokens=1,2 delims=" %%i u (net.tmp ) do (Echo %%i>>net1.tmp) za /f "tokens=1,2 delims=\" %%i u (net1.tmp) do (Echo %%i>>net. lst) DEL *. TMP::Prođite kroz popis i onemogućite oporavak pokretanja za /f "tokens=1,2 delims=" %%F u (net.lst) uradi (pokreni psexec \\%%F reagentc.exe / onemogućiti)

To je sve. Korisnik više nije naš neprijatelj.

Oznake: Odnosi povjerenja, DC, IT, mrežna administracija, umrežavanje, implementacija

Postoji takva situacija da se računalo ne može autentifikovati u domeni. Evo nekoliko primjera:

• Nakon ponovne instalacije OS-a na radnoj stanici, stroj se ne može autentificirati čak ni s istim imenom računala. Jer u procesu nova instalacija OS je generiran SID a računalo ne zna lozinku računa računalnog objekta u domeni, ne pripada domeni i ne može se autentificirati na domeni.
• Računalo je potpuno vraćeno iz sigurnosne kopije i ne može se provjeriti autentičnost. Računalni objekt je možda promijenio svoju lozinku u domeni nakon izrade sigurnosne kopije. Računala mijenjaju svoje lozinke svakih 30 dana i strukturu Aktivni direktorij pamti trenutnu i prethodnu lozinku. Ako je restauriran sigurnosna kopija kompjuter od davnina stara lozinka, računalo se neće moći autentifikovati.
• Tajna LSA računalo već duže vrijeme nije sinkronizirano s lozinkom poznatom domeni. Oni. računalo nije zaboravilo lozinku - samo ta lozinka ne odgovara pravoj lozinki u domeni. U tom slučaju, računalo se ne može autentifikovati i sigurni kanal neće biti stvoren.

Glavne značajke mogući problemi račun računala:

• Poruke za prijavu na domenu ukazuju na to da računalo nije moglo komunicirati s kontrolorom domene, račun računala nedostaje, ušao Pogrešna lozinka račun računala ili izgubljeno povjerenje ( sigurna komunikacija) između računala i domene.
• Poruke ili događaji u zapisniku događaja koji ukazuju na slične pogreške ili sugeriraju probleme s lozinkama, odnosima povjerenja, sigurnim kanalima ili komunikacijom s kontrolorom domene ili domene. Jedna takva pogreška je neuspjeh provjere autentičnosti s kodom pogreške 3210 u zapisniku događaja računala.
• Račun računala ne postoji u Active Directoryju.

Kako liječiti?

Potrebno je ponovno instalirati račun Računalo. Mreža ima preporuke za takvu ponovnu instalaciju: uklonite računalo iz domene, a zatim mu se ponovno pridružite. Da, radi ali ovu opciju ne preporuča se to učiniti jer se gubi SID i članstvo u radnoj grupi računala.

Stoga je potrebno to učiniti :

Otvorite dodatak Active Directory, odaberite Korisnici i računala, kliknite objekt računala desni klik kliknite i upotrijebite naredbu "Ponovno instaliraj račun". Nakon toga, računalo treba ponovno spojiti na domenu i ponovno pokrenuti.

S računom povezanim s lokalna grupa"Administratori":

netdom reset HostName /domain DomainName /Usero UserName /Passwordo (Lozinka | *)

Na računalu na kojem je izgubljeno povjerenje:

nltest /server:ServerName /sc_reset:DOMAIN\DomainController

U ovom članku ćemo se dotaknuti problema narušavanja povjerenja između radne stanice i domene, što onemogućuje korisniku da se prijavi u sustav. Razmotrite uzrok problema i jednostavan način za vraćanje povjerenja putem sigurnog kanala.

Kako se problem manifestira: korisnik se pokušava prijaviti na radnu stanicu ili poslužitelj pod svojim računom i nakon unosa lozinke pojavljuje se pogreška:

Nije uspjelo vraćanje povjerenja između radne stanice i domene

ili ovako:

Sigurnosna baza podataka na poslužitelju nema račun računala za ovaj odnos povjerenja radne stanice

Pokušajmo shvatiti što znače ove pogreške i kako ih popraviti.

Lozinka računala u AD domeni

Kada je računalo registrirano u domeni, između njega i kontrolora domene uspostavlja se sigurni kanal preko kojeg se prenose vjerodajnice, a daljnja interakcija odvija se u skladu sa sigurnosnim politikama koje postavlja administrator.

Zadana lozinka računala vrijedi 30 dana, nakon čega se automatski mijenja. Promjenu lozinke pokreće samo računalo na temelju pravila domene.

Savjet. Maksimalni rokŽivotni vijek lozinke može se konfigurirati putem politike domena član: Maksimum mašina račun zaporka dob, koji se nalazi u odjeljku: RačunaloKonfiguracija->WindowsPostavke->sigurnostPostavke->LokalniPravila->sigurnostMogućnosti. Razdoblje isteka računalne lozinke može biti od 0 do 999 (prema zadanim postavkama 30 dana).

Ako je lozinka računala istekla, automatski će se promijeniti kada sljedeća registracija u domeni. Stoga, ako niste ponovno pokrenuli računalo nekoliko mjeseci, odnos povjerenja između računala i domene je očuvan, a lozinka računala će se promijeniti pri sljedećem ponovnom pokretanju.

Odnos povjerenja je prekinut ako se računalo pokuša autentifikovati na domeni s netočnom lozinkom. To se obično događa kada je računalo u ili izvan snimka virtualnog stroja. U tom slučaju, lozinka stroja pohranjena lokalno i lozinka u domeni možda se neće podudarati.

"Klasični" način vraćanja povjerenja u ovom slučaju je:

1. Poništi lozinku lokalnog administratora
2. Izvadite računalo iz domene i uključite ga u radnu grupu
3. Ponovno podizanje sustava
4. Korištenje snap-a - resetirajte račun računala u domeni (Reset Account)
5. Ponovno priključite računalo na domenu
6. Ponovo pokrenite još jednom

Ova metoda je najlakša, ali previše nespretna i zahtijeva najmanje dva ponovnog pokretanja i 10-30 minuta vremena. Osim toga, može doći do problema s korištenjem starih lokalni profili korisnika.

Postoji elegantniji način za vraćanje povjerenja bez ponovnog pridruživanja domeni i bez ponovnog pokretanja.

Netdom uslužni program

Korisnostnetdom uključen u Windows Server počevši od verzije 2008, a može se instalirati na korisnička računala iz RSAT-a ( udaljeni poslužitelj administrativni alati). Da biste vratili povjerenje, morate se prijaviti pomoću lokalni administrator(upisivanjem “.\Administrator” na zaslonu za prijavu) i pokrenite sljedeću naredbu:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

• poslužitelju- naziv bilo kojeg dostupnog kontrolera domene
• Korisnik D– korisničko ime s administratorskim pravima domene ili Potpuna kontrola nad OU s računom računala
• LozinkaD- korisnička lozinka

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD: [e-mail zaštićen]@w0rd

Nakon uspješnog završetka naredbe, ponovno pokretanje nije potrebno, dovoljno je odjaviti se i prijaviti se pod računom domene.

Reset-ComputerMachinePassword Cmdlet

Cmdlet se pojavio u PowerShell 3.0, a za razliku od uslužnog programa Netdom, već je prisutan u sustavu počevši od Windows 8 / Windows Server 2012. Na Windows 7, Server 2008 i Server 2008 R2 može se instalirati ručno (http:// www.microsoft.com/en-us/download/details.aspx?id=34595), također zahtijeva neto okvir 4.0 ili više.

Također se morate prijaviti s lokalnim administratorskim računom, otvoriti PowerShell konzolu i pokrenuti naredbu:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• poslužitelju- naziv kontrolora domene
• Uvjerenje– korisničko ime s administratorskim pravima domene (ili pravima na OU s računala)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

U sigurnosnom prozoru koji se otvori potrebno je navesti korisničku lozinku.

Savjet. Ista se operacija može izvesti pomoću drugog Powershell cmdleta Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Popravak -Credential corp\aapetrov

Možete provjeriti dostupnost sigurnog kanala između PC-a i DC-a naredbom:

nltest /sc_verify:corp.adatum.com

Sljedeći redovi potvrđuju da je odnos povjerenja uspješno obnovljen:

Status statusa pouzdane istosmjerne veze = 0 0x0 NERR_Success

Status provjere povjerenja = 0 0x0 NERR_Success

Kao što vidite, vraćanje povjerenja u domenu je prilično jednostavno.

Svatko se s vremena na vrijeme mora suočiti s greškom "Nije uspjelo uspostaviti odnos povjerenja između ove radne stanice i glavne domene". Administrator sustava. Ali ne razumiju svi uzroke i mehanizme procesa koji dovode do njegove pojave. Budući da je bez razumijevanja značenja događaja koji su u tijeku nemoguća smislena administracija, koju zamjenjuje nepromišljeno izvršavanje instrukcija.

Računalni računi, kao i korisnički računi, članovi su sigurnosti domene. Svakom principalu sigurnosti se automatski dodjeljuje sigurnosni identifikator (SID) na razini na kojoj se pristupa resursima domene.

Prije nego što odobrite pristup računu domeni, morate provjeriti njezinu autentičnost. Svaki sigurnosni principal mora imati svoj vlastiti račun i lozinku, a račun računala nije iznimka. Kada se računalo pridruži Active Directoryju, za njega se kreira računalni račun tipa "Računalo" i postavlja se lozinka. Povjerenje na ovoj razini osigurava činjenica da ovu operaciju obavlja administrator domene ili drugi korisnik s izričitim ovlaštenjima za to.

Nakon toga, svaki put kada se računalo prijavi na domenu, uspostavlja sigurni kanal s kontrolorom domene i govori mu svoje vjerodajnice. Tako se uspostavlja odnos povjerenja između računala i domene, a daljnja interakcija se događa prema postavlja administrator sigurnosne politike i prava pristupa.

Lozinka računa računala vrijedi 30 dana i nakon toga se automatski mijenja. Važno je razumjeti da promjenu lozinke pokreće računalo. Ovo je slično procesu promjene korisničke lozinke. Ako računalo otkrije da je trenutna lozinka istekla, zamijenit će je sljedeći put kada se prijavi na domenu. Stoga, čak i ako niste uključili svoje računalo nekoliko mjeseci, odnos povjerenja u domeni će ostati, a lozinka će se promijeniti pri prvoj prijavi nakon duže pauze.

Odnos povjerenja je prekinut ako se računalo pokuša autentifikovati na domeni s Netočna zaporka. Kako se to može dogoditi? Najlakši način je vratiti stanje računala unatrag, na primjer, pomoću standardnog uslužnog programa za vraćanje sustava. Isti učinak može se postići prilikom vraćanja sa slike, snimka (za virtualnih strojeva) itd.

Druga mogućnost je promjena računa na drugom računalu s istim imenom. Situacija je prilično rijetka, ali ponekad se dogodi, na primjer, kada je zaposleniku promijenjeno računalo uz zadržavanje imena, uklanjanje starog iz domene, a zatim ponovno unošenje u domenu, zaboravljanje preimenovanja. U tom slučaju, staro računalo će pri ponovnom ulasku u domenu promijeniti lozinku računa računala, a novo računalo se više neće moći prijaviti jer neće moći uspostaviti odnos povjerenja.

Što treba poduzeti kada se suočite s ovom pogreškom? Prije svega utvrdite uzrok povrede povjerenja. Ako je to bio rollback, onda tko, kada i kako je napravljen, ako je lozinku promijenilo neko drugo računalo, onda opet trebamo saznati kada i pod kojim okolnostima se to dogodilo.

Jednostavan primjer: staro računalo preimenovan i dat drugom odjelu, nakon čega je došlo do kvara, a on se automatski vratio na zadnji kontrolna točka. Nakon toga, ovo računalo će se pokušati autentifikovati u domeni pod starim imenom i prirodno će dobiti grešku pri uspostavljanju odnosa povjerenja. Ispravne radnje u ovom slučaju će preimenovati računalo kako se treba zvati, stvoriti novu kontrolnu točku i izbrisati stare.

I tek nakon što se uvjeri da je povreda povjerenja prouzročena objektivno potrebne radnje i upravo za ovo računalo možete početi vraćati povjerenje. To se može učiniti na nekoliko načina.

Korisnici i računala Active Directory

Ovo je najlakše, ali ne i najbrže i zgodan način. Otvorite snap-in na bilo kojem kontroleru domene Korisnici i Aktivna računala Imenik, pronađite traženi račun računala i desnom tipkom miša odaberite Ponovno instalirajte račun.

Zatim se prijavljujemo na računalo koje je izgubilo povjerenje lokalni administrator i uklonite stroj iz domene.

Zatim ga unesemo natrag, možete preskočiti ponovno pokretanje između ove dvije radnje. Nakon ponovnog ulaska u domenu, ponovno se pokrećemo i prijavljujemo se pod računom domene. Lozinka računala će se promijeniti kada se računalo ponovno pridruži domeni.

Nedostatak ove metode je što se stroj mora ukloniti iz domene, kao i potreba za dva (jednom) ponovnom podizanju sustava.

Netdom uslužni program

Ovaj uslužni program uključen je u Windows Server od izdanja 2008, može se instalirati na korisnička računala iz RSAT paketa (Alati daljinsko upravljanje poslužitelj). Da biste ga koristili, prijavite se na ciljni sustav lokalni administrator i pokrenite naredbu:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Pogledajmo opcije naredbi:

• poslužitelju- naziv bilo kojeg kontrolora domene
• Korisnik D- naziv računa administratora domene
• LozinkaD- lozinka administratora domene

Nakon uspješnog izvršenja naredbe, ponovno pokretanje nije potrebno, samo se odjavite s lokalnog računa i prijavite se na račun domene.

PowerShell 3.0 cmdlet

Za razliku od uslužnog programa Netdom, PowerShell 3.0 uključen je u sustav počevši od Windows 8 / Server 2012, za starije sustave može se instalirati ručno, podržani su Windows 7, Server 2008 i Server 2008 R2. Net Framework 4.0 ili noviji je potreban kao ovisnost.

Na isti se način prijavite na sustav za koji želite vratiti povjerenje kao lokalni administrator, pokrenite PowerShell konzolu i pokrenite naredbu:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• poslužitelju- naziv bilo kojeg kontrolora domene
• Uvjerenje- naziv domene / račun administratora domene

Kada se ova naredba izvrši, pojavit će se prozor za autorizaciju u kojem ćete morati unijeti lozinku za račun administratora domene koji ste naveli.

Cmdlet ne prikazuje nikakve poruke o uspjehu, stoga samo promijenite svoj račun, nije potrebno ponovno podizanje sustava.

Kao što možete vidjeti, vraćanje povjerenja u domenu je prilično jednostavno, glavna stvar je ispravno identificirati uzrok ovog problema, jer u različitim prilikama bit će potrebno različite metode. Stoga se ne umaramo ponavljati: ako se pojavi bilo kakav problem, prvo morate identificirati uzrok, a tek onda poduzeti mjere za njegovo ispravljanje, umjesto da bezumno ponavljate prvu uputu pronađenu na mreži.