încălcarea încrederii între stație de lucruși controler de domeniu (soluție)

Online cu un parc de 150 de mașini după actualizare sistem de operareÎnainte de MS Windows 7, o problemă cu autentificarea utilizatorului la sistem a început să fie observată în mod constant. Într-o bună zi, când utilizatorul a pornit computerul, a constatat că nu se poate conecta la sistem și, în același timp, a văzut un mesaj uimitor în informativ:
„Eșuat la instalare relație de încredereîntre această stație de lucru și domeniul principal"

Există o singură soluție. Scoateți mașina din domeniu și intrați înapoi. Când această situație a început să se repete de mai multe ori pe zi și doar am obosit, m-am gândit la prevenire. Și aici internetul a tăcut. După un timp de descurajare, iar deznădejdea, după cum știți, este un păcat, s-a decis să sape. Ca urmare a torturii la excavare, a fost obținută cauza a 99% din cazuri (și bănuiesc că restul de 1% pur și simplu nu au mărturisit același motiv). Motivul este serviciul de reparații la pornire, care pornește atunci când lucrarea este oprită incorect. În primul ecran al dialogului, serviciul întreabă utilizatorul dacă să restabilească sistemul sau nu. În cazul unui răspuns pozitiv, sistemul revine la o stare anterioară și, eventual, bate partea laterală a mașinii. Oricum ar fi, domeniul nu va permite utilizatorilor de pe o astfel de mașină după o astfel de operațiune. Să te bazezi pe utilizator într-o astfel de chestiune este inutil. Îi poți cere să refuze, în cazul unei astfel de situații, dar este foarte probabil ca utilizatorul să apese butonul „restaurare” și apoi să ridice din umeri, spunând că demonul a înșelat. În general, trebuie să dezactivați în lot serviciul de recuperare a încărcării pe n-machine.

La nivel local, soluția arată ca o comandă de consolă:

Reagentc.exe /dezactivare

Rețeaua va avea nevoie utilitarul psexec din Pachetul Microsoft Sysinternals PsTools, descrierea utilitarului și pachetul în sine sunt

Am pus Psexec.exe în același folder cu al nostru fișier batch(să-i spunem broff.cmd)
în interiorul broff.cmd scriem:

:: Obțineți o listă de computere din rețea, curățați-o de gunoi și puneți-o în net.lst net.exe vizualizare /domain:megafon >>net.tmp pentru /f "tokens=1,2 delims=" %%i in (net.tmp ) do (Echo %%i>>net1.tmp) pentru /f "tokens=1,2 delims=\" %%i in (net1.tmp) do (Echo %%i>>net. lst) DEL *. TMP::Parcurgeți lista și dezactivați recuperarea de pornire pentru /f "tokens=1,2 delims=" %%F în (net.lst) do (porniți psexec \\%%F reagentc.exe / dezactivați)

Asta e tot. Utilizatorul nu mai este dușmanul nostru.

Etichete: Relații de încredere, DC, IT, Administrarea rețelei, Rețea, Implementare

Există o astfel de situație încât computerul nu poate fi autentificat în domeniu. Aici sunt cateva exemple:

• După reinstalarea sistemului de operare pe stația de lucru, aparatul nu se poate autentifica nici măcar cu același nume de computer. Pentru că în proces instalatie noua OS generat SID iar computerul nu cunoaște parola contului de obiect computer din domeniu, nu aparține domeniului și nu se poate autentifica la domeniu.
• Computerul a fost complet restaurat dintr-o copie de rezervă și nu poate fi autentificat. Este posibil ca obiectul computer să-și fi schimbat parola în domeniu după ce a fost copiat de rezervă. Calculatoarele își schimbă parolele la fiecare 30 de zile și structura Director activ își amintește parola curentă și cea anterioară. Dacă a fost restaurat copie de rezervă computer de mult timp în urmă Parola veche, computerul nu se va putea autentifica.
• Secret LSA computerul nu a fost sincronizat cu o parolă cunoscută de domeniu de mult timp. Acestea. computerul nu a uitat parola - doar că această parolă nu se potrivește cu parola reală din domeniu. În acest caz, computerul nu poate fi autentificat și canalul securizat nu va fi creat.

Caracteristici principale posibile probleme cont de calculator:

• Mesajele de conectare la domeniu indică faptul că computerul nu a putut comunica cu controlerul de domeniu, contul de computer lipsește, a fost introdus parola gresita cont de calculator sau pierderea încrederii ( comunicare sigură) între computer și domeniu.
• Mesaje sau evenimente din jurnalul de evenimente care indică erori similare sau sugerează probleme cu parolele, relațiile de încredere, canalele securizate sau comunicarea cu domeniul sau controlerul de domeniu. O astfel de eroare este eșecul de autentificare cu codul de eroare 3210 în jurnalul de evenimente al computerului.
• Contul de computer nu există în Active Directory.

Cum să tratezi?

Trebuie reinstalat cont calculator. Rețeaua are recomandări pentru o astfel de reinstalare: scoateți computerul din domeniu, apoi reconectați-l. Da merge dar această opțiune nu este recomandat să faceți acest lucru deoarece SID-ul și apartenența la grupul de lucru al computerului sunt pierdute.

Prin urmare, este necesar să se facă acest lucru :

Deschideți snap-in-ul Active Directory, selectați Utilizatori și computere, faceți clic pe obiectul computerului Click dreapta faceți clic și utilizați comanda „Reinstalați contul”. După aceea, computerul ar trebui reconectat la domeniu și repornit.

Cu un cont asociat cu grup local„Administratori”:

netdom reset HostName /domain DomainName /Usero UserName /Passwordo (Parolă | *)

Pe un computer în care încrederea a fost pierdută:

nltest /server:NumeServer /sc_reset:DOMAIN\DomainController

În acest articol, vom aborda problema încălcării încrederii între o stație de lucru și un domeniu, care împiedică un utilizator să se conecteze la sistem. Luați în considerare cauza problemei și o modalitate simplă de a restabili încrederea pe un canal securizat.

Cum se manifestă problema: utilizatorul încearcă să se conecteze la stația de lucru sau la server sub contul său și după introducerea parolei apare o eroare:

Nu s-a restabilit încrederea între stația de lucru și domeniu

Sau cam asa:

Baza de date de securitate de pe server nu are un cont de computer pentru această relație de încredere pentru stația de lucru

Să încercăm să ne dăm seama ce înseamnă aceste erori și cum să le remediam.

Parola computerului în domeniul AD

Atunci când un computer este înregistrat într-un domeniu, se stabilește un canal securizat între acesta și controlerul de domeniu, prin care sunt transmise acreditările, iar interacțiunea ulterioară are loc în conformitate cu politicile de securitate stabilite de administrator.

Parola implicită a contului de computer este valabilă timp de 30 de zile, după care este schimbată automat. Schimbarea parolei este inițiată de computerul însuși pe baza politicilor de domeniu.

Sfat. Termen maxim durata de viață a parolei poate fi configurată prin politică domeniu membru: maxim mașinărie cont parola vârstă, care se află în secțiunea: calculatorConfigurare->WindowsSetări->SecuritateSetări->LocalPolitici->SecuritateOpțiuni. Perioada de expirare a parolei computerului poate fi de la 0 la 999 (30 de zile în mod implicit).

Dacă parola computerului a expirat, se va schimba automat când următoarea înregistrareîn domeniu. Prin urmare, dacă nu ați repornit computerul timp de câteva luni, relația de încredere dintre computer și domeniu este păstrată, iar parola computerului va fi schimbată la următoarea repornire.

Relația de încredere este întreruptă dacă computerul încearcă să se autentifice la domeniu cu o parolă incorectă. Acest lucru se întâmplă de obicei atunci când computerul este în sau ieșit dintr-o mașină virtuală instantanee. În acest caz, este posibil ca parola mașinii stocată local și parola din domeniu să nu se potrivească.

Modul „clasic” de a restabili încrederea în acest caz este:

1. Resetați parola administratorului local
2. Scoateți un computer din domeniu și includeți-l într-un grup de lucru
3. Reporniți
4. Folosind snap - resetați contul computerului din domeniu (Resetare cont)
5. Reconectați PC-ul la domeniu
6. Reporniți încă o dată

Această metodă este cea mai ușoară, dar prea stângace și necesită cel puțin două reporniri și 10-30 de minute de timp. În plus, pot apărea probleme la utilizarea vechilor profile locale utilizatorii.

Există o modalitate mai elegantă de a restabili încrederea fără a vă alătura domeniul și fără a reporni.

Utilitar Netdom

Utilitatenetdom inclus în Windows Serverîncepând cu versiunea 2008, putând fi instalat pe PC-urile utilizatorilor de la RSAT ( server la distanta instrumente de administrare). Pentru a restabili încrederea, trebuie să vă conectați folosind administrator local(prin tastând „.\Administrator” pe ecranul de conectare) și rulați următoarea comandă:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Parolă

• Server- numele oricărui controler de domeniu disponibil
• UtilizatorD– nume de utilizator cu drepturi de administrator de domeniu sau control total pe OU cu cont de computer
• ParolaD- Parolă de utilizator

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD: [email protected]@w0rd

După finalizarea cu succes a comenzii, nu este necesară o repornire, este suficient să vă deconectați și să vă conectați sub un cont de domeniu.

Resetare-ComputerMachinePassword Cmdlet

Cmdletul a apărut în PowerShell 3.0 și, spre deosebire de utilitarul Netdom, este deja prezent în sistem începând cu Windows 8 / Windows Server 2012. Pe Windows 7, Server 2008 și Server 2008 R2, acesta poate fi instalat manual (http:// www.microsoft.com/en-us/download/details.aspx?id=34595), necesită de asemenea cadru net 4.0 sau mai mare.

De asemenea, trebuie să vă conectați cu un cont de administrator local, să deschideți consola PowerShell și să rulați comanda:

Resetare-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server- numele controlerului de domeniu
• Acreditare– nume de utilizator cu drepturi de administrator de domeniu (sau drepturi la OU de pe PC)

Resetare-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

În fereastra de securitate care se deschide, trebuie să specificați parola utilizatorului.

Sfat. Aceeași operație poate fi efectuată folosind un alt cmdlet Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp\aapetrov

Puteți verifica disponibilitatea unui canal securizat între PC și DC cu comanda:

nltest /sc_verify:corp.adatum.com

Următoarele rânduri confirmă că relația de încredere a fost restabilită cu succes:

Stare conexiune DC de încredere = 0 0x0 NERR_Success

Stare de verificare a încrederii = 0 0x0 NERR_Success

După cum puteți vedea, restabilirea încrederii într-un domeniu este destul de simplă.

Toată lumea trebuie să se confrunte din când în când cu eroarea „Eșuat la stabilirea unei relații de încredere între această stație de lucru și domeniul principal”. administrator de sistem. Dar nu toată lumea înțelege cauzele și mecanismele proceselor care duc la apariția acesteia. Pentru că fără a înțelege semnificația evenimentelor în desfășurare, administrarea semnificativă este imposibilă, care este înlocuită cu executarea necugetă a instrucțiunilor.

Conturile de computer, ca și conturile de utilizator, sunt membri ai securității unui domeniu. Fiecărui principal de securitate i se atribuie automat un identificator de securitate (SID) la nivelul la care sunt accesate resursele de domeniu.

Înainte de a acorda unui cont acces la un domeniu, trebuie să verificați autenticitatea acestuia. Fiecare principal de securitate trebuie să aibă propriul cont și parolă, iar contul de computer nu face excepție. Când un computer este conectat la Active Directory, este creat pentru acesta un cont de computer de tip „Computer” și se setează o parolă. Încrederea la acest nivel este asigurată de faptul că această operațiune efectuat de un administrator de domeniu sau alt utilizator cu autorizare explicită în acest sens.

Ulterior, de fiecare dată când computerul se conectează la domeniu, acesta stabilește un canal securizat cu controlerul de domeniu și îi spune acreditările sale. Astfel, se stabilește o relație de încredere între computer și domeniu, iar interacțiunea ulterioară are loc în funcție de stabilit de administrator politici de securitate și drepturi de acces.

Parola contului de computer este valabilă 30 de zile și se schimbă automat ulterior. Este important să înțelegeți că schimbarea parolei este inițiată de computer. Acest lucru este similar cu procesul de schimbare a parolei unui utilizator. Dacă computerul detectează că parola actuală a expirat, o va înlocui data viitoare când se conectează la domeniu. Prin urmare, chiar dacă nu ați pornit computerul de câteva luni, relația de încredere în domeniu va rămâne, iar parola va fi schimbată la prima conectare după o pauză lungă.

Relația de încredere este întreruptă dacă un computer încearcă să se autentifice la un domeniu cu Parolă Invalidă. Cum se poate întâmpla asta? Cea mai ușoară modalitate este de a reveni la starea computerului, de exemplu, cu un utilitar standard de restaurare a sistemului. Același efect poate fi obținut la restaurarea dintr-o imagine, instantaneu (pentru mașini virtuale) etc.

O altă opțiune este să schimbați contul de către un alt computer cu același nume. Situația este destul de rară, dar uneori se întâmplă, de exemplu, când computerul unui angajat a fost schimbat păstrând numele, eliminându-l pe cel vechi din domeniu, iar apoi reintroducându-l în domeniu, uitând să-l redenumim. În acest caz, vechiul computer, la reintrarea în domeniu, va schimba parola contului computerului și noul computer nu se va mai putea autentifica, deoarece nu va putea stabili o relație de încredere.

Ce măsuri ar trebui luate când te confrunți cu această eroare? În primul rând, stabiliți cauza încălcării încrederii. Dacă a fost o derulare înapoi, atunci de către cine, când și cum a fost făcută, dacă parola a fost schimbată de un alt computer, atunci din nou trebuie să aflăm când și în ce circumstanțe s-a întâmplat acest lucru.

Exemplu simplu: calculator vechi redenumit și dat altui departament, după care a avut loc un eșec, iar automat a revenit la ultimul punct de control. După aceea, acest computer va încerca să se autentifice în domeniul sub vechiul nume și va primi în mod natural o eroare de stabilire a relațiilor de încredere. Acțiuni corecteîn acest caz, va redenumi computerul așa cum ar trebui să fie numit, va crea un nou punct de control și le va șterge pe cele vechi.

Și numai după ce ne-am asigurat că încălcarea încrederii a fost cauzată în mod obiectiv acțiunile necesareși pentru acest computer puteți începe să restabiliți încrederea. Acest lucru se poate face în mai multe moduri.

Utilizatori și computere Active Directory

Acesta este cel mai simplu, dar nu cel mai rapid și mod convenabil. Deschideți snap-in pe orice controler de domeniu Utilizatorii și Calculatoare active Director, găsiți contul de computer necesar și, făcând clic dreapta, selectați Reinstalați contul.

Apoi ne conectăm pe computerul care și-a pierdut încrederea administrator localși eliminați mașina din domeniu.

Apoi îl introducem înapoi, puteți sări peste repornirea dintre aceste două acțiuni. După reintrarea domeniului, repornim și ne logăm sub contul de domeniu. Parola computerului va fi schimbată atunci când computerul este reconectat la domeniu.

Dezavantajul acestei metode este că mașina trebuie eliminată din domeniu, precum și necesitatea a două (una) reporniri.

Utilitar Netdom

Acest utilitar este inclus în Windows Server încă din ediția 2008, poate fi instalat pe computerele utilizatorului din pachetul RSAT (Tools administrare la distanță Server). Pentru a-l utiliza, conectați-vă la sistemul țintă administrator localși rulați comanda:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Parolă

Să ne uităm la opțiunile de comandă:

• Server- numele oricărui controler de domeniu
• UtilizatorD- numele contului de administrator de domeniu
• ParolaD- parola de administrator de domeniu

După executarea cu succes a comenzii, nu este necesară o repornire, doar deconectați-vă din contul local și conectați-vă la contul de domeniu.

cmdlet PowerShell 3.0

Spre deosebire de utilitarul Netdom, PowerShell 3.0 este inclus cu sistemul începând cu Windows 8 / Server 2012, pentru sistemele mai vechi poate fi instalat manual, sunt acceptate Windows 7, Server 2008 și Server 2008 R2. Net Framework 4.0 sau o versiune ulterioară este necesară ca dependență.

În același mod, conectați-vă la sistemul pentru care doriți să restabiliți încrederea ca administrator local, porniți consola PowerShell și executați comanda:

Resetare-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server- numele oricărui controler de domeniu
• Acreditare- nume de domeniu / cont de administrator de domeniu

Când această comandă este executată, va apărea o fereastră de autorizare în care va trebui să introduceți parola pentru contul de administrator de domeniu pe care l-ați specificat.

Cmdletul nu afișează niciun mesaj despre succes, așa că trebuie doar să vă schimbați contul, nu este necesară repornirea.

După cum puteți vedea, restabilirea încrederii într-un domeniu este destul de simplă, principalul lucru este să stabiliți corect cauza acestei probleme, deoarece în diferite ocazii va fi necesar metode diferite. Prin urmare, nu ne săturam să repetăm: dacă apare vreo problemă, mai întâi trebuie să identificați cauza și abia apoi să luați măsuri pentru a o corecta, în loc să repetați fără minte prima instrucțiune găsită în rețea.