shkelje e besimit ndërmjet stacioni i punës dhe kontrolluesi i domenit (zgjidhja)

Online me një flotë prej 150 makinash pas përditësimit sistemi operativ Para MS Windows 7, një problem me hyrjen e përdoruesit në sistem filloi të vërehej vazhdimisht. Një ditë të bukur, kur përdoruesi ndezi kompjuterin, zbuloi se nuk mund të hynte në sistem dhe në të njëjtën kohë pa një mesazh që ishte mahnitës në informativitetin e tij:
"Instalimi dështoi marrëdhënie besimi ndërmjet këtij stacioni të punës dhe domenit kryesor"

Ka vetëm një zgjidhje. Hiqeni makinën nga domeni dhe futeni përsëri. Kur kjo situatë filloi të përsëritej më shumë se një herë në ditë, dhe unë thjesht u lodha, mendova për parandalimin. Dhe këtu heshti interneti. Pas njëfarë kohe dëshpërimi, dhe dëshpërimi, siç e dini, është mëkat, u vendos të gërmohej. Si rezultat i torturave të gërmimit, u mor shkaku i 99% të rasteve (dhe dyshoj se 1% e mbetur thjesht nuk rrëfeu të njëjtën arsye). Arsyeja është shërbimi i riparimit të fillimit, i cili ndizet kur puna mbyllet gabimisht. Në ekranin e parë të dialogut, shërbimi pyet përdoruesin nëse duhet të rivendosë sistemin apo jo. Në rastin e një përgjigje pozitive, sistemi kthehet në një gjendje më të hershme dhe mundësisht rrah anën e makinës. Sido që të jetë, domeni nuk do t'i lejojë përdoruesit nga një makinë e tillë pas një operacioni të tillë. Të mbështetesh te përdoruesi në një çështje të tillë është e kotë. Ju mund t'i kërkoni atij të refuzojë, në rast të një situate të tillë, por përdoruesi ka shumë të ngjarë të shtypë butonin "rivendos" dhe më pas të ngrejë duart, duke thënë se djalli ka mashtruar. Në përgjithësi, ju duhet të çaktivizoni shërbimin e rikuperimit të nisjes në n-makina.

Lokalisht, zgjidhja duket si një komandë konsole:

Reagentc.exe /disable

Rrjeti do të ketë nevojë mjeti psexec nga Paketa Microsoft Sysinternals PsTools, përshkrimi i programit dhe vetë paketa janë

Ne vendosëm Psexec.exe në të njëjtën dosje me tonën skedar grupi(le ta quajmë broff.cmd)
brenda broff.cmd shkruajmë:

:: Merrni një listë të kompjuterëve në rrjet, pastrojeni nga mbeturinat dhe vendoseni në net.lst net.exe view /domain:megafon >>net.tmp për /f "tokens=1,2 delims=" %%i në (net.tmp ) bëni (Echo %%i>>net1.tmp) për /f "tokens=1,2 delims=\" %%i në (net1.tmp) bëni (Echo %%i>>net. lst) DEL *. TMP::Ecni nëpër listë dhe çaktivizoni rikuperimin e nisjes për /f "tokens=1,2 delims=" %%F në (net.lst) bëni (start psexec \\%%F reagentc.exe / çaktivizo)

Kjo eshte e gjitha. Përdoruesi nuk është më armiku ynë.

Etiketa: Marrëdhëniet e Mirëbesimit, DC, IT, Administrimi i Rrjetit, Rrjeti, Vendosja

Ekziston një situatë e tillë që kompjuteri nuk mund të vërtetohet në domen. Ketu jane disa shembuj:

• Pas riinstalimit të sistemit operativ në stacionin e punës, pajisja nuk mund të vërtetojë as me të njëjtin emër kompjuteri. Sepse në proces instalim i ri OS i krijuar SID dhe kompjuteri nuk e njeh fjalëkalimin e llogarisë së objektit kompjuterik në domen, ai nuk i përket domenit dhe nuk mund të vërtetohet në domen.
• Kompjuteri është restauruar plotësisht nga një kopje rezervë dhe nuk mund të vërtetohet. Objekti kompjuterik mund të ketë ndryshuar fjalëkalimin e tij në domen pasi të jetë rezervuar. Kompjuterët ndryshojnë fjalëkalimet e tyre çdo 30 ditë dhe strukturën Active Directory kujton fjalëkalimin aktual dhe atë të mëparshëm. Nëse do të restaurohet kopje rezervë kompjuter prej kohësh fjalëkalimi i vjetër, kompjuteri nuk do të jetë në gjendje të vërtetojë.
• Sekret LSA kompjuteri nuk është sinkronizuar me një fjalëkalim të njohur për domenin për një kohë të gjatë. ato. kompjuteri nuk e ka harruar fjalëkalimin - thjesht ky fjalëkalim nuk përputhet me fjalëkalimin e vërtetë në domen. Në këtë rast, kompjuteri nuk mund të vërtetohet dhe kanali i sigurt nuk do të krijohet.

Karakteristikat kryesore problemet e mundshme llogaria e kompjuterit:

• Mesazhet e hyrjes në domen tregojnë se kompjuteri nuk ishte në gjendje të komunikonte me kontrolluesin e domenit, llogaria e kompjuterit mungon, fjalëkalim i gabuar llogari kompjuteri ose besimi i humbur ( komunikim të sigurt) ndërmjet kompjuterit dhe domenit.
• Mesazhe ose ngjarje në regjistrin e ngjarjeve që tregojnë gabime të ngjashme ose sugjerojnë probleme me fjalëkalimet, marrëdhëniet e besimit, kanalet e sigurta ose komunikimin me domenin ose kontrolluesin e domenit. Një gabim i tillë është dështimi i vërtetimit me kodin e gabimit 3210 në regjistrin e ngjarjeve të kompjuterit.
• Llogaria e kompjuterit nuk ekziston në Active Directory.

Si të trajtohet?

Duhet të riinstalohet llogari kompjuter. Rrjeti ka rekomandime për një riinstalim të tillë: hiqni kompjuterin nga domeni dhe më pas bashkojeni përsëri. Po funksionon por këtë opsion nuk rekomandohet të bëhet kjo sepse SID dhe anëtarësimi në grupin e punës të kompjuterit janë humbur.

Prandaj, është e nevojshme të bëhet kështu :

Hapni skedarin shtesë të Active Directory, zgjidhni Përdoruesit dhe Kompjuterët, klikoni objektin e kompjuterit klikoni me të djathtën klikoni dhe përdorni komandën "Rinstaloni llogarinë". Pas kësaj, kompjuteri duhet të ribashkohet në domen dhe të rindizet.

Me një llogari të lidhur me grup lokal"Administrat":

rivendosja e rrjetit Emri i hostit /domain Emri i domenit /Përdoruesi Emri i përdoruesit /Fjalëkalimi (Fjalëkalimi | *)

Në një kompjuter ku besimi ka humbur:

nltest /server:ServerName /sc_reset:DOMAIN\DomainController

Në këtë artikull, ne do të prekim problemin e shkeljes së besimit midis një stacioni pune dhe një domeni, i cili pengon një përdorues të hyjë në sistem. Merrni parasysh shkakun e problemit dhe një mënyrë të thjeshtë për të rivendosur besimin në një kanal të sigurt.

Si shfaqet problemi: përdoruesi përpiqet të hyjë në stacionin e punës ose serverin nën llogarinë e tij dhe pasi të futni fjalëkalimin shfaqet një gabim:

Rivendosja e besimit midis stacionit të punës dhe domenit dështoi

Ose si kjo:

Baza e të dhënave të sigurisë në server nuk ka një llogari kompjuterike për këtë marrëdhënie besimi të stacionit të punës

Le të përpiqemi të kuptojmë se çfarë nënkuptojnë këto gabime dhe si t'i rregullojmë ato.

Fjalëkalimi i kompjuterit në domenin AD

Kur një kompjuter regjistrohet në një domen, midis tij dhe kontrolluesit të domenit krijohet një kanal i sigurt, përmes të cilit transmetohen kredencialet dhe ndërveprimet e mëtejshme ndodhin në përputhje me politikat e sigurisë të përcaktuara nga administratori.

Fjalëkalimi i paracaktuar i llogarisë së kompjuterit është i vlefshëm për 30 ditë, pas së cilës ai ndryshohet automatikisht. Ndryshimi i fjalëkalimit inicohet nga vetë kompjuteri bazuar në politikat e domenit.

Këshilla. Afati maksimal Jetëgjatësia e fjalëkalimit mund të konfigurohet nëpërmjet politikës domain anëtar: maksimale makinë llogari fjalëkalimin mosha, i cili ndodhet në seksionin: kompjuterKonfigurimi->DritaretCilësimet->SiguriaCilësimet->LokalPolitikat->SiguriaOpsione. Periudha e skadimit të fjalëkalimit të kompjuterit mund të jetë nga 0 në 999 (si parazgjedhje 30 ditë).

Nëse fjalëkalimi i kompjuterit ka skaduar, ai automatikisht do të ndryshojë kur regjistrimin e radhës në domen. Prandaj, nëse nuk e keni rifilluar kompjuterin tuaj për disa muaj, lidhja e besimit midis PC dhe domenit ruhet dhe fjalëkalimi i kompjuterit do të ndryshohet në rindezjen tjetër.

Marrëdhënia e besimit prishet nëse kompjuteri përpiqet të vërtetojë në domen me një fjalëkalim të pasaktë. Kjo zakonisht ndodh kur kompjuteri është brenda ose jashtë një fotografie të makinës virtuale. Në këtë rast, fjalëkalimi i makinës i ruajtur në vend dhe fjalëkalimi në domen mund të mos përputhen.

Mënyra "klasike" për të rivendosur besimin në këtë rast është:

1. Rivendos fjalëkalimin e administratorit lokal
2. Hiqni një PC nga domeni dhe përfshijeni atë në një grup pune
3. Rindezje
4. Duke përdorur snap - rivendosni llogarinë e kompjuterit në domen (Rivendosni llogarinë)
5. Ribashkoni PC-në në domen
6. Rinisni edhe një herë

Kjo metodë është më e lehtë, por shumë e ngathët dhe kërkon të paktën dy rindezje dhe 10-30 minuta kohë. Përveç kësaj, mund të ketë probleme me përdorimin e vjetër profilet lokale përdoruesit.

Ekziston një mënyrë më elegante për të rikthyer besimin pa u ribashkuar në domen dhe pa rindezje.

Shërbimi Netdom

Shërbimetrrjetë të përfshira në Windows Server duke filluar nga versioni 2008, dhe mund të instalohet në PC-të e përdoruesve nga RSAT ( server në distancë mjetet e administrimit). Për të rivendosur besimin, duhet të identifikoheni duke përdorur administratori lokal(duke shtypur “.\Administrator” në ekranin e hyrjes) dhe ekzekutoni komandën e mëposhtme:

Rivendosja e rrjetitpwd /Server:DomainController /PërdoruesiD:Administrator /FjalëkalimiD:Fjalëkalimi

• server- emri i çdo kontrolluesi të disponueshëm të domenit
• Përdoruesi D– emri i përdoruesit me të drejtat e administratorit të domenit ose Kontroll i plotë në OU me llogarinë kompjuterike
• FjalëkalimiD– fjalëkalimi i përdoruesit

Rivendosja e rrjetit pwd /Server:sam-dc01 /UserD:aapetrov /FjalëkalimiD: [email i mbrojtur]@w0rd

Pas përfundimit të suksesshëm të komandës, nuk nevojitet një rindezje, mjafton të dilni dhe të regjistroheni nën një llogari domeni.

Reset-ComputerMachinePassword Cmdlet

cmdlet u shfaq në PowerShell 3.0 dhe ndryshe nga programi Netdom, ai tashmë është i pranishëm në sistem duke filluar me Windows 8 / Windows Server 2012. Në Windows 7, Server 2008 dhe Server 2008 R2, ai mund të instalohet manualisht (http:// www.microsoft. com/en-us/download/details.aspx?id=34595), gjithashtu kërkon korniza neto 4.0 ose më i lartë.

Ju gjithashtu duhet të identifikoheni me një llogari administratori lokal, të hapni tastierën PowerShell dhe të ekzekutoni komandën:

Rivendos-Fjalëkalimi i kompjuterit të makinës -Kontrolluesi i domenit të serverit - domeni kredencial\Admin

• server- emri i kontrolluesit të domenit
• Kredencialet– emri i përdoruesit me të drejtat e administratorit të domenit (ose të drejtat për OU nga PC)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

Në dritaren e sigurisë që hapet, duhet të specifikoni fjalëkalimin e përdoruesit.

Këshilla. I njëjti veprim mund të kryhet duke përdorur një tjetër cmdlet Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Riparim -Credential corp\aapetrov

Mund të kontrolloni disponueshmërinë e një kanali të sigurt midis PC dhe DC me komandën:

nltest /sc_verify:corp.adatum.com

Rreshtat e mëposhtëm konfirmojnë se marrëdhënia e besimit u rivendos me sukses:

Statusi i statusit të lidhjes së besuar DC = 0 0x0 NERR_Success

Statusi i verifikimit të besimit = 0 0x0 NERR_Success

Siç mund ta shihni, rivendosja e besimit në një domen është mjaft e thjeshtë.

Me gabimin "Dështoi të vendoset një marrëdhënie besimi midis këtij stacioni pune dhe domenit kryesor" herë pas here të gjithë duhet të merren me administratori i sistemit. Por jo të gjithë i kuptojnë shkaqet dhe mekanizmat e proceseve që çojnë në shfaqjen e tij. Sepse pa kuptuar kuptimin e ngjarjeve në vazhdim, administrimi kuptimplotë është i pamundur, i cili zëvendësohet nga ekzekutimi i pamenduar i udhëzimeve.

Llogaritë kompjuterike, si llogaritë e përdoruesve, janë anëtarë të sigurisë së një domeni. Çdo principal sigurie i caktohet automatikisht një identifikues sigurie (SID) në nivelin në të cilin aksesohen burimet e domenit.

Përpara se t'i jepni një llogarie akses në një domen, duhet të verifikoni vërtetësinë e tij. Çdo drejtues sigurie duhet të ketë llogarinë dhe fjalëkalimin e vet, dhe llogaria e kompjuterit nuk bën përjashtim. Kur një kompjuter bashkohet me Active Directory, krijohet një llogari kompjuterike e tipit "Computer" për të dhe vendoset një fjalëkalim. Besimi në këtë nivel sigurohet nga fakti se këtë operacion kryhet nga një administrator domeni ose përdorues tjetër me autoritet të qartë për ta bërë këtë.

Më pas, sa herë që kompjuteri futet në domen, ai krijon një kanal të sigurt me kontrolluesin e domenit dhe i tregon atij kredencialet e tij. Kështu, krijohet një marrëdhënie besimi midis kompjuterit dhe domenit, dhe ndërveprimi i mëtejshëm ndodh sipas vendosur nga administratori politikat e sigurisë dhe të drejtat e aksesit.

Fjalëkalimi i llogarisë së kompjuterit është i vlefshëm për 30 ditë dhe ndryshohet automatikisht më pas. Është e rëndësishme të kuptohet se ndryshimi i fjalëkalimit është iniciuar nga kompjuteri. Kjo është e ngjashme me procesin e ndryshimit të fjalëkalimit të një përdoruesi. Nëse kompjuteri zbulon se fjalëkalimi aktual ka skaduar, ai do ta zëvendësojë atë herën tjetër që të futet në domen. Prandaj, edhe nëse nuk e keni ndezur kompjuterin për disa muaj, marrëdhënia e besimit në domen do të ruhet dhe fjalëkalimi do të ndryshohet në hyrjen e parë pas një pushimi të gjatë.

Marrëdhënia e besimit prishet nëse një kompjuter përpiqet të vërtetojë në një domen me Fjalëkalim i pavlefshëm. Si mund të ndodhë kjo? Mënyra më e lehtë është të rivendosni gjendjen e kompjuterit, për shembull, me një mjet standard të rivendosjes së sistemit. I njëjti efekt mund të arrihet kur rivendosni nga një imazh, fotografi (për makina virtuale) etj.

Një tjetër mundësi është të ndryshoni llogarinë nga një kompjuter tjetër me të njëjtin emër. Situata është mjaft e rrallë, por ndonjëherë ndodh, për shembull, kur kompjuteri i një punonjësi është ndryshuar duke ruajtur emrin, duke hequr të vjetrën nga domeni dhe më pas e rifutet në domen, duke harruar ta riemërojë. Në këtë rast, kompjuteri i vjetër, kur të rifutet në domen, do të ndryshojë fjalëkalimin e llogarisë së kompjuterit dhe kompjuteri i ri nuk do të jetë më në gjendje të identifikohet, pasi nuk do të jetë në gjendje të krijojë një marrëdhënie besimi.

Çfarë veprimi duhet të ndërmerret kur përballeni me këtë gabim? Para së gjithash, përcaktoni shkakun e shkeljes së besimit. Nëse ishte një rikthim, atëherë nga kush, kur dhe si u bë, nëse fjalëkalimi u ndryshua nga një kompjuter tjetër, atëherë përsëri duhet të zbulojmë se kur dhe në çfarë rrethanash ndodhi kjo.

Shembull i thjeshtë: kompjuter i vjetër u riemërua dhe iu dha një departamenti tjetër, pas së cilës pati një dështim, dhe ai automatikisht u kthye në të fundit pikë kontrolli. Pas kësaj, ky PC do të përpiqet të vërtetojë në domenin me emrin e vjetër dhe natyrisht do të marrë një gabim në krijimin e marrëdhënieve të besimit. Veprimet e drejta në këtë rast ai do të riemërtojë kompjuterin siç duhet të quhet, do të krijojë një pikë kontrolli të re dhe do të fshijë të vjetrat.

Dhe vetëm pasi të sigurohemi që shkelja e besimit është shkaktuar objektivisht veprimet e nevojshme dhe pikërisht për këtë kompjuter mund të filloni të rivendosni besimin. Kjo mund të bëhet në disa mënyra.

Përdoruesit dhe Kompjuterët e Directory Active

Kjo është më e lehta, por jo më e shpejta dhe mënyrë e përshtatshme. Hap snap-in në çdo kontrollues domeni Përdoruesit dhe Kompjuterë aktivë Drejtori, gjeni llogarinë e kërkuar të kompjuterit dhe, duke klikuar me të djathtën, zgjidhni Riinstaloni llogarinë.

Pastaj hyjmë në kompjuterin që ka humbur besimin administratori lokal dhe hiqni makinën nga domeni.

Pastaj e fusim përsëri, mund të kaloni rindezjen midis këtyre dy veprimeve. Pas rihyrjes në domen, ne rindizemi dhe hyjmë në llogarinë e domenit. Fjalëkalimi i kompjuterit do të ndryshohet kur kompjuteri të ribashkohet në domen.

Disavantazhi i kësaj metode është se makina duhet të hiqet nga domeni, si dhe nevoja për dy (një) rindezje.

Shërbimi Netdom

Ky mjet është i përfshirë në Windows Server që nga botimi 2008, ai mund të instalohet në PC-të e përdoruesve nga paketa RSAT (Tools administrim në distancë server). Për ta përdorur atë, hyni në sistemin e synuar administratori lokal dhe ekzekutoni komandën:

Rivendosja e rrjetitpwd /Server:DomainController /PërdoruesiD:Administrator /FjalëkalimiD:Fjalëkalimi

Le të shohim opsionet e komandës:

• server- emri i çdo kontrolluesi të domenit
• Përdoruesi D- Emri i llogarisë së administratorit të domenit
• FjalëkalimiD- fjalëkalimi i administratorit të domenit

Pas ekzekutimit të suksesshëm të komandës, nuk kërkohet një rindezje, thjesht dilni nga llogaria lokale dhe hyni në llogarinë e domenit.

PowerShell 3.0 cmdlet

Ndryshe nga programi Netdom, PowerShell 3.0 është përfshirë që nga Windows 8 / Server 2012, për sistemet e vjetra mund të instalohet manualisht, Windows 7, Server 2008 dhe Server 2008 R2 mbështeten. Net Framework 4.0 ose më i lartë kërkohet si një varësi.

Në të njëjtën mënyrë, hyni në sistemin për të cilin dëshironi të rivendosni besimin si administrator lokal, filloni tastierën PowerShell dhe ekzekutoni komandën:

Rivendos-Fjalëkalimi i kompjuterit të makinës -Kontrolluesi i domenit të serverit - domeni kredencial\Admin

• server- emri i çdo kontrolluesi të domenit
• Kredencialet- emri i domenit / llogaria e administratorit të domenit

Kur të ekzekutohet kjo komandë, do të shfaqet një dritare autorizimi në të cilën do t'ju duhet të vendosni fjalëkalimin për llogarinë e administratorit të domenit që keni specifikuar.

cmdlet nuk shfaq asnjë mesazh për sukses, kështu që thjesht ndryshoni llogarinë tuaj, nuk kërkohet rindezje.

Siç mund ta shihni, rivendosja e besimit në një domen është mjaft e thjeshtë, gjëja kryesore është të identifikoni saktë shkakun e këtij problemi, pasi në raste të ndryshme do të kërkohet metoda të ndryshme. Prandaj, nuk lodhemi duke përsëritur: nëse shfaqet ndonjë problem, së pari duhet të identifikoni shkakun dhe vetëm më pas të merrni masa për ta korrigjuar atë, në vend që të përsërisni pa mendje udhëzimin e parë të gjetur në rrjet.