V tomto článku se dotkneme problému narušení důvěry mezi pracovní stanicí a doménou, který brání uživateli v přihlášení do systému. Zvažte příčinu problému a jednoduchý způsob, jak obnovit důvěru v zabezpečený kanál.
Jak se problém projevuje: uživatel se pokusí přihlásit k pracovní stanici nebo serveru pod svým účtem a po zadání hesla se objeví chyba:
Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhalNebo takový:
Databáze zabezpečení na serveru nemá účet počítače pro tento vztah důvěryhodnosti pracovní stanice Databáze správce účtu na serveru neobsahuje položku pro registraci počítače prostřednictvím vztahu důvěryhodnosti s touto pracovní stanicí.Zkusme zjistit, co tyto chyby znamenají a jak je opravit..
Obsah:
- Heslo počítače v doméně AD
- Netdom Utility
- Reset-ComputerMachinePassword Cmdlet
Heslo počítače v doméně AD
Když je počítač zadán do domény Active Directory, vytvoří se pro něj samostatný počítačový účet s heslem. Na této úrovni je důvěra zajištěna skutečností, že tuto operaci provádí správce domény nebo uživatel domény (každý uživatel může ve výchozím nastavení obsahovat 10 počítačů v doméně).
Když je počítač registrován v doméně, je mezi ním a řadičem domény zřízen bezpečný kanál, přes který jsou přenášena pověření, a další interakce probíhá v souladu s bezpečnostními zásadami stanovenými správcem..
Výchozí heslo pro váš počítačový účet je 30 dní, po kterém se automaticky změní. Změna hesla je iniciována samotným počítačem na základě zásad domény.
Tip. Maximální životnost hesla lze nakonfigurovat pomocí zásady. Doména člen: Maximum stroj účet heslo věk, který se nachází v sekci: Počítač Konfigurace-> Windows Nastavení-> Zabezpečení Nastavení-> Místní Zásady-> Zabezpečení Možnosti. Heslo pro počítač může být od 0 do 999 (ve výchozím nastavení 30 dní).
Pokud heslo počítače vyprší, automaticky se změní při příštím zaregistrování v doméně. Pokud jste tedy počítač několik měsíců nereštartovali, uloží se vztah důvěryhodnosti mezi počítačem a doménou a heslo počítače se při příštím restartování změní..
Pokud se počítač pokusí o ověření domény nesprávným heslem, jsou přerušeny vztahy důvěryhodnosti. K tomu obvykle dochází, když je počítač obnoven z obrazu nebo ze snímku virtuálního počítače. V tomto případě se nemusí heslo počítače uložené místně a heslo v doméně shodovat.
"Klasický" způsob, jak obnovit důvěru v tomto případě, je:
- Obnovte heslo místního správce
- Odeberte počítač z domény a zahrňte jej do pracovní skupiny
- Restartuje se
- Použití modulu snap-in ADUC - resetování účetnictví počítače v doméně (reset účtu)
- Znovu povolte počítač v doméně
- Restartujte znovu
Tato metoda je nejjednodušší, ale příliš neohrabaná a vyžaduje alespoň dva restarty a 10-30 minut času. Kromě toho se mohou vyskytnout problémy s používáním starých místních uživatelských profilů..
Existuje elegantnější způsob, jak obnovit důvěru bez přechodu na doménu a bez restartu.
Netdom Utility
Nástroj Netdom součástí systému Windows Server od verze 2008 a lze jej nainstalovat na uživatelské počítače z RSAT (nástroje pro správu vzdáleného serveru). Chcete-li obnovit důvěru, musíte se přihlásit pod místním správcem (zadáním „. \ Administrator“ na přihlašovací obrazovce) a spustit následující příkaz:
Netdom resetpwd / Server: DomainController / UserD: Administrator / PasswordD: Password
- Server - název libovolného dostupného řadiče domény
- Userd - uživatelské jméno s administrátorem domény nebo úplnými právy řízení na OU s účtem počítače
- Passwordd - uživatelské heslo
Netdom resetpwd / Server: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd
Po úspěšném provedení příkazu není třeba restartovat, stačí se odhlásit a přihlásit se pod účtem domény.
Reset-ComputerMachinePassword Cmdlet
Cmdlet Reset-ComputerMachinePassword se objevil v PowerShell 3.0 a na rozdíl od obslužného programu Netdom je již v systému k dispozici od Windows 8 / Windows Server 2012. V systémech Windows 7, Server 2008 a Server 2008 R2 je možné jej nainstalovat ručně (http://www.microsoft.com) /en-us/download/details.aspx?id=34595), je vyžadován také Net Framework 4.0 nebo vyšší.
Musíte se také přihlásit pod účtem místního správce, otevřít konzolu PowerShell a spustit příkaz:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin
- Server - název řadiče domény
- Pověření - uživatelské jméno s právy správce domény (nebo práva na OU z počítače)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov
V okně zabezpečení, které se otevře, musíte zadat uživatelské heslo.
Tip. Stejnou operaci můžete provést pomocí jiného rutina Powershell. Test-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Credential corp \ aapetrov
Chcete-li zkontrolovat bezpečný kanál mezi PC a DC, použijte příkaz:
nltest /sc_verify:corp.adatum.com
Následující řádky potvrzují, že důvěra byla úspěšně obnovena:
Stav stavu důvěryhodného DC připojení = 0 0x0 NERR_Success
Stav ověření důvěryhodnosti = 0 0x0 NERR_Success
Jak vidíte, obnovení důvěry v doménu je poměrně jednoduché.