Obnovite zaupanje brez ponovnega vstopa v domeno

V tem članku se bomo dotaknili problema kršitve zaupanja med delovno postajo in domeno, ki uporabniku preprečuje prijavo v sistem. Razmislite o vzroku težave in na preprost način za ponovno vzpostavitev zaupanja na varnem kanalu.

Kako se težava kaže: uporabnik se poskuša prijaviti v delovno postajo ali strežnik pod svojim računom in po vnosu gesla se pojavi napaka:

Zaupni odnos med to delovno postajo in primarno domeno ni uspel

Ali tako:

Varnostna baza podatkov na strežniku nima računalniškega računa za to zaupno razmerje med delovno postajo. Baza podatkov upravitelja računov na strežniku ne vsebuje vnosa za registracijo računalnika prek zaupniškega razmerja s to delovno postajo.

Poskusimo ugotoviti, kaj pomenijo te napake in kako jih odpraviti..

Vsebina:

  • Geslo računalnika v domeni AD
  •  Netdom Utility
  • Ponastavi računalnikMachinePassword Cmdlet

Geslo računalnika v domeni AD

Ko je računalnik vpisan v domeno Active Directory, se zanj ustvari ločen računalniški račun z geslom. Na tej ravni zaupanje zagotavlja dejstvo, da to operacijo izvaja skrbnik domene ali uporabnik domene (vsak uporabnik lahko v domeno privzeto vključi 10 osebnih računalnikov).

Ko je računalnik registriran v domeni, se med njim in krmilnikom domene vzpostavi varen kanal, preko katerega se prenašajo poverilnice in nadaljnja interakcija poteka v skladu z varnostnimi pravilniki, ki jih je določil skrbnik.

Privzeto geslo za vaš računalniški račun je 30 dni, po katerem se samodejno spremeni. Spremembo gesla sproži računalnik sam na podlagi domenskih pravilnikov.

Namig. Najdaljša življenjska doba gesla je mogoče konfigurirati s pravilnikom. Domena član: Največ stroj račun geslo starost, ki se nahaja v razdelku: Računalnik Konfiguracija-> Windows Nastavitve-> Varnost Nastavitve-> Lokalno Politike-> Varnost Možnosti.  Geslo za računalnik je lahko od 0 do 999 (privzeto 30 dni).

Če je računalniško geslo poteče, se samodejno spremeni naslednjič, ko se registrirate v domeni. Če računalnika več mesecev niste znova zagnali, se zaupno razmerje med računalnikom in domeno shrani, računalniško geslo pa se bo spremenilo ob naslednjem vnovičnem zagonu..

Zaupni odnosi se prekinejo, če računalnik poskuša pristno potrditi domeno z napačnim geslom. To se običajno zgodi, ko je računalnik obnovljen iz slike ali iz posnetka virtualnega stroja. V tem primeru se geslo naprave, shranjeno lokalno, in geslo v domeni morda ne ujemata.

"Klasičen" način za ponovno vzpostavitev zaupanja v tem primeru je:

  1. Ponastavite geslo lokalnega skrbnika
  2. Odstranite računalnik iz domene in ga vključite v delovno skupino
  3. Se bo znova zagnalo
  4. Uporaba dodatka ADUC - ponastavite računalniško knjigovodstvo v domeni (Ponastavi račun)
  5. Ponovno omogočite računalnik v domeni
  6. Znova zaženite

Ta metoda je najpreprostejša, vendar preveč nerodna in zahteva vsaj dva ponovna zagona in 10-30 minut časa. Poleg tega lahko imate težave pri uporabi starih lokalnih uporabniških profilov..

Obstaja bolj eleganten način za povrnitev zaupanja brez prehoda na domeno in brez ponovnega zagona.

 Netdom Utility

Uporabnost Netdom  vključen v sistem Windows Server od različice 2008 in ga je mogoče namestiti na uporabnikove osebne računalnike iz RSAT-a (Remote Server Administration Tools). Če želite obnoviti zaupanje, se morate prijaviti pod lokalnim skrbnikom (na prijavnem zaslonu vnesite ". \ Administrator") in zaženite ta ukaz:

Netdom resetpwd / Server: DomainController / UserD: Administrator / PasswordD: Geslo

  • Strežnik - ime katerega koli razpoložljivega krmilnika domene
  • Uporabnik - uporabniško ime z skrbnikom domene ali pravice popolnega nadzora v OU ​​z računalniškim računom
  • Geslo - uporabniško geslo

Netdom resetpwd / Server: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd

Po uspešni izvedbi ukaza ponovni zagon ni potreben, samo se odjavite in prijavite pod domenski račun.

Ponastavi računalnikMachinePassword Cmdlet

Cmdlet Ponastavite-ComputerMachinePassword se je pojavil v PowerShell 3.0, za razliko od pripomočka Netdom pa je v sistemu že na voljo od sistema Windows 8 / Windows Server 2012. V Windows 7, Server 2008 in Server 2008 R2 ga je mogoče namestiti ročno (http://www.microsoft.com /en-us/download/details.aspx?id=34595) Potreben je tudi Net Framework 4.0 ali novejši.

Prav tako se morate prijaviti pod lokalni skrbniški račun, odpreti konzolo PowerShell in zagnati ukaz:

Ponastavi-ComputerMachinePassword -Server DomainController -Vredna domena \ Administrator

  • Strežnik - ime regulatorja domene
  • Poverilnica - uporabniško ime s skrbniškimi pravicami domene (ali pravicami OU iz osebnega računalnika)

Ponastavite-ComputerMachinePassword -Server sam-dc01 -Vrednost corp \ aapetrov

V varnostnem oknu, ki se odpre, morate določiti uporabniško geslo.

Namig. Enako operacijo lahko izvedete z drugim ukazom Powershell. Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Vrednost corp \ aapetrov

Če želite preveriti, ali je med PC-jem in DC-om zanesljiv kanal, uporabite ukaz:

nltest /sc_verify:corp.adatum.com

Naslednje vrstice potrjujejo, da je bilo zaupanje uspešno obnovljeno:

Status zaupanja vredne enosmerne povezave = 0 0x0 NERR_Uspeh

Status preverjanja zaupanja = 0 0x0 NERR_Uspeh

Kot lahko vidite, je ponovno vzpostaviti zaupanje v neko domeno.