Възстановяваме доверието в домейна. Нарушаване на доверието между работна станция и домейн контролер (решение)

С грешката „Не беше възможно да се установи доверителна връзка между това работна станцияи основния домейн“, с който всеки трябва да се сблъсква от време на време системен администратор. Но не всеки разбира причините и механизмите на процесите, водещи до възникването му. Защото без разбиране на смисъла на текущите събития е невъзможно смисленото управление, което се заменя с безсмислено изпълнение на инструкции.

Компютърните акаунти, подобно на потребителските акаунти, са принципали за сигурност на домейна. На всеки принципал за защита автоматично се присвоява идентификатор за сигурност (SID), на което ниво може да осъществява достъп до ресурсите на домейна.

Преди да предоставите достъп на акаунт до домейн, трябва да проверите неговата автентичност. Всеки участник в сигурността трябва да има свой собствен сметкаи парола, компютърният акаунт не е изключение. При свързване на компютър към Активна директорияза него се създава акаунт тип "Компютър" и се задава парола. Доверието на това ниво се гарантира от факта, че тази операцияизвършено от администратор на домейн или друг потребител с изрични правомощия за това.

Впоследствие всеки път, когато компютърът влиза в домейна, той установява защитен канал с домейн контролера и му предоставя своите идентификационни данни. По този начин се установява доверителна връзка между компютъра и домейна и по-нататъшното взаимодействие се осъществява в съответствие с инсталиран от администратораполитики за сигурност и права за достъп.

Паролата за компютърен акаунт е валидна 30 дни и се променя автоматично след това. Важно е да разберете, че промяната на паролата се инициира от компютъра. Това е подобно на процеса на промяна на потребителска парола. След като установи, че текущата парола е изтекла, компютърът ще я замени следващия път, когато влезете в домейна. Следователно, дори ако не сте включвали компютъра няколко месеца, доверителната връзка в домейна ще остане и паролата ще бъде променена при първото влизане след дълга пауза.

Доверието е нарушено, когато компютър се опита да се удостовери в домейн с невалидна парола. Как може да стане това? Най-лесният начин е да върнете състоянието на компютъра, например, като използвате стандартна помощна програма за възстановяване на системата. Същият ефект може да се постигне при възстановяване от изображение, моментна снимка (напр виртуални машини) и така нататък.

Друг вариант е да смените акаунта с друг компютър със същото име. Ситуацията е доста рядка, но понякога се случва, например, когато компютърът на служител е променен, докато името е било запазено, старото е било премахнато от домейна и след това те са били въведени отново в домейна, забравяйки да го преименуват. В този случай, когато старият компютър бъде въведен отново в домейна, той ще промени паролата на акаунта на компютъра и новият компютър вече няма да може да влезе, тъй като няма да може да установи доверителна връзка.

Какви действия трябва да предприемете, ако срещнете тази грешка? На първо място, установете причината за нарушението отношения на доверие. Ако е било връщане назад, тогава от кого, кога и как е било извършено; ако паролата е била променена от друг компютър, тогава отново трябва да разберем кога и при какви обстоятелства се е случило това.

Прост пример: стар компютърпреименуван и прехвърлен в друг отдел, след което възникна повреда и той автоматично се върна до последната контролна точка. След което този компютър ще се опита да се удостовери в домейна под старото име и естествено ще получи грешка при установяване на доверителна връзка. С правилните действияв този случай ще преименувате компютъра, както трябва да се нарича, ще създадете нова контролна точка и ще изтриете старите.

И само след като се уверите, че нарушението на доверието е причинено обективно необходими действияи именно за този компютър можете да започнете да възстановявате доверието. Има няколко начина да направите това.

Потребители и компютри на Active Directory

Това е най-простият, но не и най-бързият удобен начин. Отворете модула на всеки домейн контролер Потребителите и Активни компютриСправочник, намерете необходимия компютърен акаунт и, като щракнете върху Кликнете с десния бутонмишка, изберете Нулирайте акаунта.

След това влизаме в компютъра, който е загубил доверителната връзка под локален администратори премахнете машината от домейна.

След това го въвеждаме обратно; можете да пропуснете рестартирането между тези две действия. След като въведете отново домейна, рестартирайте и влезте с домейн акаунт. Паролата на компютъра ще бъде променена, когато компютърът се присъедини отново към домейна.

Недостатъкът на този метод е, че машината трябва да бъде извадена от домейна, както и необходимостта от два (един) рестарта.

Помощна програма Netdom

Тази помощна програма е включена в Windows сървързапочвайки от издание 2008, той може да бъде инсталиран на потребителски компютри от пакета RSAT (Инструменти отдалечено администриранесървър). За да го използвате, влезте в целевата система локален администратори изпълнете командата:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Нека да разгледаме опциите на командата:

сървър- име на който и да е домейн контролер
Потребител D- име на акаунт на администратор на домейн
Парола D- парола на администратор на домейн

След като командата бъде изпълнена успешно, не е необходимо рестартиране, просто излезте от вашия локален акаунт и влезте в акаунта на вашия домейн.

PowerShell 3.0 cmdlet

За разлика от помощната програма Netdom, PowerShell 3.0 е включен в системата, започвайки от Windows 8 / Server 2012, за по-стари системи може да се инсталира ръчно, поддържат се Windows 7, Server 2008 и Server 2008 R2. Изисква се като зависимост Net Frameworkне по-ниска от 4.0.

По същия начин влезте в системата, за която трябва да възстановите отношенията на доверие като локален администратор, стартирайте PowerShell конзолаи изпълнете командата:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

сървър- име на който и да е домейн контролер
Удостоверение- име на домейн / акаунт на администратор на домейн

Когато изпълните тази команда, ще се появи прозорец за оторизация, в който ще трябва да въведете паролата за администраторския акаунт на домейна, който сте посочили.

Командлетът не показва никакво съобщение, когато завърши успешно, така че просто сменете акаунта, не е необходимо рестартиране.

Както можете да видите, възстановяването на доверителни отношения в домейн е доста просто; основното е да установите правилно причината за този проблем, тъй като различни случаище се изисква различни методи. Затова никога не се уморяваме да повтаряме: когато възникне някакъв проблем, първо трябва да идентифицирате причината и едва след това да вземете мерки за отстраняването му, вместо безсмислено да повтаряте първата инструкция, намерена в мрежата.

Подобно на потребителските акаунти, компютърните акаунти в домейн имат собствена парола. Тази парола е необходима за установяване на така наречената „доверителна връзка“ между работната станция и домейна. Паролите за компютри се генерират автоматично и също се променят автоматично на всеки 30 дни.

Домейнът съхранява текущата парола на компютъра, както и предишната за всеки случай :) Ако паролата се промени два пъти, компютърът използва Стара парола, няма да може да се удостовери в домейна и да инсталира сигурна връзка. Десинхронизирането на паролата може да възникне поради различни причини, например компютърът е възстановен от резервно копие, ОС е преинсталирана на него или просто е за дълго времеизключен. В резултат на това, когато се опитаме да влезем в домейна, ще получим съобщение, че не може да се установи доверителна връзка с домейна.

Има няколко начина за възстановяване на доверието. Нека ги разгледаме всички по ред.

Метод първи

Отворете модула „Потребители и компютри на Active Directory“ и намерете в него правилния компютър. Кликнете върху него десен ключмишка и контекстно менюизберете елемента „Нулиране на акаунта“. След това отиваме на компютъра под локален акаунт и го въвеждаме отново в домейна.

Този метод е доста тромав и бавен, тъй като... изисква рестартиране, но работи 100% от времето.

Метод втори

Отиваме до компютъра, който трябва да нулира паролата, отворете командна конзолане забравяйте да стартирате като администратор и въведете командата:

Netdom Resetpwd /Сървър:SRV1 /UserD:Администратор /PasswordD:*

където SRV1 е домейн контролерът, Administrator е административният акаунт в домейна. Освен това можете да посочите параметъра /SecurePasswordPrompt, който указва да се покаже искане за парола в специален формуляр.

В прозореца, който се отваря, въведете потребителските идентификационни данни и щракнете върху OK. Паролата е нулирана и вече можете да влезете в компютъра си, като използвате акаунт на домейн. Не е необходимо рестартиране.

Интересното е, че указанията за използване и помощта казват, че командата Netdom Resetpwd може да се използва само за нулиране на паролата на домейн контролер; други употреби не се поддържат. Това обаче не е така и екипът също така успешно нулира паролите на сървърите и работните станции на членовете.

Можете също да използвате Netdom, за да проверите за защитена връзка с домейна:

Netdom Проверка на WKS1 /Домейн:Contoso.com /UserO:Администратор /PasswordO:*

Или нулирайте компютърния си акаунт:

Нулиране на Netdom WKS1 /Домейн:Contoso.com /UserO:Администратор /PasswordO:*

където WKS1 е работната станция, с която нулираме акаунта.

Методът е доста бърз и ефективен, но има едно нещо: по подразбиране помощната програма Netdom е достъпна само на сървъри с роля Активна Directory Domain Services (AD DS). На клиентски машинитой е достъпен като част от инструментите за администриране на отдалечен сървър (RSAT).

Метод трети

Друга помощна програма командна линия- Nltest. На компютъра, който е загубил доверие, изпълнете следните команди:

Nltest/запитване - проверете защитена връзка с домейна;

Nltest /sc_reset:Contoso.com - нулиране на акаунта на компютъра в домейна;

Nltest /sc_change_pwd:Contoso.com - сменете паролата на вашия компютър.

Най-бързият и достъпен начин, тъй като помощната програма Nltest е налична по подразбиране на всяка работна станция или сървър. Въпреки това, за разлика от Netdom, който изисква да въведете идентификационни данни, Nltest се изпълнява в контекста на потребителя, който го изпълнява. Съответно, ако влезете в компютъра си с локален акаунт и се опитате да изпълните команда, може да получите грешка при достъп.

Метод четири

PowerShell може също така да нулира паролата на компютъра ви и да възстанови защитена връзка към домейна. За тази цел има cmdlet Test-ComputerSecureChannel. . Стартиран без параметри, той ще покаже състоянието на защитения канал - True или False.

За да нулирате акаунта на компютъра и защитения канал, можете да използвате следната команда:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

където SRV1 е домейн контролерът (не се изисква).

Можете също да използвате тази команда, за да нулирате паролата си:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Методът е бърз и удобен и не изисква рестартиране. Но и тук има някои особености. Ключът -Credential се появи за първи път в PowerShell 3.0. Без този параметър кратката команда се стартира от местен потребител, дава грешка при достъп. Оказва се, че този методможе да се използва само на Windows 8 и Server 2012, тъй като PowerShell 3.0 все още не е наличен за други операционни системи.

Както можете да видите, има повече от достатъчно начини за възстановяване на доверието. Ако обаче проблемът стане постоянен, тогава е по-лесно да се подходи към неговото решение от другата страна.

Промяна на настройките за парола на вашия компютър

Промяната на парола за домейн се извършва по следния начин:

На всеки 30 дни работната станция изпраща заявка до най-близкия домейн контролер за промяна на паролата на компютърния акаунт. Контролерът приема заявката, паролата се променя и след това промените се разпространяват до всички контролери в домейна при следващата репликация.

Някои настройки за промяна на паролата могат да бъдат променени. Например, можете да промените интервала от време или напълно да деактивирате промяната на пароли. Това може да се направи за отделни компютри, и за групи.

Ако настройките трябва да се приложат към група компютри, тогава най-лесният начин е да използвате групова политика. Настройките, отговорни за промяната на паролите, се намират в раздела Конфигурация на компютъра - Правила - Настройки на Windows - Настройки за защита - Локални правила - Опции за защита. Интересуваме се от следните параметри:

Деактивирайте промяната на паролата за компютърен акаунт- забранява искането за промяна на паролата на локалната машина;

Максимална възраст на паролата за компютърен акаунт- определя максимален срокдействия с компютърна парола. Тази настройка определя честотата, с която член на домейн ще се опитва да промени паролата. Периодът по подразбиране е 30 дни, максимумът може да бъде зададен на 999 дни;

Отказ от промени на паролата за компютърен акаунт- забранява промяната на паролата на домейн контролери. Ако този параметър е активиран, контролерите ще отхвърлят исканията на компютъра за промяна на паролата.

За една машина можете да използвате настройките на системния регистър. За да направите това, в раздела има два параметъра:

DisablePasswordChange- ако е равно на 1, тогава искането за актуализиране на паролата на компютъра е деактивирано, 0 - разрешено.

Максимална възраст на паролата -определя максималния период на валидност на компютърна парола в дни. При желание можете да зададете повече от 1 милион дни!!!

И в секцията HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, само за домейн контролери, параметър:

Отказ от промяна на паролата- ако е равно на 1, тогава забранява на домейн контролера да приеме заявка за промяна на паролата. Този параметър трябва да бъде зададен на всички контролери в домейна.

Изглежда това е всичко за отношенията на доверие. Както можете да видите, доверието в домейна е деликатно нещо, така че се опитайте да не го загубите.

Една от периодичните грешки, с които системният администратор трябва да се справя, е грешката „Не беше възможно да се установи доверителна връзка между тази работна станция и главния домейн“. Тази грешкасе появява, когато потребител се опита да влезе в системата, въведе потребителско име и парола и в крайна сметка получи това съобщение. В повечето случаи това включва връщане на системата към по-ранно състояние.

Каква е причината за това поведение? Факт е, че на компютърен акаунт, свързан към домейн, се присвоява идентификатор за сигурност (SID), на нивото на което се предоставя достъп до домейна, както и парола, която се променя автоматично на всеки 30 дни без намеса на потребителя.

И така, в момента на възстановяване контролна точка, системата може да бъде възстановена до момента, в който старата парола все още е била в сила и при свързване към домейн, паролата на работната станция и домейн контролера ще бъде различна, което ще доведе до грешката „Не беше възможно да се установи доверителна връзка между тази работна станция и главния домейн.“ В тази ситуация е необходимо да се гарантира, че тези пароли съвпадат!

Въпреки това все още може да се получи достъп до работната станция; за да направите това, трябва да деактивирате мрежов кабелот компютъра и въведете паролата отново. В резултат на това просто няма да има къде да изпратите данните за проверка и системата ще ви пусне, тъй като сте въвели правилно паролата за вашия акаунт. След това свързваме кабела и работим. Но това не е решение на проблема, тъй като всеки път ще трябва да извършвате и тези манипулации определени функцииняма да работи.

Има няколко метода, които ви позволяват да направите това, най-простият е да премахнете работната станция от домейна и след това да я регистрирате отново. За да направите това, първо премахнете компютъра от домейна, като се свържете с произволна работна група (Моят компютър\RMB\Properties\Име на компютъра, име на домейн и настройки работна група\ Промяна на настройките \ Промяна \ Член е на работна група \ 123 \ OK ), след което се свържете отново, като въведете името на домейна и рестартирайте.

Тези действия трябва да се извършват от локален администратор, тъй като може просто да не бъдете допуснати под акаунт на администратор на домейн! В тази ситуация, ако не знаете паролата на локалния администратор, ще трябва да нулирате тази парола. Вече говорих за това в урока Нулиране на паролата за акаунт в Windows XP Vista 7 2003 2008 и Нулиране на администраторската парола на Windows 7

Въпреки това някои препоръчват, за да разрешите грешката „Не беше възможно да се установи доверителна връзка между тази работна станция и основния домейн“ в бъдеще, да деактивирате напълно услугата за поправка при стартиране, така че връщането назад да не се извършва в автоматичен режим. Но тук бих внимавал и бих изпълнил това изключванев краен случай, за да не се намали размерът на средствата за възстановяване на ефективността, когато възможни неуспехина работа. Във всеки случай, ако връщането се извършва периодично, по-добре е да не деактивирате услугата, а да разберете същността на проблема!

Възможно е да има ситуация, при която компютърът не може да се удостовери в домейн. Ето няколко примера:

След преинсталиране на операционната система на работна станция машината не може да удостовери самоличността си дори със същото име на компютър. Тъй като в процеса нова инсталацияОС се генерира SID идентификатори компютърът не знае паролата на акаунта на компютърния обект в домейна, не принадлежи към домейна и не може да се удостовери в домейна.
Компютърът е напълно възстановен от резервно копие и не може да бъде удостоверен. Компютърният обект може да е променил паролата на своя домейн след архивиране. Компютрите сменят паролите си на всеки 30 дни, а структурата Активна директориязапомня текущата и предишната парола. Ако беше възстановен резервно копиекомпютър от много отдавна остаряла парола, компютърът няма да може да се удостовери.
Тайна LSAкомпютърът не се е синхронизирал с парола, известна на домейна от дълго време. Тези. компютърът не е забравил паролата - просто тази парола не съответства на истинската парола в домейна. В този случай компютърът не може да бъде удостоверен и защитен канал няма да бъде създаден.

Основните функции възможни проблемикомпютърен акаунт:

Съобщенията за влизане в домейн показват, че компютърът не е успял да комуникира с домейн контролера, компютърният акаунт липсва, грешна паролакомпютърен акаунт или доверието (сигурната връзка) между компютъра и домейна е загубено.
Съобщения или събития в регистъра на събитията, които показват подобни грешки или предполагат проблеми с пароли, доверителни взаимоотношения, защитени канали или комуникации с домейна или домейн контролера. Една такава грешка е Authentication Failure с код на грешка 3210 в регистъра на събитията на компютъра.
Няма компютърен акаунт в Active Directory.

Как да се лекува?

Трябва да преинсталирате компютърния си акаунт. Има препоръки онлайн за такава преинсталация: премахнете компютъра от домейна и след това се присъединете отново към него. Да, работи, но тази опцияНе се препоръчва да правите това, тъй като SID идентификаторът и членството в работната група на компютъра се губят.

Следователно е необходимо да се направи това :

Отворете конзолната добавка на Active Directory, изберете Потребители и компютри, щракнете с десния бутон върху компютърния обект и използвайте командата Нулиране на акаунта. След това компютърът трябва да се присъедини отново към домейна и да се рестартира.

Използване на акаунт, свързан с местна група"Администратори":

netdom reset Machine_name /domain Domain_name /Usero User_name /Passwordo (Парола | *)

На компютър, където доверието е загубено:

nltest /server:Име_на_сървър /sc_reset:DOMAIN\Domain_controller

Когато се опитам да вляза в потребителски акаунт на домейн, компютърът показва „Не може да се установи доверителна връзка между тази работна станция и основния домейн“ и няма опции. Добре е, ако това се случи на един компютър, но може да се случи на всички компютри в домейна едновременно! Това е атас!!!

Защо се случва това:

Преди да предоставите достъп на акаунт до домейн, трябва да проверите неговата автентичност. Всеки участник в сигурността трябва да има собствен акаунт и парола, а компютърният акаунт не е изключение. Когато присъедините компютър към Active Directory, за него се създава компютърен акаунт и се задава парола. Доверието на това ниво се гарантира от факта, че тази операция се извършва от администратор на домейн или друг потребител, който има изрични правомощия за това.

Впоследствие всеки път, когато компютърът влиза в домейна, той установява защитен канал с домейн контролера и му предоставя своите идентификационни данни. По този начин се установява доверителна връзка между компютъра и домейна и по-нататъшното взаимодействие се осъществява в съответствие с политиките за сигурност и правата за достъп, зададени от администратора.

Паролата за компютърен акаунт е валидна 30 дни и се променя автоматично след това. Важно е да разберете, че промяната на паролата се инициира от компютъра. Това е подобно на процеса на промяна на потребителска парола. След като установи, че текущата парола е изтекла, компютърът ще я замени следващия път, когато влезете в домейна. Следователно, дори ако не сте включвали компютъра няколко месеца, доверителната връзка в домейна ще остане и паролата ще бъде променена при първото влизане след дълга пауза.

Доверието е нарушено, когато компютър се опита да се удостовери в домейн с невалидна парола. Как може да стане това? Най-лесният начин е да върнете състоянието на компютъра, например, като използвате стандартна помощна програма за възстановяване на системата. Същият ефект може да се постигне при възстановяване от изображение, снимка (за виртуални машини) и др.

Има няколко начина за възстановяване на доверието, които можете да намерите на горния сайт. Направих го:

Помощна програма Netdom

Тази помощна програма е включена в Windows Server от изданието от 2008 г.; тя може да бъде инсталирана на потребителски компютри като част от пакета RSAT (Инструменти за отдалечено администриране на сървър). За да го използвате, влезте в целевата система локален администратори изпълнете командата:

netdom resetpwd/ сървър:DomainController /UserD:Administrator /PasswordD:Password

Нека да разгледаме опциите на командата:

сървър— името на който и да е домейн контролер
Потребител D- име на акаунт на администратор на домейн
Парола D- парола на администратор на домейн

Методът е доста бърз и ефективен, но има една уловка: по подразбиране помощната програма Netdom е достъпна само на сървъри с инсталирана роля на Active Directory Domain Services (AD DS). На клиентски машини той е достъпен като част от пакета за отдалечено администриране на инструменти за отдалечен сървър (RSAT).

Помощна програма Nltest (изглежда по-удобна, но не съм я пробвал)

Тази помощна програма присъства на всяка работна станция или сървър. Въпреки това, за разлика от Netdom, който изисква да въведете идентификационни данни, Nltest се изпълнява в контекста на потребителя, който го изпълнява. Съответно, ако влезете в компютъра си с локален акаунт и се опитате да изпълните команда, може да получите грешка при достъп.

Nltest/запитване - проверете защитена връзка с домейна;

Nltest /sc_reset: Вашият_домейн.net - нулиране на акаунта на компютъра в домейна;

Nltest /sc_change_pwd: Вашият_домейн.net - сменете паролата на вашия компютър.