В тази статия ще засегнем проблема с нарушаването на доверието между работна станция и домейн, който не позволява на потребителя да влиза в системата. Помислете за причината за проблема и прост начин да възстановите доверието на сигурен канал.
Как се проявява проблемът: потребителят се опитва да влезе в работната станция или сървъра под своя акаунт и след въвеждане на паролата се появява грешка:
Доверителната връзка между тази работна станция и основния домейн се провалиИли такива:
Нека се опитаме да разберем какво означават тези грешки и как да ги поправим..
Съдържание:
- Парола на компютъра в домейна AD
- Netdom полезност
- Reset-ComputerMachinePassword Cmdlet
Парола на компютъра в домейна AD
Когато компютърът бъде въведен в домейн на Active Directory, за него се създава отделен компютърен акаунт с парола. На това ниво доверието се осигурява от факта, че тази операция се извършва от администратора на домейна или потребителя на домейна (всеки потребител може да включва 10 компютъра в домейна по подразбиране).
Когато компютърът е регистриран в домейн, между него и контролера на домейна се създава защитен канал, чрез който се предават идентификационни данни и се осъществява по-нататъшно взаимодействие в съответствие с политиките за сигурност, установени от администратора.
Паролата по подразбиране за вашия компютърен акаунт е 30 дни, след което тя автоматично се променя. Промяната на паролата се инициира от самия компютър въз основа на политиките за домейна.
съвет. Максималният живот на паролата може да бъде конфигуриран с помощта на правилото. домейн член: максимален машина сметка парола възраст, който се намира в секцията: компютър configuration-> Windows Settings-> сигурност Settings-> местен Policies-> сигурност Опции. Паролата за компютъра може да бъде от 0 до 999 (по подразбиране 30 дни).
Ако паролата на компютъра е изтекла, тя автоматично се променя следващия път, когато се регистрирате в домейна. Следователно, ако не сте рестартирали компютъра в продължение на няколко месеца, отношенията на доверие между компютъра и домейна се запазват, а компютърната парола ще бъде променена следващия път, когато рестартирате..
Доверителните взаимоотношения се нарушават, ако компютърът се опита да удостовери домена с грешна парола. Това обикновено се случва, когато компютърът е възстановен от изображение или от моментна снимка на виртуална машина. В този случай паролата на машината, съхранявана локално, и паролата в домейна може да не съвпадат.
"Класическият" начин за възстановяване на доверието в този случай е:
- Нулиране на паролата за локален администратор
- Извадете компютъра от домейна и го включете в работната група
- Ще се рестартира
- Използване на добавка ADUC - нулиране на компютърното счетоводство в домейна (нулиране на акаунта)
- Повторно активиране на компютъра в домейна
- Рестартирайте отново
Този метод е най-простият, но твърде тромав и изисква поне две рестартирания и 10-30 минути време. Освен това може да имате проблеми с използването на стари местни потребителски профили..
Има по-елегантен начин да възстановите доверието, без да преминавате към домейна и без да рестартирате.
Netdom полезност
полезност Netdom включен в Windows Server от 2008 г. версия и може да бъде инсталиран на компютри на потребители от RSAT (Инструменти за отдалечено администриране на сървъра). За да възстановите доверието, трябва да влезете под локалния администратор (като напишете „. \ Administrator“ на екрана за вход) и да изпълните следната команда:
Netdom resetpwd / Сървър: DomainController / UserD: Администратор / PasswordD: Парола
- Сървър - име на всеки наличен контролер на домейн
- UserD - потребителско име с администратор на домейн или права за пълен контрол в OU с компютърен акаунт
- PasswordD - потребителска парола
Netdom resetpwd / Сървър: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd
След успешното изпълнение на командата не е необходимо рестартиране, просто излезте и влезте под акаунта на домейна.
Reset-ComputerMachinePassword Cmdlet
кратката команда Reset-ComputerMachinePassword се появи в PowerShell 3.0 и за разлика от помощната програма Netdom, тя вече е налична в системата, като се започне от Windows 8 / Windows Server 2012. В Windows 7, Server 2008 и Server 2008 R2 тя може да бъде инсталирана ръчно (http://www.microsoft.com /en-us/download/details.aspx?id=34595), също се изисква Net Framework 4.0 или по-нова версия.
Също така трябва да влезете под локалния администраторски акаунт, да отворите конзолата PowerShell и да изпълните командата:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin
- Сървър - име на контролер на домейн
- препоръчителен - потребителско име с права на администратор на домейн (или права на OU от компютър)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov
В прозореца за сигурност, който се отваря, трябва да посочите потребителската парола.
съвет. Можете да извършите същата операция с помощта на друг командлет на Powershell. Тест-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Проверителни corp \ aapetrov
За да проверите за сигурен канал между компютъра и DC, използвайте командата:
nltest /sc_verify:corp.adatum.com
Следващите редове потвърждават, че доверието е успешно възстановено:
Състояние на доверената DC връзка = 0 0x0 NERR_Успех
Състояние за проверка на доверието = 0 0x0 NERR_Успех
Както можете да видите, възстановяването на доверие в даден домейн е съвсем просто.
