Възстановете доверието без да влизате отново в домейна

В тази статия ще засегнем проблема с нарушаването на доверието между работна станция и домейн, който не позволява на потребителя да влиза в системата. Помислете за причината за проблема и прост начин да възстановите доверието на сигурен канал.

Как се проявява проблемът: потребителят се опитва да влезе в работната станция или сървъра под своя акаунт и след въвеждане на паролата се появява грешка:

Доверителната връзка между тази работна станция и основния домейн се провали

Или такива:

Базата данни за сигурност на сървъра няма компютърен акаунт за това доверително отношение на работната станция Базата данни на мениджъра на акаунти на сървъра не съдържа запис за регистриране на компютъра чрез доверително отношение с тази работна станция

Нека се опитаме да разберем какво означават тези грешки и как да ги поправим..

Съдържание:

  • Парола на компютъра в домейна AD
  •  Netdom полезност
  • Reset-ComputerMachinePassword Cmdlet

Парола на компютъра в домейна AD

Когато компютърът бъде въведен в домейн на Active Directory, за него се създава отделен компютърен акаунт с парола. На това ниво доверието се осигурява от факта, че тази операция се извършва от администратора на домейна или потребителя на домейна (всеки потребител може да включва 10 компютъра в домейна по подразбиране).

Когато компютърът е регистриран в домейн, между него и контролера на домейна се създава защитен канал, чрез който се предават идентификационни данни и се осъществява по-нататъшно взаимодействие в съответствие с политиките за сигурност, установени от администратора.

Паролата по подразбиране за вашия компютърен акаунт е 30 дни, след което тя автоматично се променя. Промяната на паролата се инициира от самия компютър въз основа на политиките за домейна.

съвет. Максималният живот на паролата може да бъде конфигуриран с помощта на правилото. домейн член: максимален машина сметка парола възраст, който се намира в секцията: компютър configuration-> Windows Settings-> сигурност Settings-> местен Policies-> сигурност Опции.  Паролата за компютъра може да бъде от 0 до 999 (по подразбиране 30 дни).

Ако паролата на компютъра е изтекла, тя автоматично се променя следващия път, когато се регистрирате в домейна. Следователно, ако не сте рестартирали компютъра в продължение на няколко месеца, отношенията на доверие между компютъра и домейна се запазват, а компютърната парола ще бъде променена следващия път, когато рестартирате..

Доверителните взаимоотношения се нарушават, ако компютърът се опита да удостовери домена с грешна парола. Това обикновено се случва, когато компютърът е възстановен от изображение или от моментна снимка на виртуална машина. В този случай паролата на машината, съхранявана локално, и паролата в домейна може да не съвпадат.

"Класическият" начин за възстановяване на доверието в този случай е:

  1. Нулиране на паролата за локален администратор
  2. Извадете компютъра от домейна и го включете в работната група
  3. Ще се рестартира
  4. Използване на добавка ADUC - нулиране на компютърното счетоводство в домейна (нулиране на акаунта)
  5. Повторно активиране на компютъра в домейна
  6. Рестартирайте отново

Този метод е най-простият, но твърде тромав и изисква поне две рестартирания и 10-30 минути време. Освен това може да имате проблеми с използването на стари местни потребителски профили..

Има по-елегантен начин да възстановите доверието, без да преминавате към домейна и без да рестартирате.

 Netdom полезност

полезност Netdom  включен в Windows Server от 2008 г. версия и може да бъде инсталиран на компютри на потребители от RSAT (Инструменти за отдалечено администриране на сървъра). За да възстановите доверието, трябва да влезете под локалния администратор (като напишете „. \ Administrator“ на екрана за вход) и да изпълните следната команда:

Netdom resetpwd / Сървър: DomainController / UserD: Администратор / PasswordD: Парола

  • Сървър - име на всеки наличен контролер на домейн
  • UserD - потребителско име с администратор на домейн или права за пълен контрол в OU с компютърен акаунт
  • PasswordD - потребителска парола

Netdom resetpwd / Сървър: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd

След успешното изпълнение на командата не е необходимо рестартиране, просто излезте и влезте под акаунта на домейна.

Reset-ComputerMachinePassword Cmdlet

кратката команда Reset-ComputerMachinePassword се появи в PowerShell 3.0 и за разлика от помощната програма Netdom, тя вече е налична в системата, като се започне от Windows 8 / Windows Server 2012. В Windows 7, Server 2008 и Server 2008 R2 тя може да бъде инсталирана ръчно (http://www.microsoft.com /en-us/download/details.aspx?id=34595), също се изисква Net Framework 4.0 или по-нова версия.

Също така трябва да влезете под локалния администраторски акаунт, да отворите конзолата PowerShell и да изпълните командата:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin

  • Сървър - име на контролер на домейн
  • препоръчителен - потребителско име с права на администратор на домейн (или права на OU от компютър)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov

В прозореца за сигурност, който се отваря, трябва да посочите потребителската парола.

съвет. Можете да извършите същата операция с помощта на друг командлет на Powershell. Тест-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Проверителни corp \ aapetrov

За да проверите за сигурен канал между компютъра и DC, използвайте командата:

nltest /sc_verify:corp.adatum.com

Следващите редове потвърждават, че доверието е успешно възстановено:

Състояние на доверената DC връзка = 0 0x0 NERR_Успех

Състояние за проверка на доверието = 0 0x0 NERR_Успех

Както можете да видите, възстановяването на доверие в даден домейн е съвсем просто.