Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Доверительные отношения между доменами

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Восстанавливаем доверительные отношения в домене

Восстанавливаем доверительные отношения в домене

  • Автор: Уваров А.С.
  • 28.02.2015

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Читать еще:  Win 10 в домен

Доверительные отношения между доменами

Доверительные отношения между лесами Active Directory (forest trusts), настройка маршрутизации суффиксов UPN (Name Suffix Routing)

Подготовка:

Эта лабораторная выполняется в паре. Выберите себе партнера из числа других слушателей и выполняйте лабораторную, получая от него необходимую информацию (например, о имени его домена) и согласовывайте с ним свои действия. В этой лабораторной домен, который вы создали, будет называться ваш_домен, а домен, с которым вы будете устанавливать доверительные отношения — домен_партнера.

Задание:

установите доверительные отношения между лесом, в который входит ваш домен, и лесом, в который входит домен вашего партнера, и настройте Name Suffix Routing таким образом, чтобы разрешить маршрутизацию всех суффиксов UPN между лесами. Убедитесь, что вы имеете возможность назначать на вашем компьютере разрешения для пользователей из чужого домена

Решение:

1. Откройте консоль Active Directory Domains and Trusts, выберите узел вашего домена и в контекстном меню выберите Properties. Перейдите на вкладку Trusts и нажмите на кнопку New Trust. В окне Welcome to the New Trust Wizard нажмите на кнопку Help, в окне справки раскройте узел Active Directory Domains and Trusts и прочитайте справку Checklist: Creating a forest trust.

2. Откройте консоль сервера DNS, откройте свойства зоны для своего домена, перейдите на вкладку Zone Transfers и установите флажок Allow Zone Transfers, в переключатель — в положение To Any Server. Нажмите OK, чтобы закрыть окно свойств своей зоны.

3. В консоли сервера DNS щелкните правой кнопкой мыши по узлу Forward Lookup Zones, в контекстном меню выберите New Zone, на экране Zone Type мастера New Zone Wizard выберите Secondary Zone и нажмите Next. На экране Zone Name введите имя домена вашего партнера и нажмите на кнопку Next. На экране Master DNS Server введите IP-адрес компьютера вашего партнера, нажмите на кнопку Add, а затем нажмите на кнопку Finish.

4. Раскройте узел созданной вами зоны и убедитесь, что в ней появились записи, скопированные с компьютера вашего партнера. Если возникла ошибка, убедитесь, что партнер завершил п. 2 этой лабораторной, а затем в контекстном меню для созданной secondary зоны выберите Transfer from Master.

5. Вернитесь в консоль Active Directory Domains and Trusts, нажмите на кнопку Next в окне New Wizard Trust, и на экране Trust Name введите имя леса, с которым вы устанавливаете доверительные отношения (например, domain2.ru). Нажмите на кнопку Next.

6. На экране Trust Type установите переключатель в положение Forest Trust и нажмите Next.

7. На экране Direction of Trust установите переключатель в положение Two-way.

8. На экране Sides of Trust установите переключатель в положение This domain only.

9. На экране Outgoing Trust Authentification Level установите переключатель в положение Forest-wide authentification.

10. На экране Trust Password введите два раза пароль P@ssw0rd. Нажмите два раза на кнопку Next.

11. На экранах Confirm Outgoing Trust и Confirm Incoming Trust установите переключатель в положение No и нажмите Next, а затем — Finish.

12. На вкладке Trusts в окне вашего домена выберите в нажнем списке (Incoming trusts) созданный вами траст и нажмите на кнопку Properties.

Примечание. При проверке трастовых отношений и других операция с трастами вполне допускается пауза до нескольких минут.

13. На вкладке General свойств траста нажмите на кнопку Validate. В ответ на приглашение ввести имя пользователя для проверки входящего (incoming) траста введите имя пользователя из домена партнера в формате имя_домена_партнераимя_пользователя, например Domain2Administrator и его пароль (скорее всего, такой же, как и у вас).

14. В ответ на приглашение обновить информацию о маршрутизации суффиксов UPN нажмите No, перейдите на вкладку Name Suffix Routing, выделите строку с суффиксом, напротив которой стоит Disable, и про помощи кнопки Enable включите маршрутизацию этого суффикса.

15. Создайте на диске C: новый каталог, откройте его свойства и перейдите на вкладку Secuirty. На вкладке Security в списке Locations выберите лес вашего партнера, в списке Enter the object names to select введите имя пользователя из чужого домена (например, Domain2Administrator или user_domain2@mail_domain2.ru) и нажмите на кнопку CheckName, чтобы проверить существование этого пользователя. Нажмите на кнопку OK, чтобы вернуться на вкладку Security. Убедитесь, что этот пользователь появился в списке Group or User Names и ему можно предоставить разрешения.

Примечание

Если в при поиске пользователя возникнет ошибка, нажмите на кнопку Advanced и проведите поиск по чужому лесу (нажав на кнопку Find Now). Если возникнет ошибка, связанная с расхождением часов двух компьютеров, то выполните в командной строке команду Net time \IP_адрес /Set, где IP-адрес — это IP-адрес вашего партнера, например:

net time \192.168.5.201 /set

Эта команда синхронизирует часы ваших компьютеров.

Доверительные отношения доменов — права администратора в другом домене

Итак, затронем тему доверительных отношений доменов Active Directory и покопаемся в теме — как для администратора одного домена дать права доменного админа другого домена.

Имеем:

  • Домен 1 (Domain1).
  • Домен 2 (Domain2).
  • Настроенные транзитивные доверительные отношения между этими двумя доменами.

Наша задача — будучи администраторами в одном домене (Domain1) получить права доменных администраторов во втором домене (Domain2). Таким образом, работая на компьютере, находящимся в домене Domain1, под учеткой домена Domain1, Вы сможете рулить серверами и компьютерами домена Domain2, заходить на их административную шару, получать безоговорочный доступ по RDP как администратор и автоматически иметь права локального администратора машинок из домена Domain2. Причем не имея учетки в Domain2.

Читать еще:  Bginfo в домене

Таким образом, если Вы являетесь администратором некоего холдинга с несколькими доменами (в начальном случае — двух доменов) Вы сможете ходить на компьютеры других доменов и рулить ими так же, как и компьютерами собственного домена.

1) Создадим в Domain1 группу безопасности, в которую включим все учетные записи, которые следует считать доменными администраторами в Domain2. Назовем ее «Администраторы из Domain1».

Как частный случай: если мы хотим, чтобы все доменные администраторы Domain1 имели права доменных администраторов в Domain2: создаем группу «Администраторы из Domain1» и включаем в нее группу «Domain admins» (или «Администраторы домена», если домен создан на русском языке).

2) Даем группе «Domain1Администраторы из Domain1» права в Domain2.

Для этого открываем оснастку «Active Directory Пользователи и компьютеры» на контроллере домена Domain2, переходим в раздел «Builtin» и находим группу «Administrator» (Администраторы). Открываем ее и добавляем в нее группу «Domain1Администраторы из Domain1». Таким образом мы говорим контроллерами домена Domain2 о том, что наши перцы из Domain1 являются администраторами.

ЗЫ. Добавить группу «Domain1Администраторы из Domain1» сразу в группу «Domain2Domain admins» (Domain2Администраторы домена) НЕЛЬЗЯ! Потому и танцуем с бубном.

3) В домене Domain2 создаем группу безопасности (локальную, не глобальную), в которую включим группу «Domain1Администраторы из Domain1». Назовем ее «Администраторы Domain2».

В будущем, кстати, если нужно давать права на управление сразу из нескольких доменов, то достаточно будет изменить только эту группу — и автоматически все случится.

Помимо группы «Domain1Администраторы из Domain1» в данную созданную группу можно так-же внести и свою собственную «Domain2Domain admins» (или «Domain2Администраторы домена» в русской версии).

4) Создаем групповую политику

Дело в том, что мало прописать группу «Domain1Администраторы из Domain1» в «BuiltinАдминистраторы» — это даст только права на самих контроллерах домена. Нужно еще объяснить обычным компам и серверам, что мы хотим их админить.

Чтобы замутить такое — нужно открыть редактор групповых политик домена Domain2 и создать новую политику. Расположим ее в домене Domain2 и в качестве фильтра оставим по-умолчанию «Прошедшие проверку» — тогда политика будет распространяться на все компьютеры и сервера в домене Domain2.

4а) Открываем редактор групповых политик Domain2 (как именно он открывается зависит от версии Windows Server — для 2008 — это Пуск->Администрирование->Управление групповой политикой; для 2003 — это отдельное, скачиваемое с Microsoft приложение с названием вроде «Group Policy Editor» или типа того, уже не помню).
4б) Создаем новую политику и размещаем в контейнере Domain2.
4в) Открываем ее на редактирование и идем в:
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
4г) Создаем новый элемент, в котором указываем:
Действие: Обновить
Имя группы: Администраторы (втроенная учетная запись)
Жмете на «Добавить» и добавляем группу «Domain2Администраторы Domain2».

Закрываем все через ОК — и все, с групповой политикой мы закончили.

5) Теперь придется подождать — пока все компьютеры и серверы обновят групповую политику. После этого в их локальной политике безопасности появится запись о том, что группу «Domain2Администраторы Domain2» нужно считать локальными администраторами, а в данной группе находятся пользователи из группы «Domain1Администраторы из Domain1», и, соответственно, администраторы Domain1 получают административный доступ как к машинкам из домена Domain2, так и к управлению учетными записями Domain2.

ЗЫ. Но вот групповыми политиками у себя по данной схеме оно рулить не дает. Вероятно, но еще в какую-то Builtin группу включать по примеру п.2. Я пока не выяснял — мне оно не горит. Выясню — допишу.

Восстановление доверительных отношений в домене

Рано или поздно, но администраторам доменной сети на базе продуктов Microsoft приходится сталкиваться с двумя похожими ошибками: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией». Помимо данных сообщений также наблюдается невозможность зайти в компьютер под доменными учетными записями.

Разберем причины появления ошибок и методы их лечения.

В доменных сетях Windows всем компьютерам и учетным записям пользователей присваиваются свои идентификаторы безопасности (SID). В сущности, можно сказать, что каждый компьютер в домене также обладает своей учетной записью типа «компьютер». По аналогии с учетной записью пользователя, такая учетная запись тоже будет иметь пароль. Данный пароль создается и предъявляется компьютером контроллеру домена автоматически. Таким образом между рабочими станциями и контроллером домена и формируются те доверительные отношения, о которых упоминается в тексте ошибок.

Каждые 30 дней или при первом включении после длительного перерыва компьютер автоматически изменяет свой пароль. В теории всё красиво, и машина вроде бы не может ошибиться и «ввести» неправильный пароль. Однако иногда такое происходит по нескольким причинам.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Самой распространенной причиной является откат операционной системы Windows на более ранее состояние. Естественно, чем раньше была создана точка восстановления, тем больше вероятность появления ошибки. В данном случае после восстановления компьютер примется предъявлять контроллеру домена устаревший пароль, а контроллер уже содержит новый.

Ошибка может возникнуть и в случае нахождения в домене двух станций с одинаковыми именами. Такая ситуация может возникнуть, например, если дать новому компьютеру имя выведенной из эксплуатации машины, а затем снова включить старый компьютер, забыв его переименовать.

С возможными причинами разобрались. Теперь о решении проблемы. Способов несколько, но все они так или иначе заключаются в переустановке учетной записи компьютера или сбросе его пароля.

Читать еще:  Доменная политика паролей

Первый способ заключается в переустановке учетной записи в Active Directory.

После этого необходимо зайти на компьютер под локальным администратором и вывести рабочую станцию из домена в рабочую группу (компьютер → свойства → дополнительные параметры системы → имя компьютера → изменить).

Далее компьютер снова необходимо ввести в домен и перезагрузить. После этого уже можно заходить доменным пользователем.

Вторым способом является сброс пароля через Windows PowerShell. Оговоримся однако, что нам потребуется PowerShell версии 3.0 и выше. Также заходим на компьютер локальным администратором и вводим следующий командлет:

В данном случае -Server это имя контроллера домена, а -Credential это учетная запись администратора домена.

Командлет не выведет никаких сообщений в случае своего успешного завершения. Данный способ привлекателен тем, что перезагрузка не требуется — достаточно сменить пользователя и войти в машину под доменной учетной записью.

Третий способ сброса пароля компьютера заключается в использовании утилиты Netdom, которая появилась в серверных ОС Microsoft начиная с Windows Server 2008. В клиентских операционных системах её можно добавить с помощью пакета RSAT (Средства удаленного администрирования сервера).

Как и в предыдущих способах, этот тоже выполняется из-под локального администратора. Введите в командной строке:

Принцип схож с тем, что мы видели в примере с PowerShell. /Server это контроллер домена, /UserD — учетная запись администратора домена, /PasswordD — пароль от учетной записи администратора домена. Вы также можете использовать параметр /SecurePasswordPrompt , чтобы скрыть пароль за звездочками. Перезагрузка также не требуется.

Способ четвертый и последний в нашей статье заключается в использовании утилиты Nltest, которая по умолчанию есть на любой рабочей станции.

Запустим утилиту в командной строке и для начала проверим безопасное соединение с доменом:

Затем сбросим учетную запись компьютера в домене:

И, наконец, сбросим пароль компьютера:

К сожалению, у такой прекрасной утилиты есть свои минусы. В первую очередь, утилита не спрашивает логин/пароль администратора домена и, соответственно, исполняется из-под запустившего его пользователя, что может привести к ошибке доступа.

Есть и еще одна ошибка, связанная с доверительными отношениями внутри домена и вынесенная в начало этой статьи. Выглядит она следующим образом:

В данном случае нам опять же поможет утилита Nltest. Снова проверяем безопасное соединение с доменом:

Если появится сообщение об ошибке, то для исправления ошибки достаточно установить этот патч. Если же статус подключения будет NERR_Success, то выполняем следующие действия:

Во втором случае мы явно указываем контроллер домена, с которым хотим установить доверительные отношения.

Утилита порадует нас сообщением о том, что безопасный канал был сброшен и новое соединение установлено.

Итак, вот несколько способов восстановить доверительные отношения в домене. Надеюсь, что применять их вам придется как можно реже.

Ошибка «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

При попытке подключения к домену на своей рабочей станции пользователь может столкнуться с сообщением о невозможности установки доверительных отношений между такой станцией и доменом. Обычно это связано с несоответствием вариантов паролей, хранящихся на рабочей станции и домене, требуя вмешательства администратора для нормализации работы указанных сетевых компонентов.

Причины возникшей проблемы
При введении какого-либо ПК в домен «Active Directory» для такого ПК создаётся отдельная учётная запись со специализированным, хранящимся на данном домене, паролем. Затем между данным ПК и доменом устанавливаются «доверительные отношения». То есть безопасный запароленный канал, обмен данными в котором происходит в соответствии с настройками безопасности, установленными администратором домена. Пароль для такой рабочей станции на домене действует 30 дней, по истечению которых автоматически изменяется на основании настроек доменной политики. Если рабочая станция пытается подключиться к домену под неправильным паролем, то «доверительные отношения» между станцией и доменом разрываются, и пользователь получает сообщение о неудачной установке доверительных отношений на своём ПК. Классическими причинами появления такого неправильного пароля могут быть восстановление пользовательского PC из ранее созданного образа, снепшота виртуальной машины и другие релевантные факторы.

Как восстановить доверительные отношения между рабочей станцией и доменом
Рассмотрим несколько способов исправить проблему отсутствия доверительных отношений между рабочей станцией и доменом

Способ №1. Выход из домена с последующим входом
Наиболее простым способом решения проблемы «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» (рекомендуемым, в частности, компанией «Макрософт») является выход компьютера (или «рабочей станции») из домена, с его последующим подключением к данному домену. Выполните следующее:

  1. Войдите в систему (ОС Виндовс) под учёткой локального администратора;
  2. Наведите курсор на иконку «Мой компьютер» на рабочем столе, нажмите ПКМ, выберите «Свойства»;
  3. В открывшемся окне рядом с названием ПК нажмите на кнопку «Изменить» (Изменить параметры);
  4. Откроется окно, где на вкладке «Имя компьютера» нажмите внизу на кнопку «Изменить»;
  5. В опции «Является членом» (или «Член группы») выберите настройку «Рабочая группа», введите какое-либо название группы и нажмите на ОК;
  6. Если система запросит перезагрузку – вновь нажмите на «Ок»;
  7. После перезагрузки вновь зайдите на «Имя компьютера», вновь кликните на «Изменить», но теперь выберите опцию «Домена», наберите название вашего домена, и нажмите на «Ок»;
  8. Введите данные пользователя, авторизированного в указанном домене; Нажмите на «Ок», и перезагрузите ваш PC.

Способ №2. Задействуйте PowerShell
Ещё одним вариантом решить проблему доверительных отношений в домене является задействование функционала «PowerShell» в Windows 10. Выполните следующее:

  1. Войдите в учётку локального администратора на Windows 10;
  2. В строке поиска панели задач наберите PowerShell, сверху отобразится найденный результат;
  3. Запустите оболочку с правами администратора

  1. В открывшейся оболочке наберите команду:
Ссылка на основную публикацию
Adblock
detector