Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Установка доверительных отношений между доменами

Восстановление доверительных отношений в домене

Рано или поздно, но администраторам доменной сети на базе продуктов Microsoft приходится сталкиваться с двумя похожими ошибками: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией». Помимо данных сообщений также наблюдается невозможность зайти в компьютер под доменными учетными записями.

Разберем причины появления ошибок и методы их лечения.

В доменных сетях Windows всем компьютерам и учетным записям пользователей присваиваются свои идентификаторы безопасности (SID). В сущности, можно сказать, что каждый компьютер в домене также обладает своей учетной записью типа «компьютер». По аналогии с учетной записью пользователя, такая учетная запись тоже будет иметь пароль. Данный пароль создается и предъявляется компьютером контроллеру домена автоматически. Таким образом между рабочими станциями и контроллером домена и формируются те доверительные отношения, о которых упоминается в тексте ошибок.

Каждые 30 дней или при первом включении после длительного перерыва компьютер автоматически изменяет свой пароль. В теории всё красиво, и машина вроде бы не может ошибиться и «ввести» неправильный пароль. Однако иногда такое происходит по нескольким причинам.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Самой распространенной причиной является откат операционной системы Windows на более ранее состояние. Естественно, чем раньше была создана точка восстановления, тем больше вероятность появления ошибки. В данном случае после восстановления компьютер примется предъявлять контроллеру домена устаревший пароль, а контроллер уже содержит новый.

Ошибка может возникнуть и в случае нахождения в домене двух станций с одинаковыми именами. Такая ситуация может возникнуть, например, если дать новому компьютеру имя выведенной из эксплуатации машины, а затем снова включить старый компьютер, забыв его переименовать.

С возможными причинами разобрались. Теперь о решении проблемы. Способов несколько, но все они так или иначе заключаются в переустановке учетной записи компьютера или сбросе его пароля.

Первый способ заключается в переустановке учетной записи в Active Directory.

После этого необходимо зайти на компьютер под локальным администратором и вывести рабочую станцию из домена в рабочую группу (компьютер → свойства → дополнительные параметры системы → имя компьютера → изменить).

Далее компьютер снова необходимо ввести в домен и перезагрузить. После этого уже можно заходить доменным пользователем.

Вторым способом является сброс пароля через Windows PowerShell. Оговоримся однако, что нам потребуется PowerShell версии 3.0 и выше. Также заходим на компьютер локальным администратором и вводим следующий командлет:

В данном случае -Server это имя контроллера домена, а -Credential это учетная запись администратора домена.

Командлет не выведет никаких сообщений в случае своего успешного завершения. Данный способ привлекателен тем, что перезагрузка не требуется — достаточно сменить пользователя и войти в машину под доменной учетной записью.

Третий способ сброса пароля компьютера заключается в использовании утилиты Netdom, которая появилась в серверных ОС Microsoft начиная с Windows Server 2008. В клиентских операционных системах её можно добавить с помощью пакета RSAT (Средства удаленного администрирования сервера).

Как и в предыдущих способах, этот тоже выполняется из-под локального администратора. Введите в командной строке:

Принцип схож с тем, что мы видели в примере с PowerShell. /Server это контроллер домена, /UserD — учетная запись администратора домена, /PasswordD — пароль от учетной записи администратора домена. Вы также можете использовать параметр /SecurePasswordPrompt , чтобы скрыть пароль за звездочками. Перезагрузка также не требуется.

Способ четвертый и последний в нашей статье заключается в использовании утилиты Nltest, которая по умолчанию есть на любой рабочей станции.

Запустим утилиту в командной строке и для начала проверим безопасное соединение с доменом:

Затем сбросим учетную запись компьютера в домене:

И, наконец, сбросим пароль компьютера:

К сожалению, у такой прекрасной утилиты есть свои минусы. В первую очередь, утилита не спрашивает логин/пароль администратора домена и, соответственно, исполняется из-под запустившего его пользователя, что может привести к ошибке доступа.

Есть и еще одна ошибка, связанная с доверительными отношениями внутри домена и вынесенная в начало этой статьи. Выглядит она следующим образом:

В данном случае нам опять же поможет утилита Nltest. Снова проверяем безопасное соединение с доменом:

Если появится сообщение об ошибке, то для исправления ошибки достаточно установить этот патч. Если же статус подключения будет NERR_Success, то выполняем следующие действия:

Во втором случае мы явно указываем контроллер домена, с которым хотим установить доверительные отношения.

Утилита порадует нас сообщением о том, что безопасный канал был сброшен и новое соединение установлено.

Итак, вот несколько способов восстановить доверительные отношения в домене. Надеюсь, что применять их вам придется как можно реже. 🙂

Описание Active Directory

Оснастка Active Directory Domains and Trusts

В оснастке Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory ) вы можете просматривать, создавать, модифицировать и проверять доверительные отношения для вашего леса. Доверительные отношения позволяют пользователям одного домена аутентифицироваться в доверяющем домене. Если пользовательская учетная запись может быть аутентифицирована, то вы можете предоставлять доступ к ресурсам этого доверяющего домена.

Ниже приводится список различных типов доверительных отношений в Windows Server 2003.

  • Domain root trust (Доверительные отношения между корнями доменов).Доверительные отношения между корнями двух различных доменов одного леса. На рис. 10.5 показан этот тип доверительных отношений между двумя деревьями: company.dom и domain2.dom.
  • Parent-child trust (Доверительные отношения между родительским и дочерним доменами).Отношения в рамках одного пространства доменных имен. На рис. 10.5 имеется домен sales под корнем company.dom. Их доверительные отношения — это отношения между родительским и дочерним доменами. В лесу Active Directory доверительные отношения являются двусторонними и транзитивными. Транзитивность на рис. 10.5 означает, что для доступа к ресурсам домена finance.company.dom из домена sales.company.dom не требуется специально конфигурировать соответствующие доверительные отношения, поскольку оба этих домена являются дочерними доменами родительского домена company.com. Доверительные отношения между finance.company.dom и sales.company.dom определяются как путь доверия через все домены в одном дереве доменов.
Читать еще:  Подключение к домену

  • Shortcut trust (Сокращенные доверительные отношения).Для транзитивности доверительных отношений в домене и лесу соответствующее доверительное отношение должно проверяться через все дерево доменов. Вы можете создавать доверительное отношение, которое позволяет снизить количество времени, требующееся для проверки пути доверия. Создавая вручную доверительное отношение в оснастке Active Directory Domains and Trusts, вы действительно сокращаете время, которое требуется для аутентификации доступа к ресурсам.
  • Forest trust (Доверительные отношения между лесами).Новый вид доверительных отношений, появившийся в Windows Server 2003; это позволяет одному лесу тран-зитивно доверять всем доменам другого леса. Например, предположим, у нас имеется домен company.dom из предыдущего примера и внутри этого домена имеется дочерний домен sales.company.dom. Если сконфигурировать доверительные отношения на уровне лесов с другим лесом, external.dom, то sales.company.dom получает транзитивные доверительные отношения через корень своего леса с другим доверяемым лесом. Вы можете конфигурировать эти доверительные отношения как транзитивные двусторонние или односторонние отношения.
  • Realm trust (Доверительные отношения с областью действия).Добавляя доверительные отношения с областью действия Kerberos, вы можете устанавливать такие доверительные отношения с областями, отличными от Windows Kerberos version Как и в случае других внешних доверительных отношений, это могут быть транзитивные или нетранзитивные двусторонние или односторонние отношения.

В следующем примере происходит добавление доверительного отношения к существующему домену.

Установка доверительных отношений между доменами

Доверительные отношения между лесами Active Directory (forest trusts), настройка маршрутизации суффиксов UPN (Name Suffix Routing)

Подготовка:

Эта лабораторная выполняется в паре. Выберите себе партнера из числа других слушателей и выполняйте лабораторную, получая от него необходимую информацию (например, о имени его домена) и согласовывайте с ним свои действия. В этой лабораторной домен, который вы создали, будет называться ваш_домен, а домен, с которым вы будете устанавливать доверительные отношения — домен_партнера.

Задание:

установите доверительные отношения между лесом, в который входит ваш домен, и лесом, в который входит домен вашего партнера, и настройте Name Suffix Routing таким образом, чтобы разрешить маршрутизацию всех суффиксов UPN между лесами. Убедитесь, что вы имеете возможность назначать на вашем компьютере разрешения для пользователей из чужого домена

Решение:

1. Откройте консоль Active Directory Domains and Trusts, выберите узел вашего домена и в контекстном меню выберите Properties. Перейдите на вкладку Trusts и нажмите на кнопку New Trust. В окне Welcome to the New Trust Wizard нажмите на кнопку Help, в окне справки раскройте узел Active Directory Domains and Trusts и прочитайте справку Checklist: Creating a forest trust.

2. Откройте консоль сервера DNS, откройте свойства зоны для своего домена, перейдите на вкладку Zone Transfers и установите флажок Allow Zone Transfers, в переключатель — в положение To Any Server. Нажмите OK, чтобы закрыть окно свойств своей зоны.

3. В консоли сервера DNS щелкните правой кнопкой мыши по узлу Forward Lookup Zones, в контекстном меню выберите New Zone, на экране Zone Type мастера New Zone Wizard выберите Secondary Zone и нажмите Next. На экране Zone Name введите имя домена вашего партнера и нажмите на кнопку Next. На экране Master DNS Server введите IP-адрес компьютера вашего партнера, нажмите на кнопку Add, а затем нажмите на кнопку Finish.

4. Раскройте узел созданной вами зоны и убедитесь, что в ней появились записи, скопированные с компьютера вашего партнера. Если возникла ошибка, убедитесь, что партнер завершил п. 2 этой лабораторной, а затем в контекстном меню для созданной secondary зоны выберите Transfer from Master.

5. Вернитесь в консоль Active Directory Domains and Trusts, нажмите на кнопку Next в окне New Wizard Trust, и на экране Trust Name введите имя леса, с которым вы устанавливаете доверительные отношения (например, domain2.ru). Нажмите на кнопку Next.

6. На экране Trust Type установите переключатель в положение Forest Trust и нажмите Next.

7. На экране Direction of Trust установите переключатель в положение Two-way.

8. На экране Sides of Trust установите переключатель в положение This domain only.

9. На экране Outgoing Trust Authentification Level установите переключатель в положение Forest-wide authentification.

10. На экране Trust Password введите два раза пароль P@ssw0rd. Нажмите два раза на кнопку Next.

11. На экранах Confirm Outgoing Trust и Confirm Incoming Trust установите переключатель в положение No и нажмите Next, а затем — Finish.

12. На вкладке Trusts в окне вашего домена выберите в нажнем списке (Incoming trusts) созданный вами траст и нажмите на кнопку Properties.

Читать еще:  Word 2003 альбомная ориентация

Примечание. При проверке трастовых отношений и других операция с трастами вполне допускается пауза до нескольких минут.

13. На вкладке General свойств траста нажмите на кнопку Validate. В ответ на приглашение ввести имя пользователя для проверки входящего (incoming) траста введите имя пользователя из домена партнера в формате имя_домена_партнераимя_пользователя, например Domain2Administrator и его пароль (скорее всего, такой же, как и у вас).

14. В ответ на приглашение обновить информацию о маршрутизации суффиксов UPN нажмите No, перейдите на вкладку Name Suffix Routing, выделите строку с суффиксом, напротив которой стоит Disable, и про помощи кнопки Enable включите маршрутизацию этого суффикса.

15. Создайте на диске C: новый каталог, откройте его свойства и перейдите на вкладку Secuirty. На вкладке Security в списке Locations выберите лес вашего партнера, в списке Enter the object names to select введите имя пользователя из чужого домена (например, Domain2Administrator или user_domain2@mail_domain2.ru) и нажмите на кнопку CheckName, чтобы проверить существование этого пользователя. Нажмите на кнопку OK, чтобы вернуться на вкладку Security. Убедитесь, что этот пользователь появился в списке Group or User Names и ему можно предоставить разрешения.

Примечание

Если в при поиске пользователя возникнет ошибка, нажмите на кнопку Advanced и проведите поиск по чужому лесу (нажав на кнопку Find Now). Если возникнет ошибка, связанная с расхождением часов двух компьютеров, то выполните в командной строке команду Net time \IP_адрес /Set, где IP-адрес — это IP-адрес вашего партнера, например:

net time \192.168.5.201 /set

Эта команда синхронизирует часы ваших компьютеров.

Header Menu

Восстанавливаем доверие в домене

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай. Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Или сбросить учетную запись компьютера:

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Способ третий

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

проверить безопасное соединение с доменом;

сбросить учетную запись компьютера в домене;

изменить пароль компьютера.

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ четвертый

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

где SRV1 — контролер домена (указывать не обязательно).

Для сброса пароля также можно также воспользоваться такой командой:

Читать еще:  Контроллер домена это

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.

Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к ее решению с другой стороны.

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом:

Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options. Нас интересуют следующие параметры:

Disable machine account password change — отключает на локальной машине запрос на изменение пароля;

Maximum machine account password age — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

Refuse machine account password changes — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделеHKLMSYSTEMCurrentControlSetServicesNetlogonParameters есть два параметра :

DisablePasswordChange — если равен 1, то запрос на обновление пароля компьютера отключен, 0 — включен.

MaximumPasswordAge — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней .

И в разделе HKLMSYSTEMCurrentControlSetServicesNetlogonParameters, только у контролеров домена, параметр:

RefusePasswordChange — если равен 1, то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

Вот вроде и все про доверительные отношения. Как видите, доверие в домене — штука тонкая, так что старайтесь его не терять.

Командная строка Windows

Отношения доверия между доменами

Транзитивные отношения доверия

В Windows Server 2008 R2 домены AD DS могут соединяться друг с другом за счет при­менения так называемых доверительных отношений или отношений доверия (trust). Эти отношения доверия, по сути, представляют собой такой механизм, который позволяет ре­сурсам в одном домене быть доступными для санкционированных пользователей из друго­го домена. Отношения доверия в AD бывают многих видов, но, как правило, относятся к одной из четырех описываемых далее категорий.

Транзитивными отношениями доверия (transitive trust) называются двусторонние отно­шения, которые устанавливаются автоматически между доменами в одном и том же лесе AD DS. Такие отношения доверия соединяют ресурсы между доменами в AD DS и отличают­ся от явных отношений доверия тем, что перетекают из одного домена в другой. Другими словами, если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверя­ет домену С. Такое перетекание существенно упрощает доверительные отношения между доменами Windows, поскольку устраняет необходимость в создании множества отношений между каждой парой доменов.

Явные отношения доверия

Явными отношениями доверия (explicit trust) называются такие отношения, которые устанавливается между доменами вручную для обеспечения конкретного пути совместной аутентификации между доменами. Доверительные отношения такого типа могут быть как односторонними, так и двусторонними, в зависимости от потребностей конкретной сре­ды. Другими словами, все доверительные отношения в старой среде Windows NT 4.0 могли бы называться явными отношениями доверия, поскольку все они создавались вручную и не допускали перетекания полномочий так, как его допускают транзитивные отношения дове­рия. Применение явных отношений доверия в AD DS позволяет разработчикам иметь боль­шую гибкость и устанавливать доверительные отношения с внешними доменами и домена­ми более низкого уровня. Все доверительные отношения между доменами AD DS и другими доменами в лесе, функциональный уровень которых ниже Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2, являются явными.

Сокращенные отношения доверия

Сокращенными отношениями доверия (shortcut trust) называют явные доверительные отношения, которые образуют более короткий путь между двумя любыми доменами в до­менной структуре.

  • Структура для доменов::

Выбор структуры для доменов При проектировании структуры доменов в AD DS достаточно следовать.

Технология AD DS для проектирования доменовТехнология AD DS с годами постоянно совершенствовалась.

Проектирование структуры AD DSПервым шагом в процессе проектировании структуры AD DS является.

  • Улучшения в Windows Server 2008 R2 AD DS::

Контроллеры домена с доступом только для чтенияAD DS в Windows Server 2008 R2 также поддерживает.

Вспомогательные службы Active DirectoryНекоторые из этих технологий ранее предлагались в виде.

Аудит изменений вносимых в объекты Active DirectoryВажной новой функцией в Active Directory.

© 2020 Командная строка Windows
Joomla! is Free Software released under the GNU General Public License.
Mobile version by Mobile Joomla!

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector