W tym artykule poruszymy problem naruszenia zaufania między stacją roboczą a domeną, który uniemożliwia użytkownikowi zalogowanie się do systemu. Rozważ przyczynę problemu i prosty sposób przywrócenia zaufania w bezpiecznym kanale.
Jak objawia się problem: użytkownik próbuje zalogować się do stacji roboczej lub serwera na swoim koncie, a po wprowadzeniu hasła pojawia się błąd:
Relacja zaufania między tą stacją roboczą a domeną podstawową nie powiodła sięLub takie:
Spróbujmy dowiedzieć się, co oznaczają te błędy i jak je naprawić..
Treść
- Hasło komputera w domenie AD
- Narzędzie Netdom
- Polecenie cmdlet Reset-ComputerMachinePassword
Hasło komputera w domenie AD
Gdy komputer jest wprowadzany do domeny Active Directory, tworzone jest dla niego osobne konto komputera z hasłem. Na tym poziomie zaufanie zapewnia fakt, że operacja ta jest wykonywana przez administratora domeny lub użytkownika domeny (każdy użytkownik może domyślnie dołączyć 10 komputerów do domeny).
Gdy komputer jest zarejestrowany w domenie, ustanawia się bezpieczny kanał między nim a kontrolerem domeny, przez który przesyłane są poświadczenia, a dalsza interakcja odbywa się zgodnie z zasadami bezpieczeństwa ustanowionymi przez administratora.
Domyślne hasło do konta komputera to 30 dni, po czym automatycznie się zmienia. Zmiana hasła jest inicjowana przez sam komputer na podstawie zasad domeny.
Wskazówka. Maksymalny czas życia hasła można skonfigurować za pomocą zasad. Domena członek: Maksymalnie maszyna konto hasło wiek, który znajduje się w sekcji: Komputer Konfiguracja-> Windows Ustawienia-> Bezpieczeństwo Ustawienia-> Lokalny Zasady-> Bezpieczeństwo Opcje. Hasło komputera może wynosić od 0 do 999 (domyślnie 30 dni).
Jeśli hasło komputera wygasło, zmienia się ono automatycznie przy kolejnej rejestracji w domenie. Dlatego jeśli nie uruchomiłeś ponownie komputera przez kilka miesięcy, relacja zaufania między komputerem a domeną zostanie zapisana, a hasło komputera zostanie zmienione przy następnym uruchomieniu.
Relacje zaufania są przerywane, jeśli komputer próbuje uwierzytelnić się w domenie przy użyciu nieprawidłowego hasła. Zwykle dzieje się tak, gdy komputer jest przywracany z obrazu lub migawki maszyny wirtualnej. W takim przypadku hasło komputera przechowywane lokalnie i hasło w domenie mogą się nie zgadzać.
„Klasycznym” sposobem przywrócenia zaufania w tym przypadku jest:
- Zresetuj hasło administratora lokalnego
- Usuń komputer z domeny i dołącz go do grupy roboczej
- Uruchomi się ponownie
- Korzystanie z przystawki ADUC - zresetuj księgowanie komputera w domenie (Resetuj konto)
- Ponownie włącz komputer w domenie
- Uruchom ponownie
Ta metoda jest najprostsza, ale zbyt niezdarna i wymaga co najmniej dwóch ponownych rozruchów i 10-30 minut. Ponadto mogą wystąpić problemy z używaniem starych lokalnych profili użytkowników..
Istnieje bardziej elegancki sposób na przywrócenie zaufania bez przełączania się na domenę i bez ponownego uruchamiania.
Narzędzie Netdom
Utility Netdom dołączone do systemu Windows Server od wersji 2008 i mogą być instalowane na komputerach użytkowników z RSAT (narzędzia administracji zdalnej serwera). Aby przywrócić zaufanie, musisz zalogować się pod lokalnym administratorem (wpisując „. \ Administrator” na ekranie logowania) i uruchomić następującą komendę:
Netdom resetpwd / Server: DomainController / UserD: Administrator / PasswordD: Password
- Serwer - nazwa dowolnego dostępnego kontrolera domeny
- Userd - nazwa użytkownika z administratorem domeny lub pełne uprawnienia kontrolne w jednostce organizacyjnej z kontem komputera
- Hasło - hasło użytkownika
Netdom resetpwd / Server: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd
Po pomyślnym wykonaniu polecenia ponowne uruchomienie nie jest konieczne, wystarczy się wylogować i zalogować na koncie domeny.
Polecenie cmdlet Reset-ComputerMachinePassword
Cmdlet Reset-ComputerMachinePassword pojawił się w PowerShell 3.0 i, w przeciwieństwie do narzędzia Netdom, jest już dostępny w systemie począwszy od Windows 8 / Windows Server 2012. W Windows 7, Server 2008 i Server 2008 R2 można go zainstalować ręcznie (http://www.microsoft.com /en-us/download/details.aspx?id=34595), wymagany jest także Net Framework 4.0 lub nowszy.
Musisz także zalogować się na koncie administratora lokalnego, otworzyć konsolę PowerShell i uruchomić polecenie:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin
- Serwer - nazwa kontrolera domeny
- Poświadczenie - nazwa użytkownika z uprawnieniami administratora domeny (lub uprawnieniami do jednostki organizacyjnej z komputera)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov
W oknie zabezpieczeń, które zostanie otwarte, musisz podać hasło użytkownika.
Wskazówka. Tę samą operację można wykonać przy użyciu innego polecenia cmdlet Powershell. Test-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Credential corp \ aapetrov
Aby sprawdzić bezpieczny kanał między komputerem a DC, użyj polecenia:
nltest /sc_verify:corp.adatum.com
Następujące wiersze potwierdzają, że zaufanie zostało pomyślnie przywrócone:
Status zaufanego połączenia DC Status = 0 0x0 NERR_Success
Status weryfikacji zaufania = 0 0x0 NERR_Success
Jak widać, przywrócenie zaufania do domeny jest dość proste.
