Ebben a cikkben a munkaállomás és a tartomány közötti bizalom megsértésének problémájával foglalkozunk, amely megakadályozza a felhasználót, hogy bejelentkezzen a rendszerbe. Fontolja meg a probléma okát és a bizalom biztonságos csatornán történő helyreállításának egyszerű módját.
Hogyan jelentkezik a probléma: a felhasználó megpróbál bejelentkezni a munkaállomásra vagy a kiszolgálóra a fiókja alatt, és a jelszó megadása után hibaüzenet jelenik meg:
A munkaállomás és az elsődleges tartomány közötti megbízhatósági kapcsolat meghiúsultVagy ilyen:
Próbáljuk kitalálni, mit jelentenek ezek a hibák, és hogyan javítsuk ki azokat..
Tartalom:
- A számítógép jelszava az AD tartományban
- Netdom Utility
- Reset-ComputerMachinePassword Cmdlet
A számítógép jelszava az AD tartományban
Amikor a számítógépet beírják az Active Directory tartományba, akkor külön számítógépes fiókot hoz létre jelszóval. Ezen a szinten a bizalmat az biztosítja, hogy ezt a műveletet a tartomány adminisztrátora vagy a tartományi felhasználó hajtja végre (alapértelmezés szerint minden felhasználó 10 számítógépet tartalmazhat a tartományban).
Amikor egy számítógépet regisztrálnak egy tartományban, biztonságos csatorna jön létre a tartomány és a tartományvezérlő között, amelyen keresztül hitelesítő adatokat továbbítanak, és a további interakcióra az adminisztrátor által létrehozott biztonsági politikákkal összhangban kerül sor..
A számítógépes fiók alapértelmezett jelszava 30 nap, amely után automatikusan megváltozik. A jelszó megváltoztatását maga a számítógép kezdeményezi a domain házirendek alapján.
tanács. A jelszó maximális élettartama az irányelv segítségével konfigurálható. domain tag: maximális gép számla jelszó kor, amely a következő részben található: számítógép Configuration> A windows Beállítások-> biztonság Beállítások-> helyi Policies-> biztonság Options. A számítógép jelszava 0 és 999 közötti lehet (alapértelmezés szerint 30 nap)..
Ha a számítógép jelszava lejárt, akkor automatikusan megváltozik, amikor legközelebb regisztrál a domainbe. Ezért, ha több hónapig nem indította újra a számítógépet, a számítógép és a tartomány közötti bizalmi kapcsolat meg lesz mentve, és a számítógép újraindításakor megváltozik a számítógép jelszava..
A bizalmi kapcsolatok megszakadnak, ha a számítógép rossz jelszóval próbálja hitelesíteni a tartományt. Ez általában akkor történik, amikor a számítógépet egy képről vagy egy virtuális gép pillanatképéről állítják vissza. Ebben az esetben a helyileg tárolt gépi jelszó és a domain jelszava nem feltétlenül egyezik meg.
A bizalom helyreállításának "klasszikus" módja ebben az esetben:
- Állítsa vissza a helyi rendszergazda jelszavát
- Távolítsa el a számítógépet a tartományból, és illessze be a munkacsoportba
- Indul újra
- Az ADUC beépülő modul használata - a számítógép számviteli alaphelyzetbe állítása a tartományban (Fiók visszaállítása)
- Engedélyezze újra a számítógépet a tartományban
- Indítsa újra újra
Ez a módszer a legegyszerűbb, de túl ügyetlen, és legalább két újraindítást és 10-30 percet igényel. Ezen felül problémákat tapasztalhat a régi helyi felhasználói profilok használatával..
Van egy elegánsabb módszer a bizalom helyreállításához a tartományra váltás és az újraindítás nélkül.
Netdom Utility
hasznosság netdom a 2008-as verzió óta szerepel a Windows Server szolgáltatásban, és telepíthető a felhasználók PC-jére az RSAT (Remote Server Administration Tools) segítségével. A bizalom helyreállításához be kell jelentkeznie a helyi rendszergazda alatt (a „. \ Administrator” gépelésével a bejelentkezési képernyőn) és futtatnia kell a következő parancsot:
Netdom resetpwd / Szerver: DomainController / UserD: Administrator / PasswordD: Jelszó
- szerver - a rendelkezésre álló tartományvezérlő neve
- userd - felhasználónév domain adminisztrátorral vagy teljes ellenőrzési jogok az OU számítógépes fiókkal
- passwordd - felhasználói jelszó
Netdom resetpwd / Szerver: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd
A parancs sikeres végrehajtása után nincs szükség újraindításra, csak jelentkezzen ki, és jelentkezzen be a tartományfiók alatt.
Reset-ComputerMachinePassword Cmdlet
parancsmaggal Reset-ComputerMachinePassword megjelent a PowerShell 3.0 verzióban, és a Netdom segédprogrammal ellentétben már elérhető a rendszeren a Windows 8 / Windows Server 2012-től kezdve. Windows 7, Server 2008 és Server 2008 R2 esetén manuálisan is telepíthető (http://www.microsoft.com /en-us/download/details.aspx?id=34595), a Net Framework 4.0 vagy újabb verziójára is szükség van.
Jelentkezzen be a helyi rendszergazdai fiók alatt, nyissa meg a PowerShell konzolt és futtassa a következő parancsot:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin
- szerver - tartományvezérlő neve
- Bizonyítvány - felhasználónév domain adminisztrátori jogokkal (vagy egy számítógépes OU-val kapcsolatos jogok)
Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov
A megnyíló biztonsági ablakban meg kell adnia a felhasználói jelszót.
tanács. Ugyanazt a műveletet végrehajthatja egy másik Powershell-parancsmag segítségével. Test-ComputerSecureChannel:
Test-ComputerSecureChannel -Repair -Credential corp \ aapetrov
A számítógép és a DC közötti biztonságos csatorna ellenőrzéséhez használja a következő parancsot:
nltest /sc_verify:corp.adatum.com
A következő sorok igazolják, hogy a bizalom sikeresen helyreállt:
Megbízható DC-kapcsolat állapota = 0 0x0 NERR_Success
Bizalmi ellenőrzés állapota = 0 0x0 NERR_Success
Mint láthatja, a domain bizalom helyreállítása meglehetősen egyszerű.
