Доверительные отношения между

Восстановление доверительных отношений без повторного ввода в домен

Восстановление доверительных отношений без повторного ввода в домен

В этой статье мы коснемся проблемы нарушения доверительных отношений между рабочей станцией и доменом, мешающей пользователю авторизоваться в системе. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений по безопасному каналу.

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

Попробуем разобраться, что же означают данные ошибки и как их исправить.

Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись компьютера с паролем. На этом уровне доверие обеспечивается тем, что эта операция выполняется администратором домена или пользователем домена (каждый пользователь по умолчанию может включить в домен 10 ПК).

При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.

Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.

Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domain member: Maximum machine account password age, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).

Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.

Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер восстанавливают из образа или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.

«Классический» способ восстановить доверительные отношения в этом случае::

  1. Сбросить пароль локального администратора
  2. Вывести ПК из домена и включить его в рабочую группу
  3. Перезагрузится
  4. С помощью оснастки ADUC – сбросить учёту компьютера в домене (Reset Account)
  5. Повторно включить ПК в домен
  6. Еще раз перезагрузиться

Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.

Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.

Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

  • Server – имя любого доступного контроллера домена
  • UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
  • PasswordD – пароль пользователя

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Послу успешного выполнения команды перезагрузка не нужна, достаточно выполнить логофф и войти в систему под доменной учетной.

Командлет Reset-ComputerMachinePassword появился в PowerShell 3.0, и в отличии от утилиты Netdom, уже имеется в системе, начиная с Windows 8 / Windows Server 2012. На Windows 7, Server 2008 и Server 2008 R2 его можно установить вручную (http://www.microsoft.com/en-us/download/details.aspx?id=34595), также требуется наличие Net Framework 4.0 или выше.

Также нужно войти в систему под локальной учетной записью администратора, открыть консоль PowerShell и выполнить команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server – имя контроллера домена
  • Credential – имя пользователя с правами администратора домена (или правами на OU с ПК)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

В открывшемся окне безопасности нужно указать пароль пользователя.

Совет. Эту же операцию можно выполнить с помощью другого командлета Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp\aapetrov

Проверить наличие безопасного канала между ПК и DC можно командой:

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success

Trust Verification Status = 0 0x0 NERR_Success

Как вы видите, восстановить доверительные отношения в домене довольно просто.

Источник:
Восстановление доверительных отношений без повторного ввода в домен
Простое решение проблемы «Не удалось восстановить доверительные отношения между рабочей станцией и доменом»
http://winitpro.ru/index.php/2014/09/18/vosstanovlenie-doveritelnyx-otnoshenij-bez-perevvoda-v-domen/

Восстановление доверительных отношений в домене

Рано или поздно, но администраторам доменной сети на базе продуктов Microsoft приходится сталкиваться с двумя похожими ошибками: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией». Помимо данных сообщений также наблюдается невозможность зайти в компьютер под доменными учетными записями.

Разберем причины появления ошибок и методы их лечения.

В доменных сетях Windows всем компьютерам и учетным записям пользователей присваиваются свои идентификаторы безопасности (SID). В сущности, можно сказать, что каждый компьютер в домене также обладает своей учетной записью типа «компьютер». По аналогии с учетной записью пользователя, такая учетная запись тоже будет иметь пароль. Данный пароль создается и предъявляется компьютером контроллеру домена автоматически. Таким образом между рабочими станциями и контроллером домена и формируются те доверительные отношения, о которых упоминается в тексте ошибок.

Каждые 30 дней или при первом включении после длительного перерыва компьютер автоматически изменяет свой пароль. В теории всё красиво, и машина вроде бы не может ошибиться и «ввести» неправильный пароль. Однако иногда такое происходит по нескольким причинам.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Самой распространенной причиной является откат операционной системы Windows на более ранее состояние. Естественно, чем раньше была создана точка восстановления, тем больше вероятность появления ошибки. В данном случае после восстановления компьютер примется предъявлять контроллеру домена устаревший пароль, а контроллер уже содержит новый.

Ошибка может возникнуть и в случае нахождения в домене двух станций с одинаковыми именами. Такая ситуация может возникнуть, например, если дать новому компьютеру имя выведенной из эксплуатации машины, а затем снова включить старый компьютер, забыв его переименовать.

С возможными причинами разобрались. Теперь о решении проблемы. Способов несколько, но все они так или иначе заключаются в переустановке учетной записи компьютера или сбросе его пароля.

Первый способ заключается в переустановке учетной записи в Active Directory.

После этого необходимо зайти на компьютер под локальным администратором и вывести рабочую станцию из домена в рабочую группу (компьютер > свойства > дополнительные параметры системы > имя компьютера > изменить).

Далее компьютер снова необходимо ввести в домен и перезагрузить. После этого уже можно заходить доменным пользователем.

Вторым способом является сброс пароля через Windows PowerShell. Оговоримся однако, что нам потребуется PowerShell версии 3.0 и выше. Также заходим на компьютер локальным администратором и вводим следующий командлет:

В данном случае -Server это имя контроллера домена, а -Credential это учетная запись администратора домена.

Командлет не выведет никаких сообщений в случае своего успешного завершения. Данный способ привлекателен тем, что перезагрузка не требуется — достаточно сменить пользователя и войти в машину под доменной учетной записью.

Третий способ сброса пароля компьютера заключается в использовании утилиты Netdom, которая появилась в серверных ОС Microsoft начиная с Windows Server 2008. В клиентских операционных системах её можно добавить с помощью пакета RSAT (Средства удаленного администрирования сервера).

Как и в предыдущих способах, этот тоже выполняется из-под локального администратора. Введите в командной строке:

Принцип схож с тем, что мы видели в примере с PowerShell. /Server это контроллер домена, /UserD — учетная запись администратора домена, /PasswordD — пароль от учетной записи администратора домена. Вы также можете использовать параметр /SecurePasswordPrompt , чтобы скрыть пароль за звездочками. Перезагрузка также не требуется.

Способ четвертый и последний в нашей статье заключается в использовании утилиты Nltest, которая по умолчанию есть на любой рабочей станции.

Запустим утилиту в командной строке и для начала проверим безопасное соединение с доменом:

Затем сбросим учетную запись компьютера в домене:

И, наконец, сбросим пароль компьютера:

К сожалению, у такой прекрасной утилиты есть свои минусы. В первую очередь, утилита не спрашивает логин/пароль администратора домена и, соответственно, исполняется из-под запустившего его пользователя, что может привести к ошибке доступа.

Есть и еще одна ошибка, связанная с доверительными отношениями внутри домена и вынесенная в начало этой статьи. Выглядит она следующим образом:

В данном случае нам опять же поможет утилита Nltest. Снова проверяем безопасное соединение с доменом:

Если появится сообщение об ошибке, то для исправления ошибки достаточно установить этот патч. Если же статус подключения будет NERR_Success, то выполняем следующие действия:

Во втором случае мы явно указываем контроллер домена, с которым хотим установить доверительные отношения.

Утилита порадует нас сообщением о том, что безопасный канал был сброшен и новое соединение установлено.

Итак, вот несколько способов восстановить доверительные отношения в домене. Надеюсь, что применять их вам придется как можно реже. ??

Источник:
Восстановление доверительных отношений в домене
Администраторам доменной сети на базе Windows приходится сталкиваться с двумя ошибками, связанными с невозможность установить доверительные отношения в домене.
http://webistore.ru/administrirovaniye-windows/vosstanovlenie-doveritelnyx-otnoshenij-v-domene/

Доверительные отношения между лесами доменов

Не следует отказываться от главной цели — свести всю архитектуру бизнеса в единый лес, но в реальной жизни эта цель может быть выражена несколько иначе: организация минимально необходимого количества лесов, причем введение дополнительного леса должно подчиняться строгим критериям принятия решения и соответствовать возможностям менеджмента. Стандарты принятия решения об организации леса представлены в статье Microsoft «Design Considerations for Delegation of Administration in Active Directory» (http://www.microsoft.com/windows2000/ techinfo/planning/activedirectory/addeladmin.asp). В ней же даются четкие указания о разграничении зон ответственности между OU, доменами и лесами, предлагается методика для определения принадлежности бизнес-подразделения организационной единице, домену или же самостоятельному лесу, отделенному от центрального.

Информационная изоляция — еще одна важная причина иметь у себя отдельный лес. Например, правоохранительные органы должны хранить свои данные отдельно от других. Аналогично, информация о контрактах военных подрядчиков должна быть доступна только для «посвященных». В таких сферах, как банковское дело, ущерб от предоставления данных на всеобщее обозрение также очевиден.

Доверительные отношения внутри леса в Windows 2000

Доверительные отношения между лесами в Windows 2000

Хотя между различными лесами можно создать также и внешние доверительные отношения, использование основанных на протоколе Kerberos доверительных отношений между лесами кардинально сокращает число доверительных связей, необходимых для обмена данными между лесами. Для подсчета общего числа внешних отношений доверия для поддержки доверительных отношений между всеми доменами в двух лесах нужно воспользоваться следующей формулой:

(Общее число внешних отношений доверия) = (одно- или двусторонняя связь) * (Число доменов в лесу Forest A) * (Число доменов в лесу Forest B).

Предположим, например, что в компании имеется лес Development (DEV) в составе трех доменов и лес Production (PROD) в составе четырех доменов, и требуется установить двусторонние доверительные отношения между всеми доменами обоих лесов. Потребуется создать и поддерживать в дальнейшем работу 24 доверительных связей (2*3*4). Некоторое неудобство очевидно, но нельзя сказать, что это катастрофа. Однако если через какое-то время к описанной топологии придется добавить лес Integration (INT), состоящий из четырех доменов, все значительно усложнится. Вместо одного отношения доверия между двумя лесами потребуется создать три: DEV — PROD, DEV — INT и PROD -INT. При этом общее число доверительных связей достигнет 80.

Читатель может спросить, почему доверительные отношения между лесами в операционной системе Windows 2003 могут содержать другой лес, тогда как внешние доверительные отношения Windows 2000 этого не допускают. В Windows 2003 объект Trusted Domain Object (TDO) является основным для получения информации об отношении доверия как для внешних отношений доверия, так и для отношений между лесами. В TDO имеется дополнительный атрибут, используемый доверительными отношениями между лесами, называемый Forest Trust Information. Этот атрибут несет информацию обо всех доменах в удаленном лесу, об именах дерева и обо всех альтернативных суффиксах имен. Все эти данные необходимы при маршрутизации аутентификации и обращениях в удаленный лес. Реально данные хранятся в глобальном каталоге Global Catalog (GC), поэтому любой контроллер домена (DC) может обратиться за нужной информацией.

Настройка доверительных отношений между лесами в Windows 2003

Для того чтобы построить Forest Trust, сначала нужно убедиться, что по обе стороны доверительного отношения между лесами реализован функциональный уровень леса Windows 2003. На каждом контроллере домена в обоих лесах обязательно должны работать операционные системы Windows 2003, и каждый домен должен соответствовать функциональному уровню домена Windows 2003.

Далее, корневые домены в обоих лесах должны «видеть» друг друга через DNS. Если речь идет о корпоративной распределенной сети и оба леса интегрированы в DNS компании, скорее всего, корневые домены всех лесов взаимно доступны. Чтобы проверить это, нужно открыть на сервере в любом лесу окно командной строки и набрать команду Nslookup. Следует ввести

и затем — полностью определенное имя, Fully Qualified Domain Name (например, forestb.mycompany.com), корневого домена соседнего леса. Если сервер сможет разрешить введенное имя FQDN, утилита Nslookup вернет соответствующий список контроллеров домена.

Нужно помнить, что при использовании серверов для пересылки запросов к лесу (следовательно, речь идет уже об организации доверительных отношений между несколькими лесами) требуется указывать адреса IP вручную. Если любой из этих адресов изменится, а администратор забудет должным образом подкорректировать таблицу пересылки запросов (на всех серверах DNS), в установленных ранее доверительных отношениях могут начаться сбои. После того как имена обоих лесов будут успешно разрешены, для установки соответствующего типа отношений доверия используется консоль Active Directory Domains and Trusts и мастер New Trust Wizard. Теперь мы шаг за шагом рассмотрим случай установления двусторонних доверительных отношений между лесами.

В меню Administrative Tools следует выбрать пункт Active Directory Domains and Trusts или в командной строке ввести

Затем нужно открыть контекстное меню корневого домена, выбрать Properties и обратиться к схеме Trusts. Для запуска мастера установки новых отношений доверия необходимо выбрать New Trusts.

Программа New Trust Wizard впервые появилась в Windows 2003. С ее помощью можно выбрать нужный тип отношений доверия, задать любой из четырех возможных оконечных объектов — систему Windows 2003 или домен Windows 2000, домен NT 4.0, зону Kerberos 5.0 и, наконец, соседний лес. Всегда под рукой справочная служба New Trust Wizard, она позволяет получить дополнительную информацию о доверительных отношениях, функциональных уровнях, об именах User Principal Name (UPN) — пользователях или процессах, имеющих учетную запись в данной среде.

Первое, что нужно сделать при работе с New Trust Wizard, — указать DNS- или NetBIOS-имя леса, с которым необходимо установить доверительные отношения. Если на этом и на нескольких последующих этапах все будет сделано правильно, появится диалоговое окно с предложением выбрать либо External trust, либо Forest trust (см. Экран 2). Если вариант доверительных отношений между лесами не появляется, следует вернуться обратно на первую страницу и попробовать найти ошибку, обратившись к справочной информации.

В нашем примере мы будем устанавливать двусторонние доверительные отношения. Как показано на Экране 3, New Trust Wizard позволяет создать две односторонние доверительные связи, с помощью которых реализуется двустороннее отношение доверия (конечно, при условии, что в соседнем лесу администратор также обладает соответствующими привилегиями) — и все это не покидая программу установки.

Окно Trust Selections Complete позволяет просмотреть все настройки, перед тем как инициировать процедуру создания доверительных отношений. То же самое окно, Trust Selections Complete, появится на экране и после установления отношений доверия. На завершающем этапе работы мастер предоставляет администратору системы еще одну полезную возможность. Так как к этому моменту администратор уже должен был обеспечить возможность удаленного доступа к соседнему лесу, все дополнительные шаги по установлению отношений доверия могут быть инициированы без необходимости всякий раз подтверждать свои намерения. После того как доверительные отношения между лесами успешно созданы и мастер завершил свою работу, на схеме свойств Trusts рядом с типом отношений доверия появится надпись forest, а не child или external.

Хотя создание доверительных отношений между лесами представляется достаточно очевидным процессом, последствия ошибок, привнесенных в установку доверительных отношений, могут оказаться очень серьезными, особенно если работа пользователей протекает в нескольких лесах. Необходимо соблюдать осторожность при создании доверительных отношений. Прежде чем приступать к работе, нужно изучить примеры успешной реализации этой задачи.

Доверительные отношения между лесами — важное свойство Windows 2003. Благодаря этому свойству устранено ограничение Windows 2000, когда поддержка работы при наличии нескольких лесов оказывалась на практике очень непростой задачей. Для тех компаний, которым необходима тесная интеграция, только одна эта возможность может оправдать затраты на перевод систем Windows 2000 на платформу Windows 2003.

Поделитесь материалом с коллегами и друзьями

Источник:
Доверительные отношения между лесами доменов
Доверительные отношения между лесами доменов
http://www.osp.ru/winitpro/2003/03/175969

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Источник:
Записки IT специалиста
Ошибка
http://interface31.ru/tech_it/2015/02/vosstanavlivaem-doveritelnye-otnosheniya-v-domene.html

(Visited 1 times, 1 visits today)

CATEGORIES