Selle artikli eesmärk on anda samm-sammult juhised loomiseks välised usaldussuhted kahe domeeni vahel Windows 2000. Näib, et kõik usaldussuhte loomiseks vajalik on olemas, õigused on olemas, usalduse tekitamise vahendid on teada, kuid praktikas lihtsad juhised alati ei tööta. Proovime selle koos välja mõelda.
Kui räägime kuivalt, siis me mäletame seda usalduslikud suhted on loogiline seos domeenide vahel, mis pakub täielikku autentimist, kus usaldav domeen aktsepteerib aastal teostatud autentimist usaldusväärne domeen. Sel juhul saavad usaldusväärses domeenis määratletud kasutajakontod ja globaalsed rühmad hankida õigusi ja õigusi ressurssidele usaldusisiku domeenis isegi siis, kui neid kontosid usaldusisiku domeeni viiteandmebaasis pole.
Millal on vaja usaldust tekitada? Esimene vastus on, et ühe ettevõtte (domeen ühes metsas) kasutajad peavad kasutama teise ettevõtte ressursse (teine domeen teises metsas) või vastupidi, siis on turvaobjektide ühest domeenist teise migreerimisel vaja usaldussuhteid ( näiteks Microsofti ADMT v2 tööriista kasutamisel) ja paljudes muudes elutingimustes.
Välise usalduse saab luua ühe- või kahesuunalise intransitiivse usalduse (st mitme domeeniga keskkonnas, mis on piiratud ainult kahe domeeniga) moodustamiseks väljaspool metsa asuvate domeenidega. Välist usaldust kasutatakse mõnikord siis, kui kasutajad peavad pääsema juurde ressurssidele, mis asuvad mõnes teises metsas asuvas Windowsi domeenis, nagu on näidatud joonisel.
Kui kindla metsa domeeni ja väljaspool seda metsa asuva domeeni vahel luuakse usaldus, pääsevad välisdomeeni turbepõhimõtted (milleks võib olla kasutaja, rühm või arvuti) pääseda juurde sisemise domeeni ressurssidele. loob sisemises domeenis "välise turbepõhiobjekti", mis esindab iga välise usaldusväärse domeeni turbepõhimõtteid. Need välised turbepõhimõtted võivad saada sisemise usaldusdomeeni domeeni kohalike rühmade liikmeteks. Domeeni kohalikud rühmad (mida kasutatakse tavaliselt ressurssidele õiguste määramiseks) võivad sisaldada turbepõhimõtteid väljaspool metsa asuvatest domeenidest.
Olles defineerinud mõisted, jätkame domeeni D01 ja domeeni D04 väliste ühesuunaliste usaldussuhete loomisega.
Süsteemide konfiguratsioon:
Tavaliselt on mõlemad domeenid juurutatud erinevates võrkudes ja nendevaheline suhtlus toimub lüüside kaudu. Mõnikord lisatakse nendel eesmärkidel domeenikontrolleritele teine võrgukaart, mis loob nende kaudu ühendused välisvõrkudega. Selles näites kasutasin kõige lihtsamat juhtumit, kus mõlemad domeenid asuvad samas alamvõrgus. Sel juhul on võimalik usaldussuhteid luua lihtsalt NETBIOS-i domeeninimede määramisega ja määratud arvutused pole vajalikud, kuid võrgu struktuuri muutudes keerulisemaks (erinevad domeeni alamvõrgud, side läbi lüüsi ja virtuaalsed privaatvõrgud) ei saa usaldust olla nii lihtsalt seadistada. Seejärel peaksite rakendama allpool toodud täiendavaid võrgusätteid.
Koostame tegevuskava usalduslike suhete loomiseks:
- kahe serveri vaheliste ühenduste kontrollimine
- iga domeeni seadete kontrollimine
- nime eraldusvõime seadistamine väliste domeenide jaoks
- ühenduse loomine usaldusväärse domeeni poolt
- ühenduse loomine usaldusväärsest domeenist
- loodud ühesuunaliste suhete kontrollimine
- kahepoolse usalduse loomine (vajadusel)
Kõik pole nii keeruline, kui võib tunduda. Selle loendi põhipunktid on kolm esimest punkti, mille õige rakendamine mõjutab otseselt lõpptulemust. Samuti märgin, et kõik toimingud tehakse vastavate domeenide administraatorikontode nimel, kellel on selleks kõik vajalikud õigused.
Alustame.
Esimene asi, mida teha, on süsteemi oleku varundamine kõik domeenikontrollerid mõlemas domeenis (ja ka süsteemikataloogides).
Ja alles siis hakka muudatusi tegema. Seega veenduge, et kahe serveri vahel saaks side luua:
- Server01 serverist tagame, et see on serverist Server04 juurdepääsetav (192.168.1.4)
Nimede lahendamisega seotud vigade vältimiseks on oluline luua ühendused IP-aadressi järgi.
Käsureale sisestame: ping 192.168.1.4
Peaks saama vastused kaugaadressilt. Kui vastus on eitav, analüüsige oma võrgu infrastruktuuri ja lahendage probleemid.
- Server04 serverist tagame, et see on juurdepääsetav serverist Server01 (192.168.1.1)
Käsureale sisestame: ping 192.168.1.1
Peaks saama vastused kaugserveri aadressilt Server01.
Kui kõik on korras, liikuge järgmise sammu juurde, kontrollige domeeni sätteid.
Kõigist sätetest kontrollime ainult iga Active Directory domeeni toetava esmase DNS-tsooni konfiguratsiooni. Sest just selle tsooni andmed sisaldavad domeeniressursikirjeid ja võimaldavad määrata vastavate domeeniteenuste asukohta ja aadresse.
Käivitame igas serveris käske ipconfig.exe /kõik Ja nslookup.exe(ekraan 1 ja 2).
Ipconfig kuvab TCP/IP-protokolli konfiguratsiooni – kontrolleri IP-aadressid, lüüsiaadressid ja DNS-serverid. Kui DNS-i infrastruktuur on õigesti konfigureeritud, kuvab nslookup kohaliku domeeni DNS-i nime päringu tegemisel domeenikontrolleri IP-aadresside loendi. Kui kohaliku domeeni kontrolleri aadresse pole võimalik hankida, kontrollige esmase DNS-serveri konfiguratsiooni ja DNS-serveri edasiotsingu tsooni sisu (joonis 3).
Pange tähele, et süsteemil puudub teave välisdomeeni kohta (veateade kaugdomeeni nime järgi lahendamisel – ekraanid 1 ja 2) ning seetõttu on kontrollerite otsimine väliste domeenidega side loomiseks äärmiselt keeruline. . Sellises olukorras annab usaldusväärse domeeniga ühenduse loomise katse tulemuseks veateate (joonis 4).
Nüüd hakkame seda olukorda lahendama. Konfigureerime DNS-i nime eraldusvõime väliste domeenide jaoks igas serveris.
Mida on vaja teha? Peame saavutama nimede eraldusvõime ja hankima välisdomeeni jaoks ressursikirjed. Kõik see on võimalik, kui seadistate kohaliku serveri juurdepääsu DNS-tsoonile, mis toetab välist domeeni ja on võimeline lahendama vajalikke päringuid. Märgin kohe ära, et katse seda probleemi lahendada lihtsalt välise DNS-serveri IP-aadressi lisamisega alternatiivina TCP/IP sätetesse on määratud läbikukkumisele. Astume selle olukorra jaoks õigeid samme.
Iga domeeni kohalikus DNS-serveris loome täiendava tsooni, mis sisaldab välise domeeni esmase DNS-tsooni koopiat. Selle tulemusena saab see server tagastada vastused nii kohaliku domeeni päringutele kui ka välise domeeni lisatsooni kirjetele.
Toon näite täiendava tsooni loomisest Server01 serverile, toimingute jada on sarnane.
Muudame kaugserveris esmase DNS-tsooni ülekannete parameetreid.
Sees (Server04) avage DNS-i lisaaken (menüü Start kaudu, seejärel programmid ja haldustööriistad).
Paremklõpsake DNS-tsooni ja valige Atribuudid.
Vahekaardil Zone Transfers märkige ruut Luba tsooniülekanded.
Lubage tsooniülekanded ainult teatud DNS-serveritele ja valige sellest loendist suvand ainult serveritele ja seejärel määrake esimese domeeni DNS-serverite IP-aadressid (meie puhul on selleks IP-server01 - 192.168.1.1 ekraan 5).
Sel juhul on võimalik lihtsam seadistus, mis võimaldab ülekandeid mis tahes serverisse, kuid see viib turvalisuse vähenemiseni. Lisaks on näiteks palju tõhusam määrata see IP-aadress praeguse tsooni nimeserverite loendis.
- Lubame teiste DNS-serverite täiendavate tsoonide teavitused
Klõpsake vahekaardil Zone Transfers nuppu Teavita.
Veenduge, et märkeruut Teavita automaatselt.
Valige suvand Ainult määratud serverid ja lisage serverite IP-aadressid nõutavasse teavituste loendisse.
Selleks sisestage teavituste loendis IP-aadressi väljale serveri IP-aadress eelmisest lõigust (192.168.1.1) ja klõpsake nuppu Lisa (ekraan 6).
- Loome kohalikus serveris täiendava DNS-i tsooni.
Sees (Server01) avage DNS-i aken.
Paremklõpsake konsoolipuus DNS-serverit ja valige New Zone viisardi avamiseks Uus tsoon (joonis 7).
Valige tsooni tüüp Täiendav, sisestage IP-aadressi väljale selle nimi (D04. local) ja põhiserveri IP-aadress (IP 192.168.1.4) ning klõpsake nuppu Lisa.
Kui tsoon on loodud, kulub primaarserverist andmete vastuvõtmiseks veidi aega (sellel hetkel peaksid esmased tsoonid välja nägema nagu joonis 8).
- Kontrollime uut DNS-serveri konfiguratsiooni.
Sees (Server01) avage käsuviiba aken, käivitage käsk nslookup.exe ja sisestage välisdomeeni D04 DNS-nime päring. kohalik – ja selle domeenikontrollerite IP-aadresside tulemus (ekraan 9).
Seda me tahtsimegi – nüüd saab praegune domeen usaldussuhte loomisel määrata välisdomeeni vajalikud teenindusaadressid.
Loomulikult saab ülaltoodud arvutusi rakendada vaikesätetega domeenides. Kui teie võrgul on spetsiaalsed DNS-i sätted, peaksite neid üksusi oma vajaduste järgi muutma.
Nüüd on vaja korrata eelmisi samme mõnes teises usaldusväärses domeenis (Server04) asuvas kontrolleris, et see kontroller saaks hankida ka nimeeraldusi ja hankida esimese domeeni jaoks teenuste loendi (ekraan 10).
Kui mõlemad domeeninimed on DNS-serveri kaudu lahendatud, saame jätkata otsese välise ühesuunalise usaldussuhte loomise standardprotseduuriga.
- Loome usaldusliku domeeni poolelt ühenduse (d01. kohalik)
Avage kontrolleris (Server01) lisandmoodul "Active Directory - Domains and Trusts" (menüü Start ja seejärel programmid ja haldustööriistad kaudu).
Paremklõpsake konsoolipuus domeenisõlme, mida soovite hallata (D01.local) ja valige Properties (Joonis 11).
Valige vahekaart Trusts.
Valige Domeenid, mida see domeen usaldab, ja seejärel klõpsake nuppu Lisa.
Sisesta domeeni täisnimi DNS, s.t. D04. kohalik (Windows NT domeeni puhul lihtsalt nimi – ekraan 12).
Sisestage oma parool (näiteks 12 W#$r) antud usaldussuhte jaoks. Parool peab kehtima mõlemas domeenis: põhidomeenis ja usaldusväärses domeenis. Parooli ennast kasutatakse ainult usaldussuhte loomise ajaks pärast selle loomist, parool kustutatakse.
Pealegi, kuna loome kahest vajalikust ühendusest ainult ühte, on usaldussuhet koheselt võimatu kontrollida (ekraan 13). Peaksite looma sarnase, kuid tagasiside usaldusväärselt domeenilt.
Selles režiimis saate vaadata loodud väljuva ühenduse omadusi (ekraan 14).
Kordame seda protseduuri domeeni jaoks, mis moodustab otsese usaldussuhte teise osa.
Loome ühenduse usaldusväärse domeeni poolelt (d04. local)
Avage kontrolleris (Server04) lisandmoodul Active Directory domeenid ja usaldusväärsused.
Paremklõpsake konsoolipuus domeenisõlme, mida soovite hallata (D04.local) ja valige Atribuudid.
Valige vahekaart Trusts (ekraan 15).
Valige domeenid, mis seda domeeni usaldavad, ja seejärel klõpsake nuppu Lisa.
Sisestage DNS-i täielik domeeninimi - D01. kohalik.
Sisestage selle usalduse parool, mille olete varem määranud (12 W#$ r – ekraan 16).
Sest Kui oleme oma usaldussuhte jaoks seadistanud vastupidise suhte, peame uut suhet testima (ekraan 17).
Selleks tuleb määrata kasutajakonto, millel on õigus muuta usaldussuhteid vastasdomeenist D01. kohalik, need on domeeni administraatori kirje d01 (ekraan 18).
Kui mandaadid on õiged, pingeeritakse suhe ja luuakse usaldus (joonis 19).
Nüüd vaatame, kuidas testida väliseid usaldussuhteid. Näiteks kontrollime suhet usaldusväärsest domeenist (D01.local)
Usaldussuhte testimiseks tehke järgmist.
Avage Active Directory domeenide ja usaldusandmete lisandmoodul.
Paremklõpsake konsoolipuus domeeni, mis osaleb usalduses, mida soovite kontrollida (D01.local), ja seejärel klõpsake nuppu Atribuudid.
Valige vahekaart Trusts.
Valige loendist Domains Trusted by This Domain usaldussuhe, mida soovite kontrollida (D04. kohalik) ja klõpsake nuppu Redigeeri (ekraan 20).
Klõpsake nuppu Kontrolli.
Ilmuvas dialoogiboksis tuleb sisestada usaldussuhte muutmise õigust omava kasutaja mandaadid ehk välisdomeeni administraatori kirje d04 ja tema parool (ekraan 21).
Nagu varemgi, kui registreerimisandmed on õiged ja suhe toimib, kuvatakse kinnitusteade (ekraan 22).
Vigade korral kontrollige oma võrgustruktuuri (lüüside, tulemüüride, ruuterite sätted, domeeni alamvõrkude eraldamine), DNS-i infrastruktuuri sätteid, domeenikontrollerite vaheliste füüsiliste ühenduste funktsionaalsust, samuti võimalikke tõrkeid Active Directory domeenides (analüüsides sündmuste logisid domeenikontrolleritel).
Kui usaldusväärsest domeenist on usaldus loodud, on nüüd võimalik vaadata usaldusväärse domeeni ressursse, kasutades autentitud kasutajate (need rühma KÕIK erirühma liikmed) autentimist.
Veendume, et saame usaldusväärse domeeni turvalisuse põhiobjekte kasutada usaldusväärsuse domeenis (kontod D04. kohalikust domeenist). Selleks loome domeenis D01 jagatud ressursi ja võimaldame sellele juurdepääsu globaalsele rühmale “Domeeni kasutajad” usaldusväärsest domeenist D04.
Loo domeenis D01. kohalik jagatud kaust domeenikontrolleris Server01.
Seega saime usaldusväärsest domeenist D04 juurdepääsu ressursile usaldusisiku domeenis D01, mida me vajasime.
Vajadusel on võimalik seadistada usaldussuhteid vastupidises suunas, domeenist D04 kuni D01. See tähendab, et domeenist D04 saab usaldusdomeen. kohalik ja usaldusväärne domeen on juba D01. kohalik.
Selles artiklis räägime sellest, millele on üles ehitatud tõsine suhe mehe ja naise vahel.
Meeste ja naiste vahelised tõsised suhted on loomulikult üles ehitatud usaldusele.
Ilma usalduseta = tõsine suhe on a priori põhimõtteliselt võimatu!
Usaldus = see on alus, millele suhted rajatakse. Maja = ilma vundamendita (korralik vundament) = võimatu ehitada, see laguneb, sama kehtib ka suhetes mehe ja naisega.
Kui sa oma partnerit ei usalda = varem või hiljem = kõik laguneb (hävib), sest suhted hirmu, ärevuse, murede, stressi, valu, tülide jmsga ei kesta kaua.
Mis on usaldus ja selle puudumine?
Usaldus ei tunne kahtlust, kus kahtlus algab, usaldus sureb.
See on usaldus partneri vastu (kahtluste puudumine) ja see on usalduse puudumine (kahtluste olemasolu). Usaldus suhete vastu peab olema täielik ja vastastikune. Kui see nii ei ole, ühel partneritest puudub usaldus = on närivad kahtlused jne - tõsist suhet ei teki (ilma selle probleemi lahendamiseta), sellisel suhtel pole tulevikku, see on hukule määratud ebaõnnestumine.
Mis on siis selles olukorras lahendus? Minu arvates on probleemi lahendamiseks kaks võimalust:
- Esiteks looge oma partneriga usaldus (kui see on kadunud). (raske, kuid võimalik ja kui see on seda väärt (see on loogiline, üksikasjalikumalt artiklis: "Kas tasub suhet päästa") - seda on tõesti vaja teha, mõlemad partnerid, suhted on töö!).
- 2., eraldage ja ärge kannatage. (lihtne, lihtne, tead kommentaare, siin pole isegi midagi öelda).
Küsi endalt, kas sa usaldad oma partnerit? Kui ei, siis kas saate teda (hei) uuesti usaldada?
Kui teie vastus on "ei", oleks kõige õigem see suhe lõpetada ja mitte teha üksteise elu keeruliseks, raiskades sellele kõigele hindamatut aega, energiat ja muid ressursse, muutes üksteist õnnetumaks.
Suhte mõte on üksteist tugevamaks muuta. Täpsemalt rääkisin sellest artiklis: "Mehe ja naise vahelise suhte tähendus." Kui see nii ei ole, on suhe mõttetu.
Varem või hiljem = ilma täieliku usalduseta = lõpp tuleb nagunii, paarid lähevad lahku, miks siis raisata aega, mis on iga inimese elus peamine ressurss? Milleks kannatada, üksteist õnnetumaks teha, seda hetke edasi lükata? Mul oli tüdruk, kelle vastu ma pärast tema nalja kaotasin usalduse.
Ma ei tea siiani, kas see oli nali või mitte (armastus on pimestav), aga see jäi mu ajju = väga-väga tugevalt, kuni selleni, et mul oleks väga raske hei uuesti usaldama hakata.
Aga. Küll aga oleks minu puhul võimalik proovida kõike selgeks teha ja parandada (aga mitte täpselt, ei).
Ainult sina ise tead vastust küsimusele – kas saad teda uuesti usaldada või mitte, sest iga juhtum on individuaalne ja me kõik oleme põhimõtteliselt üksikud indiviidid. Saad aru?
Kui see on kindlasti "ei", siis on ainult üks väljapääs, lihtsalt liikuge edasi ilma ennast ja oma partnerit piinamata.
Kuid kui teil on endiselt kahtlusi ja teie vastus võib-olla, võib-olla jne = siis on usalduse taastamiseks vaja mõlema partneri igapäevast soovitud tööd selles suunas.
Suhted on pidev töö kahe partneri vahel. See on töö. Töö. Ja jälle töö. Igapäevane. Ja mitte ainult usalduse, vaid ka paljude muude komponentide osas, millest me praegu ei räägi...
Kui seda tööd pole, siis paraku ei teki ka harmoonilisi, terviklikke ja õigeid suhteid.
Et püüda oma partneri usaldust tagasi võita, tuleb esiteks maha istuda ja kõik oma partneriga võimalikult detailselt läbi arutada, kõik oma kahtlused, mõtted, hirmud, kaebused jne oma partneri suhtes siiras ja aus. viisil. Tähtis on täielik siirus, vabadus ja ausus. Ilma selleta ei tööta miski.
P.S. Usaldus on tihedalt seotud aususe, siiruse ja aususega.
Ja äärmiselt oluline on seda teha, mitte vältida, mõeldes, et kõik möödub/ununeb. Ei! Mida kauem kõik venib, seda kauem hoitakse kõike enda sees = seda rohkem “fekaali” välja tuleb.
Kõik kahtlused, hirmud, ebakindlus jne tuleb oma partnerile rääkida. Rääkige talle (hei), mis teile teie suhetes, temas (temas) ei meeldi, öelge talle, kus tunnete ebamugavust, rahulolematust ja nii edasi. Peate omavahel absoluutselt kõike arutama ja väljendama kogu oma suhte arendamise ajal - ja mitte "pühadel" (kui asjad on juba üle keenud).
Meie puhul, mis puudutab usaldust, peate end täielikult avama ja kõik välja nägema. Tunded ja kõik teie emotsioonid = olemata häbelik, kartmata, hoidmata tagasi ABSOLUUTSELT MIDAGI!
Kõik hirmud, teod, teod, väited, probleemid, soovid jne jne kõik, mida tahad = vajab läbi arutamist. Kõik algusest lõpuni ühel istumisel. Ja peale kõike seda tuleb koos luua konkreetne ühistegevuse plaan ja hakata omavahel koostööd tegema, koos, alustama usalduse tekkimist, kuidas? => kõigist nendest kahtlustest, hirmudest, probleemidest, väidetest ja muudest komponentidest koos vabanemine.
Õppige üksteist usaldama, õppige tunnistama oma vigu, õppige võtma süüd (vastutust), minu arusaamise järgi tähendab see seda, et peate olema valmis parandama seda, mis juhtus teie süül, õppima andestama/andestust paluma, meelt parandama, õppige otsima kompromisse , õppige omavahel rääkima (suhtlema) (kus, kuidas, kellega, millal, kõned/sms, täielik avatus, täielik ligipääs), peate olema üksteisega täiesti siirad ja ausad. Kõik "see" on teie = ühised tegevused.
Miks need olulised on? Sest kui töö (tegevused, tegevused) toimub organiseeritult KOOS (omavahel) = tekib ka aruanne (sama seos) (ühendus tekib ühistegevuse kaudu) = mis tähendab, et tekib ka usaldus. Raport (suhtlus) = usaldus. Pidage seda meeles nagu meie isa.
Ja muidugi ärge unustage väljendit "kannatlikkus ja töö = lihvima". Kui te tõesti tahate mõlemad olla üksteisega = kui soovite = tugevat, õnnelikku, harmoonilist, terviklikku suhet = siis töötage selle nimel = üksteisega, koos, iga päev ja teid premeeritakse vastavalt teie saavutustele. See on minu jaoks kõik.
Kuid kõige parem on põhimõtteliselt ära hoida usalduse kaotust, siis ei pea te probleemi lahendama. Vigu teevad aga kõik, kuulduste järgi isegi Robotid =) teema oli mulle täna väga lähedane...
Õnnitleme, administraator.
Krüptoutiliite CryptoPro kasutatakse paljudes Venemaa arendajate loodud programmides. Nende eesmärk on erinevate elektrooniliste dokumentide allkirjastamine, PKI korrastamine ja sertifikaatidega manipuleerimine. Selles artiklis vaatleme tõrget, mis ilmneb sertifikaadiga töötamise tulemusena – "Usaldussuhete kontrollimisel ilmnes süsteemiviga."
CryptoPro tõrke põhjus
Süsteemi veateate ilmumine on sageli seotud Windowsi ja CryptoPro konfliktsete versioonidega. Kasutajad kipuvad kiiresti tutvuma tarkvara süsteeminõuete, selle omaduste ja võimalustega. Seetõttu peate juhiseid ja foorumeid üksikasjalikumalt uurima alles pärast rikke ilmnemist.
Sageli installitakse tarkvara ise süsteemi vigadega. Sellel on palju põhjuseid:
- Probleemid Windowsi süsteemiregistris;
- Kõvaketas on täis rämpsu, mis ei lase muul tarkvaral korralikult töötada;
- Viiruste olemasolu süsteemis ja nii edasi.
Sertifikaadi vea lahendamine
CryptoPro tarkvaratootes ilmnes süsteemitõrge: "Usaldussuhete kontrollimisel ilmnes süsteemitõrge." Proovime seda probleemi lahendada. Mõnel juhul võib programm kuvada ekraanil teate, kui süsteemil pole vastavaid värskendusi. Samuti võite saada veateate, kui kasutate operatsioonisüsteemis Windows 8.1 CryptoPro versiooni 3.6. Selle OS-i jaoks peate kasutama versiooni 4 või uuemat. Kuid uue installimiseks peate vana versiooni desinstallima.
Kõik olulised andmed eelmisest versioonist tuleb kopeerida irdkandjale või eraldi Windowsi kausta.
Seejärel peate külastama ametlikku veebisaiti ja laadima alla utiliidipaketi uusima versiooni, alla laadima need ja installima need oma arvutisse. Minge aadressile - https://www.cryptopro.ru/downloads. Installimisel keelake ajutiselt Windowsi tulemüür ja muud programmid või viirusetõrjed, mis võivad CryptoPro tööd blokeerida.
Uue toote saate installida oma isikliku konto kaudu veebisaidil. Selleks tuleb sisse logida ja sisse logida.
- Seejärel minge oma isiklikule kontole;
- Avage ülaosas vahekaart "Teenusehaldus";
- Minge jaotisse "Automatiseeritud tööjaam";
- Seejärel leidke üksus "Pluginad ja lisandmoodulid" ja klõpsake ühel CryptoPro versioonil.
Isikliku sertifikaadi paigaldamine
Järgmiseks peate sertifikaadi tõrke lahendamiseks utiliidi CryptoPro installima – usaldussuhete kontrollimisel ilmnes tõrge. Käivitage tarkvara administraatorina. Parim viis seda teha on menüü Start.
Muud meetodid vea lahendamiseks usaldussuhete kontrollimisel
Kui kasutate CryptoPro versiooni 4, kuid tõrge ilmub endiselt, proovige programm lihtsalt uuesti installida. Paljudel juhtudel aitasid need toimingud kasutajaid. Samuti on võimalik, et teie kõvaketas on täis tarbetuid faile ja see tuleb kustutada. Standardsed Windowsi utiliidid aitavad meid selles.
- Avage Explorer (WIN+E) ja valige RMB abil üks kohalikest draividest;
- Klõpsake nuppu "Atribuudid";
- Kasutatud kettaruumi pildi all leidke ja klõpsake nuppu "Puhasta";
- Seejärel ilmub aken, kus peate valima kustutatavad failid;
- Saate valida kõik üksused ja klõpsata "OK".
Seda juhist tuleb järgida kõigi teie arvuti kohalike draivide puhul. Järgmisena järgige Windowsi failide kontrollimiseks järgmisi juhiseid
- Avage menüü Start;
- Sisestage otsinguribale "Command Prompt";
- Valige see rida RMB-ga ja kasutage hiirt, et osutada "Administraatori nimel";
- Sisestage selles aknas käsk "sfc /scannow" skannimise alustamiseks;
- Vajutage ENTER.
Oodake, kuni see protsess on lõpule viidud. Kui utiliit leiab failisüsteemiga probleeme, näete seda viimases teates. Sulgege kõik aknad ja proovige käivitada CryptoPro programm, et veenduda, et tõrge "Usaldussuhete kontrollimisel ilmnes sertifikaadi viga" on juba lahendatud. Erijuhtudeks on tarkvara tehnilise toe number - 8 800 555 02 75.
Igal süsteemiadministraatoril tekib aeg-ajalt tõrge "Selle tööjaama ja esmase domeeni vahel ei õnnestunud usaldussuhet luua". Kuid mitte kõik ei mõista selle esinemiseni viivate protsesside põhjuseid ja mehhanisme. Sest ilma jooksvate sündmuste tähendust mõistmata on võimatu mõtestatud asjaajamine, mis asendub juhiste arutu täitmisega.
Arvutikontod, nagu ka kasutajakontod, on domeeni turvalisuse põhimõtted. Igale turbepõhimõttele määratakse automaatselt turbeidentifikaator (SID), mille tasemel see domeeniressurssidele juurde pääseb.
Enne kontole domeenile juurdepääsu andmist peate kontrollima selle autentsust. Igal turvaosalisel peab olema oma konto ja parool ning arvutikonto pole erand. Kui ühendate arvuti Active Directoryga, luuakse selle jaoks arvutikonto ja määratakse parool. Usalduse sellel tasemel tagab asjaolu, et seda toimingut teeb domeeni administraator või muu kasutaja, kellel on selleks selgesõnaline volitus.
Seejärel loob arvuti iga kord, kui domeeni logib, domeenikontrolleriga turvalise kanali ja annab sellele oma mandaadid. Seega luuakse arvuti ja domeeni vahel usaldussuhe ning edasine suhtlus toimub vastavalt administraatori määratud turbepoliitikatele ja juurdepääsuõigustele.
Arvuti konto parool kehtib 30 päeva ja pärast seda muudetakse automaatselt. Oluline on mõista, et parooli muutmise algatab arvuti. See sarnaneb kasutaja parooli muutmise protsessiga. Olles avastanud, et praegune parool on aegunud, asendab arvuti selle järgmisel korral, kui domeeni sisse logite. Seega, isegi kui te pole arvutit mitu kuud sisse lülitanud, jääb domeeni usaldussuhe püsima ning parool muudetakse esimesel sisselogimisel pärast pikka pausi.
Usaldus katkeb, kui arvuti proovib autentida kehtetu parooliga domeeni. Kuidas see juhtuda saab? Lihtsaim viis on arvuti olekut tagasi keerata, kasutades näiteks tavalist süsteemitaaste utiliiti. Sama efekti saab saavutada pildilt, hetktõmmiselt (virtuaalmasinate jaoks) jms taastamisel.
Teine võimalus on kontot vahetada teise samanimelise arvutiga. Olukord on üsna haruldane, kuid mõnikord juhtub see näiteks siis, kui töötaja arvutit muudeti nime salvestamise ajal, vana eemaldati domeenist ja seejärel taastati domeeni, unustades selle ümber nimetada. Sellisel juhul muudab vana arvuti uuesti domeeni sisestamisel arvuti konto parooli ja uus arvuti ei saa enam sisse logida, kuna see ei saa luua usaldussuhet.
Milliseid meetmeid peaksite selle vea ilmnemisel tegema? Kõigepealt selgita välja usalduse rikkumise põhjus. Kui see oli tagasipööramine, siis kes, millal ja kuidas seda tegi, kui parooli muutis teine arvuti, siis peame uuesti välja selgitama, millal ja mis asjaoludel see juhtus.
Lihtne näide: vana arvuti nimetati ümber ja anti teisele osakonnale, misjärel see jooksis kokku ja veeres automaatselt tagasi viimasesse kontrollpunkti. Pärast seda proovib see arvuti end domeenis vana nime all autentida ja saab loomulikult usaldussuhte loomisel veateate. Õige toiming oleks sel juhul arvuti ümber nimetada, nagu seda peaks nimetama, luua uus kontrollpunkt ja kustutada vanad.
Ja alles pärast seda, kui olete veendunud, et usalduse rikkumise põhjustasid objektiivselt vajalikud tegevused ja et just selle arvuti jaoks saate alustada usalduse taastamist. Selleks on mitu võimalust.
Active Directory kasutajad ja arvutid
See on kõige lihtsam, kuid mitte kiireim ja mugavam viis. Avage lisandmoodul mis tahes domeenikontrolleris Active Directory kasutajad ja arvutid, otsige üles vajalik arvutikonto ja tehke paremklõps, valige Lähtesta konto.
Seejärel logime sisse arvutisse, mille all on usalduse kadunud kohalik administraator ja eemaldage masin domeenist.
Seejärel sisestame selle tagasi, võite nende kahe toimingu vahel taaskäivitamise vahele jätta. Pärast domeeni uuesti sisestamist taaskäivitage ja logige sisse domeenikonto all. Arvuti parooli muudetakse, kui arvuti taasühendatakse domeeniga.
Selle meetodi puuduseks on see, et masin tuleb domeenist välja viia, samuti vajadus kahe (ühe) taaskäivituse järele.
Netdomi utiliit
See utiliit on Windows Serveris sisaldunud alates 2008. aasta väljaandest, seda saab installida kasutajate arvutitesse paketi RSAT (Remote Server Administration Tools) osana. Selle kasutamiseks logige sisse sihtsüsteemi kohalik administraator ja käivitage käsk:
Netdom resetpwd /Server:Domeenikontroller /KasutajaD:Administraator /ParoolD:Parool
Vaatame käsuvalikuid:
- Server- mis tahes domeenikontrolleri nimi
- KasutajaD- domeeni administraatori konto nimi
- ParoolD- domeeni administraatori parool
Kui käsk on edukalt täidetud, pole taaskäivitamist vaja, logige lihtsalt kohalikult kontolt välja ja logige sisse oma domeenikontole.
PowerShell 3.0 cmdlet
Erinevalt Netdomi utiliidist on PowerShell 3.0 süsteemis alates Windows 8 / Server 2012-st, vanemate süsteemide puhul saab seda käsitsi installida, toetatud on Windows 7, Server 2008 ja Server 2008 R2. Net Framework 4.0 või uuem on vajalik sõltuvusena.
Samamoodi logige kohaliku administraatorina sisse süsteemi, mille usaldusväärsust soovite taastada, käivitage PowerShelli konsool ja käivitage käsk:
Lähtesta - Arvutimasina parool - Serveri domeenikontroller - Mandaadi domeen\Administraator
- Server- mis tahes domeenikontrolleri nimi
- Mandaat- domeeninimi / domeeni administraatori konto
Selle käsu täitmisel kuvatakse autoriseerimisaken, kus peate sisestama teie määratud domeeni administraatori konto parooli.
Kui cmdlet edukalt lõpule jõuab, ei kuvata ühtegi teadet, seega muutke lihtsalt kontot, taaskäivitamist pole vaja.
Nagu näete, on usaldussuhete taastamine domeenis üsna lihtne, peamine on selle probleemi põhjus õigesti kindlaks teha, kuna erinevatel juhtudel on vaja erinevaid meetodeid. Seetõttu ei väsi me kordamast: kui mis tahes probleem ilmneb, peate esmalt tuvastama põhjuse ja alles seejärel võtma meetmeid selle kõrvaldamiseks, selle asemel, et korrata arutult esimest võrgust leitud juhist.
