Целта на овој напис е да обезбеди чекор-по-чекор инструкции за креирање надворешни доверливи односи меѓу два домени Windows 2000. Се чини дека сè што е потребно за да се воспостави однос на доверба постои, има права, алатките за создавање доверба се познати, но во пракса едноставните упатства не секогаш функционираат. Ајде да се обидеме да го сфатиме заедно.
Ако зборуваме суво, се сеќаваме на тоа доверливи односие логичен однос помеѓу домени кои обезбедуваат автентикација од крај до крај каде доверлив доменприфаќа автентикација извршена во доверлив домен. Во овој случај, корисничките сметки и глобалните групи дефинирани во доверливиот домен може да добијат права и дозволи за ресурси во доменот на доверителот, иако тие сметки не постојат во референтната база на податоци на доменот на доверителот.
Кога е потребно да се создаде доверба? Првиот одговор е дека корисниците на едно претпријатие (домен во една шума) треба да користат ресурси од друго претпријатие (друг домен во друга шума) или обратно, тогаш се потребни односи на доверба кога мигрираат безбедносни објекти од еден домен во друг ( на пример, при користење на алатката ADMT v2 од Microsoft) и во многу други животни работни услови.
Надворешна доверба може да се создаде за да се формира еднонасочна или двонасочна непреодна доверба (односно, врска во опкружување со повеќе домени ограничена на само два домени) со домени надвор од шумата. Надворешните трустови понекогаш се користат кога корисниците треба да пристапат до ресурси лоцирани во домен на Windows лоциран во друга шума, како што е прикажано на сликата.
Кога ќе се воспостави доверба помеѓу домен во одредена шума и домен надвор од таа шума, безбедносните принципи (кои можат да бидат корисник, група или компјутер) во надворешниот домен можат да пристапат до ресурсите во внатрешниот домен. создава „надворешен безбедносен главен објект“ во внатрешниот домен за да ја претставува секоја безбедносна главна од надворешниот доверлив домен. Овие надворешни безбедносни принципи можат да станат членови на локални групи на домени во внатрешниот доверлив домен. Локалните групи на домени (обично се користат за доделување права за пристап до ресурси) може да вклучуваат безбедносни принципи од домени надвор од шумата.
Откако ги дефиниравме концептите, да продолжиме со воспоставување на надворешни еднонасочни односи на доверба од доменот D01 до доменот D04.
Системска конфигурација:
Вообичаено, двата домени се распоредени на различни мрежи и комуникацијата меѓу нив се врши преку портали. Понекогаш, за овие цели, втора мрежна картичка се додава на контролорите на домени, воспоставувајќи врска со надворешни мрежи преку нив. Во овој пример, го користев наједноставниот случај кога двата домени се наоѓаат на истата подмрежа. Во овој случај, можно е да се воспостават односи на доверба едноставно со назначување на имиња на домени NETBIOS и наведените пресметки се непотребни, меѓутоа, како што структурата на мрежата станува посложена (различни подмрежи на домени, комуникација преку портали и виртуелни приватни мрежи), довербата не може да биде постави толку лесно. Потоа треба да ги имплементирате дополнителните мрежни поставки дадени подолу.
Ајде да подготвиме акционен план за да создадеме доверливи односи:
- проверка на врските помеѓу два сервери
- проверка на поставките на секој домен
- поставување на резолуција за името за надворешни домени
- создавање на врска на дел од доверливиот домен
- создавање врска од доверлив домен
- верификација на воспоставените еднонасочни односи
- создавање двонасочна доверба (ако е потребно)
Сè не е толку комплицирано како што може да изгледа. Клучните точки во оваа листа се првите три точки, чие правилно спроведување директно влијае на конечниот резултат. Исто така, забележувам дека сите дејства се вршат во име на администраторските сметки на соодветните домени, кои ги имаат сите потребни права за ова.
Ајде да започнеме.
Првото нешто што треба да направите е да направите резервна копија на состојбата на системот ситеконтролери на домени во двата домени (и системски директориуми исто така).
И само тогаш почнете да правите промени. Значи, проверете дали може да се воспостави комуникација помеѓу двата сервери:
- Од серверот Server01, ќе се увериме дека е достапен од серверот Server04 (192.168.1.4)
Важно е да се воспостават врски по IP адреса за да се избегнат грешки поврзани со резолуцијата на името.
На командната линија внесуваме: пинг 192.168.1.4
Треба да прима одговори од далечинската адреса. Ако одговорот е не, анализирајте ја вашата мрежна инфраструктура и решете ги проблемите.
- Од серверот Server04, ќе се увериме дека е достапен од серверот Server01 (192.168.1.1)
На командната линија внесуваме: пинг 192.168.1.1
Треба да прима одговори од адресата на далечинскиот сервер Server01.
Ако сè е во ред, преминете на следниот чекор, проверувајќи ги поставките на доменот.
Од сите поставки, ќе ја провериме само конфигурацијата на примарната DNS зона што го поддржува секој домен на Active Directory. Бидејќи токму податоците од оваа зона содржат записи за ресурсите на доменот и ви овозможуваат да ја одредите локацијата и адресите на соодветните услуги на доменот.
Ајде да извршиме команди на секој сервер ipconfig.exe /ситеИ nslookup.exe(екран 1 и 2).
Ipconfig ја прикажува конфигурацијата на протоколот TCP/IP - IP адреси, адреси на портал и DNS сервери за контролорот. Ако DNS инфраструктурата е правилно конфигурирана, nslookup прикажува список со IP адреси на контролорот на доменот кога го бара името DNS на локалниот домен. Ако адресите на контролорот за локалниот домен не може да се добијат, проверете ја конфигурацијата на примарниот DNS сервер и содржината на зоната за пребарување напред на серверот DNS (Слика 3).
Имајте предвид дека системот нема никакви информации за надворешниот домен (порака за грешка при обидот да се реши со име на далечински домен - екрани 1 и 2), и затоа пребарувањето на контролори за воспоставување комуникација со надворешни домени ќе биде исклучително тешко. Во оваа ситуација, обидот да се создаде врска со доверлив домен ќе резултира со порака за грешка (Слика 4).
Сега да почнеме да ја решаваме оваа ситуација. Ајде да ја конфигурираме резолуцијата на името на DNS за надворешни домени на секој сервер.
Што треба да се направи? Треба да постигнеме резолуција на името и да добиеме записи за ресурси за надворешниот домен. Сето ова е можно со поставување на локалниот сервер за да може да пристапи до DNS зона која го поддржува надворешниот домен и е способна да ги реши бараните прашања. Би сакал веднаш да забележам дека обидот да се реши овој проблем со едноставно додавање на IP адресата на надворешен DNS сервер како алтернатива во поставките за TCP/IP е осуден на неуспех. Ајде да ги преземеме вистинските чекори за оваа ситуација.
На локалниот DNS сервер во секој домен, ќе создадеме дополнителна зона која содржи копија од примарната DNS зона на надворешниот домен. Како резултат на тоа, овој сервер може да враќа одговори и од прашањата за локалниот домен и од записите од дополнителната зона за надворешен домен.
Ќе дадам пример за создавање дополнителна зона за Server01 серверот на Server04 низата дејства е слична.
Ајде да ги промениме параметрите на примарните трансфери на DNS зоната на оддалечениот сервер.
Вклучено (Server04), отворете го прозорецот за приклучување DNS (преку менито Start, потоа Програми и административни алатки).
Десен-клик на зоната DNS и изберете Својства.
На табулаторот Zone Transfers, изберете го полето за избор Дозволи трансфери во зона.
Дозволете трансфери на зони само на одредени DNS сервери и изберете ја опцијата само за сервери од оваа листа, а потоа наведете ги IP адресите на DNS серверите од првиот домен (во нашиот случај ова ќе биде IP Server01 - 192.168.1.1 екран 5).
Во овој случај, можно е поедноставно поставување, овозможувајќи трансфери на кој било сервер, но тоа доведува до намалување на безбедноста. Дополнително, на пример, многу поефикасно е да ја поставите оваа IP адреса во списокот со сервери за имиња за тековната зона.
- Ајде да овозможиме известувања за дополнителни зони на други DNS сервери
Кликнете на копчето Извести на табулаторот Zone Transfers.
Проверете дали е избрано полето Автоматско известување.
Изберете ја опцијата Само наведени сервери и додајте ги IP адресите на серверот во бараната листа за известувања.
За да го направите ова, во списокот со известувања, внесете ја IP адресата на серверот од претходниот став (192.168.1.1) во полето за IP адреса и кликнете на копчето Додај (екран 6).
- Ајде да создадеме дополнителна DNS зона на локалниот сервер.
Вклучено (Server01), отворете го прозорецот DNS.
Во стеблото на конзолата, кликнете со десното копче на DNS-серверот и изберете New Zone за да го отворите Волшебникот за нова зона (Слика 7).
Изберете го типот на зоната Дополнително, внесете го нејзиното име (D04. локално) и IP адресата на главниот сервер (IP 192.168.1.4) во полето IP адреса и кликнете на копчето Додај.
Откако ќе се создаде зоната, ќе биде потребно извесно време за да се примат податоци од примарниот сервер (во тој момент примарните зони треба да изгледаат како Слика 8).
- Ајде да ја провериме новата конфигурација на серверот DNS.
На (Server01) отворете прозорец на командната линија, извршете ја командата nslookup.exeи внесете барање за името DNS на надворешниот домен D04. локално – и резултатот од IP адресите на контролорите на овој домен (екран 9).
Ова е она што го сакавме - сега, при креирање на однос на доверба, тековниот домен ќе може да ги одреди потребните адреси на услуги на надворешниот домен.
Се разбира, горенаведените пресметки може да се имплементираат во домени со стандардни поставки. Ако вашата мрежа има посебни поставки за DNS, треба да ги промените овие ставки за да одговараат на вашите барања.
Сега е неопходно да се повторат претходните чекори на друг контролер во доверлив домен (Server04), така што овој контролер може да добие и резолуции за имиња и да добие список на услуги за првиот домен (екран 10).
Откако ќе може да се решат двете имиња на домени преку DNS серверот, можеме да продолжиме со стандардната процедура за создавање директна надворешна еднонасочна доверба.
- Ајде да создадеме врска од доверливата страна на доменот (d01. local)
На контролорот (Server01), отворете го додатокот „Active Directory - Domains and Trusts“ (преку менито Start, потоа Programs and Administrative Tools).
Во стеблото на конзолата, кликнете со десното копче на јазолот на доменот што сакате да го управувате (D01.local) и изберете Својства (Слика 11).
Изберете го табот Trusts.
Изберете Домени доверливи на овој домен, а потоа кликнете Додај.
Внесете го целосното име на DNS на доменот, т.е. D04. локално (за домен на Windows NT, само името - екран 12).
Внесете ја вашата лозинка (на пример, 12 W#$р) за даден однос на доверба. Лозинката мора да биде валидна во двата домени: главниот домен и доверливиот домен. Самата лозинка се користи само за времетраењето на воспоставувањето на доверителска врска откако ќе се воспостави, лозинката ќе биде избришана.
Покрај тоа, бидејќи воспоставуваме само една од двете неопходни врски, невозможно е веднаш да се провери односот на доверба (екран 13). Треба да креирате слична, но повратна информација од доверливиот домен.
Додека сте во овој режим, можете да ги видите својствата на креираната појдовна врска (екран 14).
Да ја повториме оваа постапка за доменот што го сочинува другиот дел од односот на директна доверба.
Ајде да создадеме врска од страната на доверливиот домен (d04. local)
На контролорот (Server04), отворете го додатокот Active Directory Domains and Trusts.
Во стеблото на конзолата, кликнете со десното копче на јазолот на доменот што сакате да го управувате (D04.local) и изберете Својства.
Изберете го табот Trusts (екран 15).
Изберете Домени кои имаат доверба во овој домен, а потоа кликнете Додај.
Внесете го целото име на домен DNS - D01. локални.
Внесете ја лозинката за оваа доверба што ја наведовте претходно (12 W#$ r - екран 16).
Бидејќи Ако сме ја конфигурирале спротивната врска за нашата врска со доверба, треба да ја тестираме новата врска (Екран 17).
За да го направите ова, мора да наведете корисничка сметка која има право да ги менува односите на доверба од спротивниот домен D01. локално, тоа се записот за администратор на домен d01 (екран 18).
Ако акредитациите се точни, врската е ping и довербата се воспоставува (Слика 19).
Сега да погледнеме како да ги провериме надворешните доверливи односи. На пример, да ја провериме врската од доверливиот домен (D01.local)
За да го тестирате односот на доверба:
Отворете домени и доверители на Active Directory.
Во стеблото на конзолата, кликнете со десното копче на доменот што учествува во довербата што сакате да ја потврдите (D01.local), а потоа кликнете на Својства.
Изберете го табот Trusts.
Во списокот Домени доверливи од овој домен, изберете го односот на доверба што сакате да го проверите (D04. локално) и кликнете Уреди (екран 20).
Кликнете на копчето Провери.
Во полето за дијалог што се појавува, мора да ги внесете ингеренциите на корисникот кој има право да го промени односот на доверба, односно записот d04 на администраторот на надворешниот домен и неговата лозинка (екран 21).
Исто како и претходно, ако податоците за регистрација се точни и врската е функционална, се прикажува порака за потврда (екран 22).
Во случај на грешки, проверете ја структурата на вашата мрежа (поставки на портали, заштитен ѕидови, рутери, одвојување на подмрежи на домени), поставки на инфраструктурата DNS, функционалноста на физичките врски помеѓу контролерите на доменот, како и можните грешки во домени на Active Directory (со анализа на евиденција на настани на контролери на домени).
Откако ќе се воспостави доверба од доверлив домен, сега е можно да се прегледаат ресурсите во доверливиот домен користејќи ја автентикацијата на автентицираните корисници (оние членови на специјалната група на групата СИТЕ).
Ајде да се увериме дека можеме да користиме безбедносни главни објекти од доверливиот домен во доменот на доверителот (сметки од локалниот домен D04.). За да го направите ова, ќе создадеме споделен ресурс во доменот D01 и ќе обезбедиме пристап до него до глобалната група „Корисници на домен“ од доверливиот домен D04.
Креирајте D01 во доменот. локална споделена папка на контролерот на домен Server01.
Така, од доверливиот домен D04 добивме пристап до ресурс во доменот на доверител D01, што ни требаше.
Доколку е потребно, можно е да се конфигурираат односите на доверба во спротивна насока, од доменот D04 до D01. Тоа е, доменот D04 ќе стане доверлив домен. локален, а доверливиот домен веќе ќе биде D01. локални.
Во оваа статија, ќе зборуваме за тоа на што се гради сериозна врска помеѓу маж и жена.
Сериозните односи меѓу мажите и жените се градат, се разбира, на доверба.
Без доверба = сериозна врска е априори, во принцип, невозможна!
Доверба = ова е основата на која се градат односите. Куќа = без темел (соодветна основа) = невозможно да се изгради, ќе се распадне, истото важи и во односите со маж и жена.
Ако не му верувате на партнерот = порано или подоцна = сè ќе се распадне (уништи), бидејќи односите со страв, вознемиреност, грижи, стрес, болка, кавги итн. нема да траат долго.
Што е доверба и нејзино отсуство?
Довербата не знае каде започнува сомнежот, довербата умира.
Тоа е она што е доверба во партнерот (отсуство на сомнежи) и тоа е недостатокот на доверба (присуство на сомнежи). Довербата во врската мора да биде целосна и взаемна. Ако не е така, еден од партнерите нема доверба = сомнежите ве глодаат и сл. - нема да има сериозна врска (без да се реши овој проблем), таквата врска нема да има иднина, ќе биде осудена на неуспех.
Значи, кое е решението во оваа ситуација? Според мое мислење, постојат 2 начини да се реши проблемот:
- Прво, градете доверба (ако е изгубена) со вашиот партнер. (тешко, но можно, и ако вреди (има смисла, прочитајте повеќе во написот: „Дали вреди да се спаси врска“) - навистина треба да се направи, и двајцата партнери, односите се работа!).
- Второ, одвојте се и не страдајте. (лесно, едноставно, знам коментари, нема што да се каже овде).
Запрашајте се, дали му верувате на вашиот партнер? Ако не, дали можеш повторно да му веруваш (еј)?
Ако вашиот одговор е „не“, тогаш најправилно би било да ја прекинете оваа врска и да не си ги комплицирате животите со трошење бесценето време, енергија и други ресурси на сето ова, правејќи еден со друг понесреќен.
Поентата на врската е да се направи еден со друг посилен. Зборував за ова подетално во написот: „Значењето на врската помеѓу маж и жена“. Ако тоа не е случај, тогаш врската е бесмислена.
Порано или подоцна = без целосна доверба = крајот сепак ќе дојде, паровите се разделуваат, па зошто да губиме време, главниот ресурс во животот на секој човек? Зошто да страдате, да се правите едни со други понесреќни, да го одложите овој момент? Имав девојка во која изгубив доверба по нејзината шега.
Сè уште не знам дали беше шега или не (љубовта заслепува), но ми се втисна на мозокот = многу, многу силно, до тој степен што ќе ми биде многу тешко повторно да почнам да верувам еј.
Но. Меѓутоа, во мојот случај, би било можно да се обидам да дознаам сè и да го поправам (но не точно, не).
Само ти самиот го знаеш одговорот на прашањето - дали можеш повторно да му веруваш (еј) или не, бидејќи секој случај е индивидуален и сите ние во принцип сме индивидуални поединци. Разбирам?
Ако дефинитивно е „не“, тогаш има само еден излез, само продолжете без да се измачувате себеси и вашиот партнер.
Но, ако сè уште се сомневате, а вашиот одговор, можеби, можеби итн. = тогаш, за да се обнови довербата = ќе биде потребна секојдневна посакувана работа на двајцата партнери во оваа насока.
Врските се постојана работа меѓу двајца партнери. Ова е работа. Работа. И уште еднаш работа. Дневно. И не само во однос на довербата, туку и многу други компоненти за кои сега не зборуваме...
Ако ова дело не постои, тогаш, за жал, нема да има хармонични, интегрални, правилни односи.
За да се обидете да ја вратите довербата на партнерот, пред сè, треба да седнете и да разговарате со партнерот што подетално за сè, сите ваши сомнежи, мисли, стравови, поплаки итн. кон партнерот искрено и искрено. начин. Важни се целосна искреност, слобода и чесност. Без ова ништо нема да работи.
П.С. Довербата е тесно поврзана со искреноста, искреноста и интегритетот.
И исклучително е важно да го правите ова, а не да го избегнувате, мислејќи дека се ќе помине/заборави. Не! Колку подолго сè се одолговлекува, толку подолго се чува во себе = толку повеќе „измет“ потоа излегуваат.
Сите сомнежи, стравови, несигурности и слично треба да му ги кажете на партнерот. Кажете му (еј) што не ви се допаѓа во вашата врска, во неа (него), кажете му каде чувствувате непријатност, незадоволство итн. Треба да разговарате и да си изразувате апсолутно сè едни на други во секое време, во текот на развојот на вашата врска - а не на „празници“ (кога работите веќе зовреа).
Во нашиот случај, во однос на довербата, треба целосно да се отворите и да поставите сè. Чувства и сите ваши емоции = без да бидете срамежливи, без страв, без да воздржувате АПСОЛУТНО НИШТО!
Сите стравови, постапки, постапки, тврдења, проблеми, желби итн., итн., сè што сакате = треба да се дискутира. Сè од почеток до крај во едно седење. И после сето ова, треба заедно да создадеме конкретен план за заедничко дејствување и да почнеме да работиме едни со други, заедно, почнувајќи да ја развиваме довербата, како? => да се ослободиме од сите овие сомнежи, стравови, проблеми, тврдења и други компоненти заедно.
Научете да си верувате еден на друг, научете да ги признавате грешките, научете да преземате вина (одговорност), според мое разбирање, тоа значи дека треба да бидете подготвени да го поправите она што се случило по ваша вина, да научите да простувате/барате прошка, да се покаете, научете да барате компромиси, научете да разговарате (комуницирате) едни со други (каде, како, со кого, кога, повици/смс, целосна отвореност, целосен пристап), треба да бидете целосно искрени и искрени еден со друг. Сето „ова“ е твое = заеднички акции.
Зошто се важни? Затоа што кога работата (дејствија, дејствија) се одвиваат уредно ЗАЕДНО (една со друга) = се воспоставува и извештајот (иста врска) (врската се воспоставува преку заеднички дејствија) = што значи дека се воспоставува и доверба. Извештај (комуникација) = доверба. Запомнете го ова како нашиот татко.
И, се разбира, не заборавајте за изразот „трпеливост и работа = мелење“. Ако и двајцата навистина сакате да бидете еден со друг = ако сакате = силна, среќна, хармонична, холистичка врска = тогаш работете на тоа = еден со друг, заедно, секој ден и ќе бидете наградени според вашите заслуги. Тоа е се за мене.
Но, најдоброто нешто е во принцип да спречите губење на довербата, тогаш нема да морате да го решите проблемот. Сепак, сите грешат, според гласините дури и Роботи =) темата ми беше многу блиска денес...
Секоја чест, администратор.
Криптографските алатки CryptoPro се користат во многу програми создадени од руски програмери. Нивната цел е да потпишуваат различни електронски документи, да организираат PKI и да манипулираат со сертификати. Во оваа статија ќе ја разгледаме грешката што се појавува како резултат на работа со сертификат - „Се појави системска грешка при проверка на односите на доверба“.
Причината за грешката во CryptoPro
Појавата на порака за системска грешка често се поврзува со конфликтни верзии на Windows и CryptoPro. Корисниците имаат тенденција брзо да се запознаат со системските барања на софтверот, неговите својства и можности. Ова е причината зошто треба подетално да ги проучувате упатствата и форумите само откако ќе се појави дефект.
Честопати самиот софтвер е инсталиран на системот со грешки. Има многу причини за ова:
- Проблеми во системскиот регистар на Windows;
- Хард дискот е исполнет со ѓубре што спречува другиот софтвер да работи правилно;
- Присуството на вируси во системот и така натаму.
Решавање на грешката во сертификатот
Се случи системски неуспех во софтверскиот производ CryptoPro: „Се појави системска грешка при проверка на односите со доверба“. Ајде да се обидеме да го решиме овој проблем. Во некои случаи, програмата може да прикаже порака на екранот ако системот нема соодветни ажурирања. Може да добиете грешка и ако користите CryptoPro верзија 3.6 на оперативниот систем Windows 8.1. За овој оперативен систем мора да ја користите верзијата 4 или повисока. Но, за да инсталирате нова, треба да ја деинсталирате старата верзија.
Сите важни податоци од претходната верзија мора да се копираат во пренослив медиум или во посебна папка на Windows.
Потоа треба да ја посетите официјалната веб-страница и да ја преземете најновата верзија на комуналниот пакет, да ги преземете и да ги инсталирате на вашиот компјутер. Одете на адресата - https://www.cryptopro.ru/downloads. Кога инсталирате, привремено оневозможете го заштитниот ѕид на Windows и другите програми или антивируси што може да ја блокираат работата на CryptoPro.
Можете да инсталирате нов производ користејќи ја вашата лична сметка на веб-страницата. За да го направите ова, треба да се најавите и да се најавите.
- Потоа одете на вашата лична сметка;
- Отворете го табулаторот „Управување со услуги“ на врвот;
- Одете во делот „Автоматска работна станица“;
- Потоа пронајдете ја ставката „Приклучоци и додатоци“ и кликнете на една од верзиите на CryptoPro.
Инсталирање на личен сертификат
Следно, треба да го инсталирате сертификатот во алатката CryptoPro за да го решите неуспехот на сертификатот - имаше неуспех при проверка на односите со доверба. Стартувај го софтверот како администратор. Најдобар начин да го направите ова е од менито Start.
Други методи за решавање на грешката при проверка на односите на доверба
Ако користите CryptoPro верзија 4, но грешката сè уште се појавува, обидете се едноставно повторно да ја инсталирате програмата. Во многу случаи, овие акции им помогнаа на корисниците. Исто така, можно е вашиот хард диск да е полн со непотребни датотеки и треба да се избрише. Стандардните комунални услуги на Windows ќе ни помогнат во ова.
- Отворете го Explorer (WIN+E) и изберете еден од локалните дискови со RMB;
- Кликнете на „Карактеристики“;
- Под сликата на искористениот простор на дискот, пронајдете и кликнете на копчето „Исчисти“;
- Потоа ќе се појави прозорец каде што треба да ги изберете датотеките што треба да се избришат;
- Можете да ги изберете сите ставки и да кликнете на „Ок“.
Оваа инструкција мора да се следи за сите локални дискови на вашиот компјутер. Следно, следете ги следните инструкции за да ги проверите датотеките на Windows
- Отворете го менито Старт;
- Внесете „Командна линија“ во лентата за пребарување;
- Изберете ја оваа линија со RMB и користете го глувчето за да покажете на „Во име на администраторот“;
- Внесете ја командата во овој прозорец за да започнете со скенирање „sfc /scannow“;
- Притиснете ENTER.
Почекајте да заврши овој процес. Ако алатката најде проблеми со датотечен систем, ќе го видите ова во последната порака. Затворете ги сите прозорци и обидете се да ја стартувате програмата CryptoPro за да бидете сигурни дека грешката „Се појави грешка во сертификатот при проверка на односите со доверба“ е веќе решена. За посебни случаи, постои софтверски број за техничка поддршка - 8 800 555 02 75.
Секој системски администратор одвреме-навреме наидува на грешка „Не може да се воспостави доверлива врска помеѓу оваа работна станица и примарниот домен“. Но, не секој ги разбира причините и механизмите на процесите што водат до нејзиното појавување. Бидејќи без разбирање на значењето на тековните настани, невозможна е смислена администрација, која се заменува со непромислено извршување на инструкциите.
Компјутерските сметки, како и корисничките сметки, се начела за безбедност на доменот. На секој безбедносен принцип автоматски му се доделува безбедносен идентификатор (SID) на кое ниво може да пристапи до ресурсите на доменот.
Пред да и дадете пристап на сметката до доменот, мора да ја потврдите неговата автентичност. Секој безбедносен учесник мора да има своја сметка и лозинка, а сметката на компјутерот не е исклучок. Кога ќе се приклучите на компјутер во Active Directory, се креира компјутерска сметка за него и се поставува лозинка. Довербата на ова ниво е обезбедена со фактот што оваа операција ја врши администратор на домен или друг корисник кој има експлицитно овластување да го стори тоа.
Последователно, секој пат кога компјутерот се најавува во доменот, воспоставува безбеден канал со контролорот на доменот и му ги обезбедува неговите ингеренции. Така, се воспоставува однос на доверба помеѓу компјутерот и доменот и се случува понатамошна интеракција во согласност со безбедносните политики и правата за пристап поставени од администраторот.
Лозинката на сметката на компјутерот е валидна 30 дена и потоа автоматски се менува. Важно е да се разбере дека промената на лозинката е иницирана од компјутерот. Ова е слично на процесот на промена на корисничка лозинка. Откако откри дека тековната лозинка е истечена, компјутерот ќе ја замени следниот пат кога ќе се најавите на доменот. Затоа, дури и ако не сте го вклучиле компјутерот неколку месеци, односот на доверба во доменот ќе остане, а лозинката ќе се смени првиот пат кога ќе се најавите по долга пауза.
Довербата се прекинува кога компјутерот се обидува да се автентицира на домен со неважечка лозинка. Како може да се случи ова? Најлесен начин е да ја вратите состојбата на компјутерот, на пример, користејќи стандардна алатка за обновување на системот. Истиот ефект може да се постигне при обновување од слика, снимка (за виртуелни машини) итн.
Друга опција е да ја смените сметката со друг компјутер со исто име. Ситуацијата е доста ретка, но понекогаш се случува, на пример, кога компјутерот на вработен беше сменет додека името беше зачувано, стариот беше отстранет од доменот, а потоа тие беа повторно воведени во доменот, заборавајќи да го преименуваат. Во овој случај, кога стариот компјутер повторно ќе се внесе во доменот, тој ќе ја смени лозинката на сметката на компјутерот и новиот компјутер повеќе нема да може да се најавува, бидејќи нема да може да воспостави однос на доверба.
Какви дејства треба да преземете ако наидете на оваа грешка? Најпрво, утврдете ја причината за повреда на довербата. Ако тоа беше враќање, тогаш од кого, кога и како е изведено дали лозинката е сменета од друг компјутер, тогаш повторно треба да откриеме кога и под кои околности се случило тоа;
Едноставен пример: стар компјутер беше преименуван и даден на друг оддел, по што падна и автоматски се врати на последната контролна точка. После тоа, овој компјутер ќе се обиде да се автентицира во доменот под старото име и природно ќе добие грешка при воспоставување на однос на доверба. Правилната акција во овој случај би била преименување на компјутерот како што треба да се нарекува, креирање нова контролна точка и бришење на старите.
И само откако ќе се уверите дека повредата на довербата е предизвикана од објективно неопходни дејства и дека токму за овој компјутер можете да започнете да ја враќате довербата. Постојат неколку начини да го направите ова.
Корисници на Active Directory и компјутери
Ова е наједноставниот, но не и најбрзиот и најзгодниот начин. Отворете го додатокот на кој било контролер на домен Корисници на Active Directory и компјутери, пронајдете ја потребната сметка на компјутерот и, со десен клик, изберете Ресетирајте ја сметката.
Потоа се најавуваме на компјутерот што ја изгубил довербата под локален администратори отстранете ја машината од доменот.
Потоа го внесуваме назад, можете да го прескокнете рестартирањето помеѓу овие две дејства. По повторното внесување на доменот, рестартирајте се и најавете се под сметка на домен. Лозинката на компјутерот ќе се смени кога компјутерот повторно ќе се приклучи на доменот.
Недостаток на овој метод е тоа што машината треба да се извади од доменот, како и потребата од две (едно) рестартирање.
Netdom алатка
Оваа алатка е вклучена во Windows Server од изданието од 2008 година, може да се инсталира на кориснички компјутери како дел од пакетот RSAT (Алатки за далечинско управување со серверот). За да го користите, најавете се на целниот систем локален администратори извршете ја командата:
Netdom resetpwd /Сервер:DomainController /UserD:Administrator /PasswordD:Password
Ајде да ги погледнеме командните опции:
- Сервер- име на кој било домен контролер
- Корисник D- име на сметка на администратор на домен
- ЛозинкаD- лозинка за администратор на домен
Откако командата е успешно завршена, не е потребно рестартирање, само одјавете се од вашата локална сметка и најавете се на сметката на вашиот домен.
PowerShell 3.0 cmdlet
За разлика од алатката Netdom, PowerShell 3.0 е вклучена во системот почнувајќи од Windows 8 / Server 2012, за постарите системи може да се инсталира рачно, поддржани се Windows 7, Server 2008 и Server 2008 R2. Net Framework 4.0 или понова е потребна како зависност.
Слично на тоа, најавете се на системот за кој сакате да ја вратите довербата како локален администратор, стартувајте ја конзолата PowerShell и извршете ја командата:
Ресетирање-Лозинка на компјутерска машина -Контролер на домен на серверот -домен на акредитиви\администратор
- Сервер- име на кој било домен контролер
- Уверение- име на домен / сметка на администратор на домен
Кога ќе ја извршите оваа команда, ќе се појави прозорец за овластување во кој ќе треба да ја внесете лозинката за администраторската сметка на доменот што сте ја навеле.
cmdlet не прикажува никаква порака кога ќе заврши успешно, затоа само сменете ја сметката, не е потребно рестартирање.
Како што можете да видите, обновувањето на односите на доверба во доменот е прилично едноставно, главната работа е правилно да се утврди причината за овој проблем, бидејќи различни случаи ќе бараат различни методи. Затоа, никогаш не се заморуваме да повторуваме: кога ќе се појави каков било проблем, прво треба да ја идентификувате причината и дури потоа да преземете мерки за да ја поправите, наместо безумно да ја повторувате првата инструкција пронајдена на мрежата.
