Восстановление доверительных отношений в домене

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Восстановление доверительных отношений в домене

Сообщение UncleFather »

Проблема:

После ввода пароля доменного пользователя (при попытке входа в домен) операционная система выдает сообщение о невозможности установить доверительные отношения между рабочей станцией и основным доменом и возвращает пользователя к окну входа в систему:

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

01.png

Объяснение:

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай :) . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.


Решение:

Способ 1

  1. Запоминаем членство в группах для компьютера (В оснастке «Пользователи и компьютеры Active Directory» смотрим и запоминаем членом каких групп является этот ПК, возможно еще какие-то другие настройки)

  2. Выводим компьютер из домена

  3. Перезагружаемся

  4. Вновь заводим компьютер в домен

  5. Восстанавливаем членство в группах для компьютера (В оснастке «Пользователи и компьютеры Active Directory»)

  6. Применяем политики на компьютере

    Код: Выделить всё

    gpupdate
  7. Перезагружаемся

  8. Еще раз применяем политики на компьютере

    Код: Выделить всё

    gpupdate

При этом способе компьютер получает новый SID и дважды требуется перезагрузка, зато этот способ работает в 100% случаев.

Способ 2

От имени администратора и выполняем команду:

Код: Выделить всё

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме:

Код: Выделить всё

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /SecurePasswordPrompt

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Код: Выделить всё

Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Или сбросить учетную запись компьютера:

Код: Выделить всё

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Этот способ срабатывает не всегда, так как не удается авторизоваться на КД под именем администратора с компьютера, к которому утрачено доверие.

Способ 3

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
Проверяем безопасное соединение с доменом:

Код: Выделить всё

Nltest /query

Сбрасываем учетную запись компьютера в домене:

Код: Выделить всё

Nltest /sc_reset:Contoso.com

Изменяем пароль компьютера:

Код: Выделить всё

Nltest /sc_change_pwd:Contoso.com

Это самый быстрый и доступный способ, ведь утилита Nltest по умолчанию есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа. Из-за этого способ срабатывает не всегда.

Способ 4

PowerShell тоже умеет сбрасывать пароль компьютера и восстанавливать безопасное соединение с доменом. Для этого существует командлет Test-ComputerSecureChannel. Запущенный без параметров он выдаст состояние защищенного канала — True или False.
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Код: Выделить всё

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

02.png

Для сброса пароля также можно также воспользоваться такой командой:

Код: Выделить всё

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator
03.png
03.png (10.08 КБ) 15274 просмотра

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.

Кроме того, способ срабатывает не всегда, так как не удается авторизоваться на КД под именем администратора с компьютера, к которому утрачено доверие.


Примечание:

Смена пароля в домене происходит следующим образом:
Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе «Computer Configuration» -> «Policies» -> «Windows Settings» -> «Security Settings» -> «Local Policies».

Нас интересуют следующие параметры:

«Disable machine account password change» — отключает на локальной машине запрос на изменение пароля;

«Maximum machine account password age» — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

«Refuse machine account password changes» — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе «HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters» есть два параметра :

«DisablePasswordChange» — если равен «1» , то запрос на обновление пароля компьютера отключен, «0» — включен.

«MaximumPasswordAge» — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней !!!

И в разделе «HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters», только у контролеров домена, параметр:

«RefusePasswordChange» — если равен «1», то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

Источник: Восстанавливаем доверие в домене


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение