Wat betekent het dat de authenticiteit niet is geverifieerd? Schending van vertrouwen tussen werkstation en domeincontroller (oplossing)

. Windows XP

1 . Laten we de register-editor starten, ( Begin te lopen-regedit- Binnenkomen)

. Windows 7

Wat betreft Windows 7, verwijderen met behulp van het programma WAT21 verwijderen
1. Downloaden dit programma Met Storting of Letitbit
2. Verwijder de oude activering
3. Activeer opnieuw
4. En verwijder authenticatie voor altijd
Gedetailleerde instructies worden in het programma zelf beschreven; de hele operatie vindt plaats in slechts drie klikken.

Hoe u het bericht over Windows zonder licentie kunt verwijderen

Update ( KB971033) authenticeert de activerings- en verificatiecomponenten die in de technologieën zijn opgenomen Windows-activering voor het systeem Windows 7.
Klik met de rechtermuisknop op het pictogram: Computer - Eigenschappen.
Kiezen Windows Update - Geïnstalleerde updates.
Wij vinden onder geïnstalleerde updates(Update voor Microsoft Windows KB971033), selecteer en verwijder het.
Naar, Windows crashte niet langer door activering een update uitvoeren (KB971033) verborgen. Klik met de rechtermuisknop op het pictogram: Computer - Eigenschappen. Kiezen Windows Update - Belangrijke updates. Zoek (KB971033) en maak het verborgen door erop te klikken klik met de rechtermuisknop muizen. Het zal niet langer van Microsoft komen.

Installeer deze updates dus niet.
Als je dat bijvoorbeeld hebt piraat versie dan: KB905474, KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Als u installeert KB971033- hij zal vinden scheur en zal een bericht weergeven dat "Je bent slachtoffer geworden van nepsoftware."
KB2859537- V Windows XP kan ervoor zorgen dat iedereen niet kan starten exe-bestanden, behalve degenen die
erin liggen Windows-map . Een update verwijderen lost het probleem op.
Updates voor Windows XP verkrijgen lezen
Zoals uit Windows XP Thuis editie Windows XP maken Professionele Editie , lezen
Hier daar kort over Hoe kan ik dit venster verwijderen?

Met de foutmelding "Het was niet mogelijk om hiertussen een vertrouwensrelatie op te bouwen werkstation en het hoofddomein waar iedereen zo nu en dan mee te maken krijgt systeem administrator. Maar niet iedereen begrijpt de oorzaken en mechanismen van de processen die tot het optreden ervan leiden. Want zonder inzicht in de betekenis van actuele gebeurtenissen is zinvol bestuur onmogelijk, wat wordt vervangen door het gedachteloos uitvoeren van instructies.

Computeraccounts zijn, net als gebruikersaccounts, domeinbeveiligingsprincipes. Aan elke beveiligingsprincipal wordt automatisch een beveiligingsidentificatie (SID) toegewezen, op welk niveau deze toegang heeft tot domeinbronnen.

Voordat u verstrekt rekening toegang tot het domein moet als authentiek worden geverifieerd. Elke beveiligingsdeelnemer moet zijn eigen account en wachtwoord hebben, en een computeraccount is daarop geen uitzondering. Wanneer u een computer aansluit op Actieve map Er wordt een account van het type "Computer" voor aangemaakt en er wordt een wachtwoord ingesteld. Het vertrouwen op dit niveau wordt verzekerd door het feit dat deze operatie uitgevoerd door een domeinbeheerder of een andere gebruiker met expliciete bevoegdheid om dit te doen.

Elke keer dat de computer zich vervolgens bij het domein aanmeldt, wordt een beveiligd kanaal met de domeincontroller tot stand gebracht en worden de inloggegevens verstrekt. Er wordt dus een vertrouwensrelatie tot stand gebracht tussen de computer en het domein en verdere interactie vindt plaats in overeenstemming met het beveiligingsbeleid en de toegangsrechten die door de beheerder zijn ingesteld.

Het wachtwoord van het computeraccount is 30 dagen geldig en wordt daarna automatisch gewijzigd. Het is belangrijk om te begrijpen dat de wachtwoordwijziging door de computer wordt geïnitieerd. Dit is vergelijkbaar met het proces van het wijzigen van een gebruikerswachtwoord. Heb dat ontdekt huidig ​​wachtwoord is verlopen, zal de computer deze vervangen de volgende keer dat u zich aanmeldt bij het domein. Daarom blijft de vertrouwensrelatie in het domein bestaan, zelfs als u de computer enkele maanden niet heeft ingeschakeld, en wordt het wachtwoord gewijzigd wanneer u voor de eerste keer inlogt na een lange pauze.

Het vertrouwen wordt verbroken wanneer een computer probeert zich te verifiëren bij een domein met een ongeldig wachtwoord. Hoe kan dit gebeuren? De eenvoudigste manier is om de status van de computer terug te draaien, bijvoorbeeld met behulp van een standaard hulpprogramma voor systeemherstel. Hetzelfde effect kan worden bereikt bij het herstellen vanaf een image, momentopname (voor virtuele machines), enz.

Een andere optie is om het account te wijzigen met een andere computer met dezelfde naam. Deze situatie is vrij zeldzaam, maar soms komt het voor dat de pc van een medewerker bijvoorbeeld werd gewijzigd terwijl de naam was opgeslagen, de oude uit het domein werd verwijderd en vervolgens opnieuw in het domein werd geïntroduceerd, waarbij hij vergat de naam te wijzigen. In dit geval zal de oude pc zijn wachtwoord wijzigen wanneer hij het domein opnieuw betreedt wetenschappelijk verslag computer en de nieuwe pc kunnen niet meer inloggen, omdat deze geen vertrouwensrelatie kan opbouwen.

Welke acties moet u ondernemen als u deze fout tegenkomt? Stel allereerst de oorzaak van de overtreding vast vertrouwensrelaties. Als het een terugdraaiing was, door wie, wanneer en hoe het is uitgevoerd; als het wachtwoord door een andere computer is gewijzigd, moeten we er opnieuw achter komen wanneer en onder welke omstandigheden dit is gebeurd.

Eenvoudig voorbeeld: oude computer hernoemd en overgebracht naar een andere afdeling, waarna er een storing optrad en automatisch terugging naar de laatste controle punt. Hierna zal deze pc proberen zich te authenticeren in het domein onder de oude naam en uiteraard een foutmelding krijgen bij het tot stand brengen van een vertrouwensrelatie. Met de juiste acties in dit geval hernoemt u de computer zoals deze zou moeten heten, maakt u een nieuw controlepunt en verwijdert u de oude.

En pas nadat u zich ervan heeft verzekerd dat de schending van het vertrouwen is veroorzaakt door objectief noodzakelijke acties en dat het voor deze computer is dat u kunt beginnen met het herstellen van het vertrouwen. Er zijn verschillende manieren om dit te doen.

Active Directory-gebruikers en computers

Dit is de eenvoudigste, maar niet de snelste en handige manier. Open de module op een willekeurige domeincontroller Gebruikers en Actieve computers Directory, zoek het gewenste computeraccount en selecteer door met de rechtermuisknop te klikken Account opnieuw instellen.

Vervolgens loggen we in op de computer waarmee de vertrouwensrelatie is verloren lokale beheerder en verwijder de machine uit het domein.

Dan voeren we het terug in; je kunt het opnieuw opstarten tussen deze twee acties overslaan. Nadat u het domein opnieuw heeft ingevoerd, start u opnieuw op en logt u in onder een domeinaccount. Het computerwachtwoord wordt gewijzigd wanneer herstarten computer naar het domein.

Het nadeel van deze methode is dat de machine uit het domein moet worden gehaald, evenals de noodzaak van twee (één) herstarts.

Netdom-hulpprogramma

Dit hulpprogramma is inbegrepen in Windows-server vanaf editie 2008 kan het op gebruikers-pc's worden geïnstalleerd vanuit het RSAT-pakket (Tools beheer op afstand server). Om het te gebruiken, logt u in op het doelsysteem lokale beheerder en voer het commando uit:

Netdom resetpwd /Server:DomainController /UserD:Beheerder /PasswordD:Wachtwoord

Laten we eens kijken naar de opdrachtopties:

• Server- naam van een willekeurige domeincontroller
• GebruikerD- accountnaam van domeinbeheerder
• WachtwoordD- domeinbeheerderwachtwoord

Zodra de opdracht met succes is voltooid, is opnieuw opstarten niet meer nodig. Meld u gewoon af bij uw lokale account en log in op uw domeinaccount.

PowerShell 3.0-cmdlet

In tegenstelling tot het Netdom-hulpprogramma is PowerShell 3.0 inbegrepen in het systeem vanaf Windows 8 / Server 2012, voor oudere systemen kan het handmatig worden geïnstalleerd, Windows 7, Server 2008 en Server 2008 R2 worden ondersteund. Vereist als afhankelijkheid Netto raamwerk niet lager dan 4,0.

Meld u op dezelfde manier aan bij het systeem waarvoor u het vertrouwen wilt herstellen als lokale beheerder, start de PowerShell-console en voer de opdracht uit:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server- naam van een willekeurige domeincontroller
• Referentie- domeinnaam / domeinbeheerderaccount

Wanneer u deze opdracht uitvoert, verschijnt er een autorisatievenster waarin u het wachtwoord voor het door u opgegeven domeinbeheerdersaccount moet invoeren.

De cmdlet geeft geen bericht weer wanneer deze met succes is voltooid. Wijzig dus gewoon het account. Opnieuw opstarten is niet vereist.

Zoals u kunt zien, is het herstellen van vertrouwensrelaties in een domein vrij eenvoudig; het belangrijkste is om de oorzaak van dit probleem correct vast te stellen verschillende gevallen zal vereist zijn verschillende methoden. Daarom worden we nooit moe van het herhalen: wanneer er zich een probleem voordoet, moet u eerst de oorzaak identificeren en pas daarna maatregelen nemen om het te corrigeren, in plaats van gedachteloos de eerste instructie te herhalen die op het netwerk wordt gevonden.

Schending van vertrouwen tussen werkstation en domeincontroller (oplossing)

Online met een wagenpark van 150 auto's na de update besturingssysteem Vóór MS Windows 7 was er een voortdurend probleem met het inloggen van gebruikers. Op een mooie dag zette de gebruiker de computer aan en ontdekte dat hij niet kon inloggen op het systeem, maar hij zag een bericht dat verbluffend was qua informatie-inhoud:
"Vertrouwen kon niet tot stand worden gebracht tussen dit werkstation en het primaire domein"

Er is maar één oplossing. Haal de machine uit het domein en breng hem terug naar binnen. Toen deze situatie zich meer dan eens per dag begon te herhalen en ik er gewoon genoeg van kreeg, begon ik na te denken over preventie. En hier bleef het internet stil. Na een tijdje van moedeloosheid, en moedeloosheid, zoals we weten, is een zonde, werd besloten om te graven. Als gevolg van de marteling bij het opgraven werd de reden in 99% van de gevallen verkregen (en ik vermoed dat de resterende 1% dezelfde reden eenvoudigweg niet toegaf). De reden hiervoor is de Startup Repair-service, die wordt ingeschakeld wanneer het systeem abnormaal wordt afgesloten. Op het eerste scherm van het dialoogvenster vraagt ​​de dienst de gebruiker of hij het systeem wil herstellen of niet. Als het antwoord positief is, gaat het systeem terug naar meer vroege staat en misschien klopt de zijkant van de auto. Hoe het ook zij, het domein staat na een dergelijke operatie geen gebruikers met een dergelijke machine toe. Het heeft in dit soort zaken geen zin om op de gebruiker te vertrouwen. Je kunt hem vragen om te weigeren als een dergelijke situatie zich voordoet, maar het is zeer waarschijnlijk dat de gebruiker op de knop "Herstellen" drukt en vervolgens zijn handen opsteekt en zegt dat de demon hem heeft misleid. Over het algemeen moet u de opstartherstelservice op n-machines batchgewijs uitschakelen.

Lokaal ziet de oplossing eruit als een consoleopdracht:

Reagentc.exe /uitschakelen

Het netwerk zal dit vereisen PsExec-hulpprogramma van Microsoft-pakket Sysinternals PsTools, een beschrijving van het hulpprogramma en het pakket zelf zijn

We plaatsen Psexec.exe in dezelfde map als de onze batch bestand(laten we het broff.cmd noemen)
binnen broff.cmd schrijven we:

::We krijgen een lijst met computers op het netwerk, verwijderen deze van afval en plaatsen deze in net.lst net.exe weergave /domain:megafon >>net.tmp voor /f "tokens=1,2 delims= " %% ik in (net.tmp ) doe (Echo %%i>>net1.tmp) voor /f "tokens=1,2 delims=\" %%i in (net1.tmp) doe (Echo %%i>>net .lst) DEL *. TMP::We doorlopen de lijst en schakelen het opstartherstel uit voor /f "tokens=1,2 delims= " %%F in (net.lst) do (start psexec \\%%F reagentc. exe /uitschakelen)

Dat is alles. De gebruiker is niet langer onze vijand.

Tags: Vertrouwensrelaties, DC, IT, netwerkbeheer, netwerken, implementatie

In dit artikel zullen we ingaan op het probleem van schending van de vertrouwensrelatie tussen het werkstation en het domein, waardoor de gebruiker niet kan inloggen op het systeem. Laten we eens kijken naar de oorzaak van het probleem en naar een eenvoudige manier om het vertrouwen via een beveiligd kanaal te herstellen.

Hoe het probleem zich manifesteert: de gebruiker probeert met zijn account in te loggen op een werkstation of server en na het invoeren van het wachtwoord verschijnt er een foutmelding:

Kan het vertrouwen tussen werkstation en domein niet herstellen

Of dit:

De beveiligingsdatabase op de server doet dat wel niet hebben een computeraccount voor deze vertrouwensrelatie tussen werkstations

Laten we proberen erachter te komen wat deze fouten betekenen en hoe we ze kunnen oplossen.

Computerwachtwoord in AD-domein

Wanneer een computer in een domein is geregistreerd, wordt er een beveiligd kanaal tot stand gebracht tussen de computer en de domeincontroller, via welke inloggegevens worden verzonden, en vindt verdere interactie plaats in overeenstemming met het beveiligingsbeleid dat is ingesteld door de beheerder.

Het stis 30 dagen geldig, waarna het automatisch wordt gewijzigd. Wachtwoordwijzigingen worden door de computer zelf geïnitieerd op basis van domeinbeleid.

Advies. De maximale levensduur van het wachtwoord kan worden geconfigureerd met behulp van beleid Domein lid: Maximaal machine rekening wachtwoord leeftijd, die zich bevindt in de sectie: ComputerConfiguratie->ramenInstellingen->BeveiligingInstellingen->LokaalBeleid->BeveiligingOpties. De geldigheidsduur van het computerwachtwoord kan variëren van 0 tot 999 (standaard 30 dagen).

Als uw computerwachtwoord is verlopen, wordt het automatisch gewijzigd volgende inschrijving in het domein. Als u uw computer een aantal maanden niet opnieuw hebt opgestart, blijft de vertrouwensrelatie tussen de pc en het domein behouden en wordt het computerwachtwoord gewijzigd wanneer u de volgende keer opnieuw opstart.

De vertrouwensrelatie wordt verbroken als een computer zich probeert te verifiëren bij een domein met een onjuist wachtwoord. Dit gebeurt meestal wanneer de computer of vanaf een momentopname virtuele machine. In dit geval komen het lokaal opgeslagen wachtwoord van de machine en het wachtwoord op het domein mogelijk niet overeen.

De ‘klassieke’ manier om het vertrouwen in dit geval te herstellen is:

1. Reset het lokale beheerderswachtwoord
2. Verwijder de pc uit het domein en neem deze op in een werkgroep
3. Zal opnieuw opstarten
4. Reset met behulp van de module de registratie van de computer in het domein (Account opnieuw instellen)
5. Sluit de pc opnieuw aan bij het domein
6. Start opnieuw op

Deze methode is de eenvoudigste, maar te onhandig en vereist minimaal twee keer opnieuw opstarten en 10-30 minuten tijd. Bovendien kunnen er problemen optreden bij het gebruik van oude lokale gebruikersprofielen.

Er is een elegantere manier om het vertrouwen te herstellen zonder opnieuw lid te worden van het domein en zonder opnieuw op te starten.

Netdom-hulpprogramma

NutsvoorzieningNetdom inbegrepen Windows-compositie Server vanaf versie 2008 en kan vanaf RSAT op de pc's van gebruikers worden geïnstalleerd ( Externe server Beheerhulpmiddelen). Om het vertrouwen te herstellen, moet u inloggen als lokale beheerder (door “.\Administrator” te typen op het inlogscherm) en de volgende opdracht uitvoeren:

Netdom resetpwd /Server:DomainController /UserD:Beheerder /PasswordD:Wachtwoord

• Server– de naam van een eventuele beschikbare domeincontroller
• GebruikerD– gebruikersnaam met domeinbeheerdersrechten of volledige controle over de OE met een computeraccount
• WachtwoordD- gebruikerswachtwoord

Netdom resetpwd /Server:sam-dc01 /GebruikerD:aapetrov /WachtwoordD:Pa@@w0rd

Zodra de opdracht met succes is voltooid, hoeft u niet meer opnieuw op te starten; u hoeft zich alleen maar af te melden en in te loggen met een domeinaccount.

Reset-ComputerMachinePassword-cmdlet

De cmdlet verscheen in PowerShell 3.0 en is, in tegenstelling tot het Netdom-hulpprogramma, al beschikbaar in het systeem vanaf Windows 8 / Windows Server 2012. Op Windows 7, Server 2008 en Server 2008 R2 kan het handmatig worden geïnstalleerd (http://www. .microsoft.com/en-us/download/details.aspx?id=34595), vereist ook Net Framework 4.0 of hoger.

U moet ook inloggen met een lokaal beheerdersaccount, de PowerShell-console openen en de opdracht uitvoeren:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server– domeincontrollernaam
• Referentie– gebruikersnaam met domeinbeheerdersrechten (of rechten op OE vanaf een pc)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

In het beveiligingsvenster dat wordt geopend, moet u het gebruikerswachtwoord opgeven.

Advies. Dezelfde bewerking kan worden uitgevoerd met een andere Powershell-cmdlet Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp\aapetrov

U kunt de aanwezigheid van een beveiligd kanaal tussen de pc en de DC controleren met het commando:

nltest /sc_verify:corp.adatum.com

De volgende regels bevestigen dat de vertrouwensrelatie succesvol is hersteld:

Status vertrouwde DC-verbinding Status = 0 0x0 NERR_Success

Vertrouwensverificatiestatus = 0 0x0 NERR_Success

Zoals u kunt zien, is het herstellen van het vertrouwen in een domein vrij eenvoudig.

Er kan een situatie voorkomen waarin een computer zich niet kan verifiëren bij een domein. Hier zijn enkele voorbeelden:

• Nadat het besturingssysteem opnieuw op een werkstation is geïnstalleerd, kan de machine zich niet verifiëren, zelfs niet met dezelfde computernaam. Want in het proces nieuwe installatie Besturingssysteem wordt gegenereerd SID-identificatie en de computer kent het wachtwoord van de computerobjectaccount in het domein niet, behoort niet tot het domein en kan zich niet verifiëren bij het domein.
• De computer is volledig hersteld vanaf een back-up en kan niet worden geverifieerd. Het computerobject heeft mogelijk het domeinwachtwoord gewijzigd na archivering. Computers veranderen elke 30 dagen hun wachtwoorden en de structuur Actieve map onthoudt het huidige en vorige wachtwoord. Als het hersteld is backup kopie computer met een lang verouderd wachtwoord, kan de computer zich niet verifiëren.
• Geheim LSA computer is al lange tijd niet gesynchroniseerd met een wachtwoord dat bekend is bij het domein. Die. de computer is het wachtwoord niet vergeten - het is alleen zo dat dit wachtwoord niet overeenkomt met het echte wachtwoord in het domein. In dit geval kan de computer niet worden geverifieerd en wordt er geen beveiligd kanaal aangemaakt.

Belangrijkste kenmerken eventuele problemen computeraccount:

• Domeinaanmeldingsberichten geven aan dat de computer niet kon communiceren met de domeincontroller, dat het computeraccount ontbreekt, dat de verkeerd wachtwoord computeraccount of vertrouwen is verloren gegaan ( veilige communicatie) tussen de computer en het domein.
• Berichten of gebeurtenissen in het gebeurtenislogboek die soortgelijke fouten aangeven of problemen suggereren met wachtwoorden, vertrouwensrelaties, beveiligde kanalen of communicatie met het domein of de domeincontroller. Een dergelijke fout is Authenticatiefout met foutcode 3210 in het computergebeurtenislogboek.
• Er is geen computeraccount in Active Directory.

Hoe te behandelen?

U moet uw computeraccount opnieuw installeren. Er zijn online aanbevelingen voor een dergelijke herinstallatie: verwijder de computer uit het domein en sluit u er vervolgens opnieuw bij aan. Ja het werkt, maar deze optie Het wordt niet aanbevolen om dit te doen, omdat de SID-identificatie en het werkgroeplidmaatschap van de computer verloren gaan.

Daarom is het noodzakelijk om dit te doen :

Open de Active Directory-module, selecteer Gebruikers en computers, klik met de rechtermuisknop op het computerobject en gebruik de opdracht Account opnieuw instellen. Hierna moet de computer opnieuw aan het domein worden toegevoegd en opnieuw worden opgestart.

Met behulp van een account gerelateerd aan lokale groep"Beheerders":

netdom reset Machinenaam /domein Domeinnaam /Gebruiker Gebruikersnaam /Wachtwoord (Wachtwoord | *)

Op een computer waarop de vertrouwensrelatie verloren is gegaan:

nltest /server:Servernaam /sc_reset:DOMAIN\Domain_controller