Kết nối mạng không được xác thực. Khôi phục sự tin cậy của miền

Đôi khi xảy ra trường hợp máy tính không thể xác thực miền. Dưới đây là một số ví dụ:

• Sau khi cài đặt lại hệ điều hành trên máy trạm, máy không thể xác thực ngay cả khi sử dụng cùng một tên máy tính. Kể từ trong quá trình cài đặt mới Hệ điều hành được tạo ra Mã định danh SID và máy tính không biết mật khẩu của tài khoản đối tượng máy tính trong miền, nó không thuộc miền, và nó không thể xác thực với miền.
• Máy tính đã được khôi phục hoàn toàn từ bản sao lưu và không thể xác thực. Đối tượng máy tính có thể đã thay đổi mật khẩu của nó trên miền sau khi sao lưu. Máy tính thay đổi mật khẩu của chúng 30 ngày một lần và cấu trúc Thư mục hoạt động ghi nhớ mật khẩu hiện tại và trước đó. Nếu đã được khôi phục bản sao lưu máy tính có mật khẩu lỗi thời, máy tính sẽ không thể xác thực.
• Bí mật LSA máy tính đã không được đồng bộ với mật khẩu mà miền đã biết trong một thời gian dài. Những thứ kia. máy tính không quên mật khẩu - chỉ là mật khẩu này không khớp với mật khẩu thực trong miền. Trong trường hợp này, máy tính không thể được xác thực và một kênh an toàn sẽ không được tạo.

Các dấu hiệu chính những vấn đề có thể xảy ra tài khoản máy tính:

• Thông báo đăng nhập miền cho biết rằng máy tính không thể giao tiếp với bộ điều khiển miền, tài khoản máy tính đã nhập bị thiếu sai mật khẩu tài khoản máy tính hoặc niềm tin đã bị mất ( giao tiếp an toàn) giữa máy tính và miền.
• Thông báo hoặc sự kiện trong nhật ký sự kiện cho biết các lỗi tương tự hoặc đề xuất các vấn đề về mật khẩu, mối quan hệ tin cậy, các kênh an toàn hoặc giao tiếp với miền hoặc bộ điều khiển miền. Một trong những lỗi như vậy là lỗi xác thực với mã lỗi 3210 trong nhật ký sự kiện máy tính.
• Không có tài khoản máy tính trong Active Directory.

Điều trị như thế nào?

Bạn cần cài đặt lại tài khoản máy tính của mình. Có các khuyến nghị trên mạng cho việc cài đặt lại như vậy: xóa máy tính khỏi miền để tham gia lại sau. Có nó hoạt động, nhưng tùy chọn này không nên làm điều này vì mã định danh SID và tư cách thành viên của máy tính trong nhóm làm việc bị mất.

Vì vậy, cần phải làm :

Mở phần đính vào Active Directory, chọn Người dùng và Máy tính, bấm vào đối tượng máy tính kích chuột phải chuột và áp dụng lệnh "Cài đặt lại Tài khoản". Sau đó, máy tính sẽ được tham gia lại vào miền và khởi động lại.

Sử dụng tài khoản liên quan đến Nhóm địa phương"Quản trị viên":

netdom reset MachineName / domain DomainName / Usero UserName / Passwordo (Mật khẩu | *)

Trên một máy tính bị mất niềm tin:

nltest / server: Server_Name / sc_reset: DOMAIN \ Domain_Controller

. Windows XP

1 ... Hãy bắt đầu trình chỉnh sửa sổ đăng ký, ( Bắt đầu chạy-regedit- Vào)

. Windows 7

Đối với phần mềm Windows 7, chúng tôi xóa bằng cách sử dụng chương trình XóaWAT21
1. Tải xuống chương trình này với Tiền gửi hoặc Letitbit
2. Xóa kích hoạt cũ
3. Kích hoạt lại
4. Và bạn xóa xác thực vĩnh viễn
Hướng dẫn chi tiết được mô tả trong chính chương trình, toàn bộ hoạt động diễn ra theo đúng nghĩa đen trong ba lần nhấp chuột.

Cách loại bỏ thông báo Windows giả mạo

Cập nhật ( KB971033) xác minh tính xác thực của các thành phần kích hoạt và xác minh có trong công nghệ Kích hoạt Windows cho hệ thống Windows 7.
Nhấp chuột phải vào biểu tượng: Máy tính - Thuộc tính.
Chúng tôi chọn Windows Update - Các bản cập nhật đã cài đặt.
Chúng tôi tìm thấy trong số các bản cập nhật đã cài đặt (Cập nhật cho Microsoft Windows KB971033), chọn và xóa nó.
Tới, Windows không còn bay khỏi kích hoạtđang cập nhật (KB971033) ẩn giấu... Nhấp chuột phải vào biểu tượng: Máy tính - Thuộc tính... Chúng tôi chọn Cập nhật hệ điều hành Window - Cập nhật quan trọng ... Tìm (KB971033) và ẩn nó bằng cách nhấp chuột phải vào nó. Nó sẽ không còn đến từ Microsoft nữa.

Do đó, không cài đặt các bản cập nhật này ..
Ví dụ, nếu bạn có cướp biển phiên bản sau đó: KB905474, KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Nếu bạn cài đặt KB971033- anh ấy sẽ tìm thấy nứt và sẽ đưa ra một thông điệp rằng "Bạn là nạn nhân của phần mềm giả mạo."
KB2859537- v Windows XP có thể chặn việc khởi chạy tất cả exe - tệp ngoại trừ những cái đó
ngủ nướng Thư mục Windows . Đang xóa bản cập nhật khắc phục sự cố.
Cách nhận các bản cập nhật cho Windows XPđọc
Làm thế nào từ Windows XP Phiên bản Trang chủ tạo windows xp phiên bản chuyên nghiệp , đọc
Ở đây ngắn gọn, về làm thế nào để loại bỏ cửa sổ này.

Phá vỡ mối quan hệ tin cậy giữa máy trạm và bộ điều khiển miền (giải pháp)

Trực tuyến với đội xe 150 chiếc sau khi cập nhật hệ điều hành Trước MS Windows 7, vấn đề người dùng đăng nhập vào hệ thống bắt đầu được quan sát thấy liên tục. Một ngày đẹp trời, người dùng bật máy tính phát hiện ra rằng anh ta không thể vào hệ thống, trong khi anh ta thấy một thông báo tuyệt đẹp về tính thông tin của nó:
"Không thể thiết lập mối quan hệ tin cậy giữa máy trạm này và miền chính."

Chỉ có duy nhất một giải pháp. Đưa máy ra khỏi miền và đưa máy trở lại. Khi tình trạng này bắt đầu lặp lại nhiều hơn một lần mỗi ngày, và tôi cảm thấy mệt mỏi vì nó, tôi đã nghĩ đến việc phòng ngừa. Và ở đây Internet đã im lặng. Sau một thời gian chán nản, và sự chán nản được coi là tội lỗi, nó đã quyết định đào. Kết quả của sự tra tấn của cuộc khai quật, lý do của 99% các trường hợp đã được thu thập (và tôi nghi ngờ rằng 1% còn lại chỉ đơn giản là không thú nhận với cùng một lý do). Nguyên nhân là do Startup Repair Service, dịch vụ này sẽ bật lên khi xảy ra hiện tượng tắt máy bất thường. Trên màn hình đầu tiên của hộp thoại, dịch vụ hỏi người dùng có khôi phục hệ thống hay không. Trong trường hợp có câu trả lời khẳng định, hệ thống sẽ quay trở lại trạng thái ban đầu và, có thể, bên hông của máy đập. Có thể như vậy, miền sẽ không cho phép người dùng từ một máy như vậy sau một thao tác như vậy. Dựa vào người dùng trong một vấn đề như vậy là vô ích. Bạn có thể yêu cầu anh ta từ chối, nếu tình huống như vậy phát sinh, nhưng người dùng có khả năng rất cao sẽ nhấn nút "khôi phục" và sau đó vung tay lên, họ cho rằng, con quỷ ám. Nói chung, bạn cần vô hiệu hóa hàng loạt dịch vụ sửa chữa khởi động trên n-máy.

Về phương diện cục bộ, giải pháp trông giống như một lệnh console:

Reagentc.exe / vô hiệu hóa

Mạng sẽ yêu cầu Tiện ích PsExec từ Gói Microsoft Sysinternals PsTools, mô tả của tiện ích và gói chính nó là

Chúng tôi đặt Psexec.exe trong cùng một thư mục với tệp lệnh(hãy gọi nó là broff.cmd)
bên trong broff.cmd chúng tôi viết:

:: Lấy danh sách các máy tính trong mạng, dọn dẹp nó khỏi rác và đưa vào net.lst net.exe view / domain: megafon >> net.tmp for / f "tokens = 1,2 delims =" %% i in (net.tmp) do (Echo %% i >> net1.tmp) for / f "tokens = 1,2 delims = \" %% i in (net1.tmp) do (Echo %% i >> net. lst) DEL *. TMP :: Xem qua danh sách và tắt khôi phục khởi động cho / f "tokens = 1,2 delims =" %% F in (net.lst) do (start psexec \\ %% F reagentc.exe / vô hiệu)

Đó là tất cả. Người dùng không còn là kẻ thù của chúng tôi.

Tags: Trusts, DC, CNTT, Quản trị mạng, Mạng, Triển khai

Trong bài viết này, chúng tôi sẽ đề cập đến vấn đề vi phạm quan hệ tin cậy giữa máy trạm và miền, ngăn người dùng đăng nhập vào hệ thống. Hãy xem xét nguyên nhân gốc rễ của vấn đề và một cách dễ dàng để khôi phục lòng tin qua một kênh an toàn.

Cách sự cố tự biểu hiện: người dùng cố gắng đăng nhập vào máy trạm hoặc máy chủ bằng tài khoản của mình và sau khi nhập mật khẩu, lỗi sẽ xuất hiện:

Không khôi phục được độ tin cậy giữa máy trạm và miền

Hoặc như thế này:

Cơ sở dữ liệu bảo mật trên máy chủ không không có máy vi tính tài khoản cho mối quan hệ tin cậy máy trạm này

Chúng ta hãy thử tìm hiểu những lỗi này có nghĩa là gì và cách khắc phục chúng.

Mật khẩu máy tính miền AD

Khi một máy tính được đăng ký trong miền, một kênh bảo mật sẽ được thiết lập giữa máy tính đó và bộ điều khiển miền, qua đó thông tin đăng nhập được truyền và tương tác thêm xảy ra theo chính sách bảo mật do quản trị viên đặt ra.

Mật khẩu tài khoản máy tính mặc định có giá trị trong 30 ngày, sau đó nó sẽ tự động thay đổi. Việc thay đổi mật khẩu do chính máy tính khởi xướng dựa trên các chính sách miền.

Lời khuyên... Thời gian tồn tại của mật khẩu tối đa có thể được định cấu hình bằng chính sách Lãnh địa thành viên: Tối đa cỗ máy tài khoản mật khẩu mở khóa tuổi, nằm trong phần: Máy vi tínhCấu hình->các cửa sổCài đặt->Bảo vệCài đặt->Địa phươngChính sách->Bảo vệTùy chọn... Mật khẩu máy tính có thể hết hạn từ 0 đến 999 (mặc định là 30 ngày).

Nếu mật khẩu máy tính đã hết hạn, nó sẽ tự động được thay đổi khi đăng ký tiếp theo trong miền. Do đó, nếu bạn không khởi động lại máy tính trong vài tháng, mối quan hệ tin cậy giữa PC và miền được giữ nguyên và mật khẩu máy tính sẽ được thay đổi ở lần khởi động lại tiếp theo.

Sự tin cậy bị phá vỡ nếu máy tính cố gắng xác thực miền bằng mật khẩu không hợp lệ. Điều này thường xảy ra khi máy tính hoặc từ một ảnh chụp nhanh máy ảo... Trong trường hợp này, mật khẩu máy được lưu trữ cục bộ và mật khẩu trong miền có thể không khớp.

Cách "cổ điển" để khôi phục lòng tin trong trường hợp này:

1. Đặt lại mật khẩu quản trị viên cục bộ
2. Đưa PC ra khỏi miền và thêm nó vào nhóm làm việc
3. Sẽ khởi động lại
4. Sử dụng snap-in - đặt lại tài khoản của máy tính trong miền (Đặt lại tài khoản)
5. Kết nối lại PC với miền
6. Khởi động lại một lần nữa

Phương pháp này là đơn giản nhất, nhưng quá vụng về và cần ít nhất hai lần khởi động lại và thời gian từ 10-30 phút. Ngoài ra, có thể có vấn đề khi sử dụng hồ sơ người dùng cục bộ cũ.

Có một cách thanh lịch hơn để xây dựng lại lòng tin mà không cần tiếp quản miền hoặc khởi động lại.

Tiện ích Netdom

Tính thiết thựcNetdom bao gồm trong Thành phần Windows Máy chủ bắt đầu từ phiên bản 2008 và trên PC của người dùng, nó có thể được cài đặt từ RSAT ( Máy chủ từ xa Công cụ quản trị). Để khôi phục sự tin cậy, bạn cần đăng nhập vào hệ thống với tư cách là quản trị viên cục bộ (bằng cách gõ “. \ Administrator” trên màn hình đăng nhập) và chạy lệnh sau:

Netdom resetpwd / Server: DomainController / UserD: Quản trị viên / Mật khẩuD: Mật khẩu

• Người phục vụ- tên của bất kỳ bộ điều khiển miền khả dụng nào
• Người dùngD- tên người dùng có quyền quản trị viên miền hoặc Toàn quyền kiểm soát trên đơn vị tổ chức với tài khoản máy vi tính
• Mật khẩuD- mật khẩu người dùng

Netdom resetpwd / Server: sam-dc01 / UserD: aapetrov / PasswordD: [email được bảo vệ]@ w0rd

Sau khi thực hiện lệnh thành công, không cần khởi động lại, chỉ cần chạy đăng xuất và đăng nhập vào hệ thống bằng tài khoản miền là đủ.

Reset-ComputerMachinePassword Cmdlet

Lệnh ghép ngắn đã xuất hiện trong PowerShell 3.0 và không giống như tiện ích Netdom, nó đã có sẵn trong hệ thống kể từ Windows 8 / máy chủ Windows 2012. Trên Windows 7, Server 2008 và Server 2008 R2, bạn có thể cài đặt thủ công (http://www.microsoft.com/en-us/download/details.aspx?id=34595), cũng cần Nền tảng NET 4.0 trở lên.

Bạn cũng cần đăng nhập bằng tài khoản quản trị viên cục bộ, mở bảng điều khiển PowerShell và chạy lệnh:

Reset-ComputerMachinePassword -Server DomainController -Tên thông tin đăng nhập \ Admin

• Người phục vụ- tên bộ điều khiển miền
• Chứng chỉ- tên người dùng có quyền quản trị viên miền (hoặc quyền đối với OU từ PC)

Reset-Máy tínhMachinePassword -Server sam-dc01 -Các công ty xác thực \ aapetrov

Trong cửa sổ bảo mật mở ra, bạn cần chỉ định mật khẩu của người dùng.

Lời khuyên... Thao tác tương tự có thể được thực hiện bằng cách sử dụng lệnh ghép ngắn Powershell khác Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp \ aapetrov

Bạn có thể kiểm tra sự hiện diện của kênh an toàn giữa PC và DC bằng lệnh:

nltest /sc_verify:corp.adatum.com

Các dòng sau xác nhận rằng sự tin cậy đã được khôi phục thành công:

Trạng thái kết nối DC đáng tin cậy = 0 0x0 NERR_Success

Trạng thái xác minh tin cậy = 0 0x0 NERR_Success

Như bạn có thể thấy, việc xây dựng lại niềm tin miền khá dễ dàng.