Відновлення довірчих відносин без повторного введення в домен

У цій статті ми торкнемося проблеми порушення довірчих відносин між робочою станцією і доменом, що заважає користувачеві авторизуватися в системі. Розглянемо причину проблеми і простий спосіб відновлення довірчих відносин з безпечного каналу.

Як проявляється проблема: користувач намагається авторизуватися на робочій станції або сервері під своїм обліковим запис і після введення пароля з'являється помилка:

The trust relationship between this workstation and the primary domain failedНе вдалося відновити довірчі відносини між робочою станцією і доменом

Або така:

The security database on the server does not have a computer account for this workstation trust relationshipБаза даних диспетчера облікових записів на сервері не містить записи для реєстрації комп'ютера через довірчі відносини з цією робочою станцією

Спробуємо розібратися, що ж означають дані помилки і як їх виправити.

зміст:

  • Пароль комп'ютера в домені AD
  •  утиліта Netdom
  • Командлет Reset-ComputerMachinePassword

Пароль комп'ютера в домені AD

Коли комп'ютер вводиться в домен Active Directory, для нього створюється окремий обліковий запис комп'ютера з паролем. На цьому рівні довіру забезпечується тим, що ця операція виконується адміністратором домену або користувачем домену (кожен користувач за замовчуванням може включити в домен 10 ПК).

При реєстрації комп'ютера в домені, між ним і контролером домену встановлюється безпечний канал, по якому передаються облікові дані, і подальшу взаємодію відбувається відповідно до політиками безпеки, встановленими адміністратором.

Пароль облікового запису комп'ютера за умовчанням діє 30 днів, після чого автоматично змінюється. Зміна пароля ініціюється самим комп'ютером на підставі доменних політик.

Порада. Максимальний термін життя пароля може бути налаштований за допомогою політики Domain member: Maximum machine account password age, яка знаходиться в розділі: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options.  Термін дії пароля комп'ютера може бути від 0 до 999 (за замовчуванням 30 днів).

Якщо пароль комп'ютера прострочений, він автоматично змінюється при наступній реєстрації в домені. Поетом, якщо ви не перезавантажували комп'ютер кілька місяців, довірчі відносини між ПК і доменом зберігаються, а пароль комп'ютера буде змінений після перезавантаження сторінки.

Довірчі відносини розриваються, якщо комп'ютер намагається аутентіфціроваться в домені під невірним паролем. Зазвичай це відбувається, коли комп'ютер відновлюють з образу або з снапшотов віртуальної машини. В цьому випадку пароль машини, що зберігається локально, і пароль в домені можуть не збігатися.

"Класичний" спосіб відновити довірчі відносини в цьому випадку ::

  1. Скинути пароль локального адміністратора
  2. Вивести ПК з домена і включити його в робочу групу
  3. перезавантажиться
  4. За допомогою оснастки ADUC - скинути обліку комп'ютера в домені (Reset Account)
  5. Повторно включити ПК в домен
  6. Ще раз перезавантажитися

Цей метод найпростіший, але дуже сокирний і вимагає як мінімум двох перезавантажень і 10-30 хвилин часу. Крім того, можуть виникнути проблеми з використанням старих локальних профілів користувачів.

Є більш елегантний спосіб відновити довірчі відносини без перевключення в домен і без перезавантажень.

 утиліта Netdom

утиліта Netdom  включена до складу Windows Server починаючи з 2008 версії, а на ПК користувачів може бути встановлена ​​з RSAT (Remote Server Administration Tools). Щоб восстанвіть довірчі відносини, потрібно увійти в систему під локальним адміністратором (набравши ". \ Administrator" на екрані входу в систему) і виконати таку команду:

Netdom resetpwd / Server: DomainController / UserD: Administrator / PasswordD: Password

  • Server - ім'я будь-якого доступного контролера домену
  • UserD - ім'я користувача з правами адміністратора домену або Full control на OU з обліковим записом комп'ютера
  • PasswordD - пароль користувача

Netdom resetpwd / Server: sam-dc01 / UserD: aapetrov / PasswordD: Pa @@ w0rd

Послу успішного виконання команди перезавантаження не потрібна, достатньо виконати логофф і увійти в систему під доменної облікової.

Командлет Reset-ComputerMachinePassword

командлет Reset-ComputerMachinePassword з'явився в PowerShell 3.0, і на відміну від утиліти Netdom, вже є в системі, починаючи з Windows 8 / Windows Server 2012. На Windows 7, Server 2008 і Server 2008 R2 його можна встановити вручну (http://www.microsoft.com /en-us/download/details.aspx?id=34595), також потрібна наявність Net Framework 4.0 або вище.

Також потрібно увійти в систему під локальної обліковим записом адміністратора, відкрити консоль PowerShell і виконати команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin

  • Server - ім'я контролера домену
  • Credential - ім'я користувача з правами адміністратора домену (або правами на OU з ПК)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp \ aapetrov

У вікні безпеки потрібно вказати пароль користувача.

Порада. Цю ж операцію можна виконати за допомогою іншого командлет Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp \ aapetrov

Перевірити наявність безпечного каналу між ПК і DC можна командою:

nltest /sc_verify:corp.adatum.com

Наступні рядки підтверджують, що довірчі відносини були успішно відновлені:

Trusted DC Connection Status Status = 0 0x0 NERR_Success

Trust Verification Status = 0 0x0 NERR_Success

Як ви бачите, відновити довірчі відносини в домені досить просто.