Restabilim încrederea în domeniu. Încredere în relații Rezolvarea unei erori de certificat

Fiecare administrator de sistem întâmpină din când în când eroarea „O relație de încredere între această stație de lucru și domeniul principal nu a putut fi stabilită”. Dar nu toată lumea înțelege cauzele și mecanismele proceselor care duc la apariția acesteia. Pentru că fără a înțelege semnificația evenimentelor curente, o administrare semnificativă este imposibilă, care este înlocuită cu executarea fără minte a instrucțiunilor.

Conturile de computer, ca și conturile de utilizator, sunt principii de securitate de domeniu. Fiecărui principal de securitate i se atribuie automat un identificator de securitate (SID) la care nivel poate accesa resursele de domeniu.

Înainte de a acorda unui cont acces la un domeniu, trebuie să verificați autenticitatea acestuia. Fiecare participant la securitate trebuie să aibă propriul cont și parolă, iar un cont de computer nu face excepție. Când vă alăturați un computer la Active Directory, este creat un cont de computer pentru acesta și este setată o parolă. Încrederea la acest nivel este asigurată de faptul că această operațiune este efectuată de un administrator de domeniu sau alt utilizator care are autoritatea explicită să facă acest lucru.

Ulterior, de fiecare dată când computerul se conectează la domeniu, acesta stabilește un canal securizat cu controlerul de domeniu și îi oferă acreditările sale. În acest fel, se stabilește o relație de încredere între computer și domeniu și interacțiunea ulterioară are loc în conformitate cu politicile de securitate și drepturile de acces stabilite de administrator.

Parola contului de computer este valabilă 30 de zile și se schimbă automat ulterior. Este important să înțelegeți că schimbarea parolei este inițiată de computer. Acest lucru este similar cu procesul de schimbare a parolei unui utilizator. După ce a descoperit că parola actuală a expirat, computerul o va înlocui data viitoare când vă conectați la domeniu. Prin urmare, chiar dacă nu ați pornit computerul de câteva luni, relația de încredere în domeniu va rămâne, iar parola va fi schimbată prima dată când vă conectați după o pauză lungă.

Încrederea este întreruptă atunci când un computer încearcă să se autentifice la un domeniu cu o parolă nevalidă. Cum se poate întâmpla asta? Cea mai ușoară modalitate este de a reveni la starea computerului, de exemplu, folosind un utilitar standard de restaurare a sistemului. Același efect poate fi obținut la restaurarea dintr-o imagine, instantaneu (pentru mașini virtuale), etc.

O altă opțiune este să schimbi contul cu un alt computer cu același nume. Situația este destul de rară, dar uneori se întâmplă, de exemplu, când computerul unui angajat a fost schimbat în timp ce numele a fost salvat, cel vechi a fost eliminat din domeniu și apoi au fost reintroduși în domeniu, uitând să-l redenumească. În acest caz, când vechiul computer este reintrodus în domeniu, acesta va schimba parola contului computerului și noul computer nu se va mai putea autentifica, deoarece nu va putea stabili o relație de încredere.

Ce măsuri ar trebui să luați dacă întâmpinați această eroare? În primul rând, stabiliți motivul încălcării încrederii. Dacă a fost o derulare înapoi, atunci de către cine, când și cum a fost efectuată dacă parola a fost schimbată de un alt computer, trebuie să aflăm din nou când și în ce circumstanțe s-a întâmplat.

Un exemplu simplu: un computer vechi a fost redenumit și dat unui alt departament, după care s-a prăbușit și a revenit automat la ultimul punct de control. După care acest PC va încerca să se autentifice în domeniul sub vechiul nume și va primi firesc o eroare de stabilire a unei relații de încredere. Acțiunea corectă în acest caz ar fi să redenumiți computerul așa cum ar trebui să fie apelat, să creați un nou punct de control și să le ștergeți pe cele vechi.

Și numai după ce vă asigurați că încălcarea încrederii a fost cauzată de acțiuni necesare în mod obiectiv și că tocmai pentru acest computer puteți începe să restabiliți încrederea. Există mai multe moduri de a face acest lucru.

Utilizatori și computere Active Directory

Acesta este cel mai simplu, dar nu cel mai rapid și mai convenabil mod. Deschideți snap-in-ul pe orice controler de domeniu Utilizatori și computere Active Directory, găsiți contul de computer necesar și, făcând clic dreapta, selectați Resetează contul.

Apoi ne conectăm pe computerul care a pierdut relația de încredere sub administrator localși eliminați mașina din domeniu.

Apoi îl introducem înapoi, puteți sări peste repornirea dintre aceste două acțiuni. După ce ați reintrat în domeniu, reporniți și conectați-vă cu un cont de domeniu. Parola computerului va fi schimbată atunci când computerul este reconectat la domeniu.

Dezavantajul acestei metode este că mașina trebuie scoasă din domeniu, precum și necesitatea a două (una) reporniri.

Utilitar Netdom

Acest utilitar a fost inclus în Windows Server încă din ediția din 2008, poate fi instalat pe computerele utilizatorilor ca parte a pachetului RSAT (Remote Server Administration Tools). Pentru a-l utiliza, conectați-vă la sistemul țintă administrator localși rulați comanda:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Parolă

Să ne uităm la opțiunile de comandă:

• Server- numele oricărui controler de domeniu
• UtilizatorD- numele contului de administrator de domeniu
• ParolaD- parola de administrator de domeniu

Odată ce comanda este finalizată cu succes, nu este necesară repornirea, doar deconectați-vă de la contul dvs. local și conectați-vă la contul dvs. de domeniu.

cmdlet PowerShell 3.0

Spre deosebire de utilitarul Netdom, PowerShell 3.0 este inclus în sistem începând de la Windows 8 / Server 2012, pentru sistemele mai vechi poate fi instalat manual, sunt suportate Windows 7, Server 2008 și Server 2008 R2. Net Framework 4.0 sau o versiune ulterioară este necesară ca dependență.

În mod similar, conectați-vă la sistemul pentru care doriți să restabiliți încrederea ca administrator local, lansați consola PowerShell și executați comanda:

Resetare-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server- numele oricărui controler de domeniu
• Acreditare- nume de domeniu / cont de administrator de domeniu

Când executați această comandă, va apărea o fereastră de autorizare în care va trebui să introduceți parola pentru contul de administrator de domeniu pe care l-ați specificat.

Cmdletul nu afișează niciun mesaj când se finalizează cu succes, așa că trebuie doar să schimbați contul, nu este necesară repornirea.

După cum puteți vedea, restabilirea relațiilor de încredere într-un domeniu este destul de simplă, principalul lucru este să determinați corect cauza acestei probleme, deoarece diferitele cazuri vor necesita metode diferite. Prin urmare, nu ne obosim să repetăm: atunci când apare orice problemă, mai întâi trebuie să identificați cauza și abia apoi să luați măsuri pentru a o corecta, în loc să repetați fără minte prima instrucțiune găsită în rețea.

În acest articol, vom vorbi despre ce se construiește o relație serioasă între un bărbat și o femeie.

Relațiile serioase dintre bărbați și femei se construiesc, desigur, pe încredere.

Fără încredere = o relație serioasă este a priori, în principiu, imposibilă!

Încredere = aceasta este fundația pe care se construiesc relațiile. Casă = fără fundație (fundație adecvată) = imposibil de construit, se va prăbuși, același lucru este valabil și în relațiile cu un bărbat și o femeie.

Dacă nu ai încredere în partenerul tău = mai devreme sau mai târziu = totul se va prăbuși (distruge), deoarece relațiile cu frică, anxietate, griji, stres, durere, certuri etc. nu vor dura mult.

Ce este încrederea și absența ei?

Încrederea nu cunoaște îndoiala; de unde începe îndoiala, încrederea moare.

Aceasta este încrederea într-un partener (absența îndoielilor) și aceasta este lipsa de încredere (prezența îndoielilor). Încrederea într-o relație trebuie să fie completă și reciprocă. Dacă nu este cazul, unul dintre parteneri nu are încredere = îndoielile te roade etc. - nu va exista o relație serioasă (fără a rezolva această problemă), o astfel de relație nu va avea viitor, va fi sortită eșec.

Deci care este soluția în această situație? În opinia mea, există 2 moduri de a rezolva problema:

• În primul rând, construiește încredere (dacă a fost pierdută) cu partenerul tău. (dificil, dar posibil și dacă merită (are sens, citiți mai multe în articolul: „Merită să salvați o relație”) - chiar trebuie făcut, ambii parteneri, relațiile sunt de lucru!).
• În al doilea rând, despărțiți-vă și nu suferiți. (ușor, simplu, știu comentarii, nimic de spus aici).

Întreabă-te, ai încredere în partenerul tău? Dacă nu, poți avea încredere în el (hei) din nou?

Dacă răspunsul dvs. este „nu”, atunci cel mai corect lucru de făcut ar fi să puneți capăt acestei relații și să nu vă complicați viața unul altuia, pierzând timp neprețuit, energie și alte resurse cu toate acestea, făcându-vă unul pe altul mai nefericiți.

Scopul unei relații este să ne facem unul pe celălalt mai puternic. Am vorbit despre asta mai detaliat în articolul: „Semnificația relației dintre un bărbat și o femeie”. Dacă nu este cazul, atunci relația este lipsită de sens.

Mai devreme sau mai târziu = fără încredere totală = finalul va veni oricum, cuplurile se despart, așa că de ce să pierzi timpul, principala resursă în viața oricărei persoane? De ce să suferi, să ne facem unii pe alții mai nefericiți, să amânăm acest moment? Am avut o fată în care mi-am pierdut încrederea după gluma ei.

Inca nu stiu daca a fost o gluma sau nu (dragostea orbitoare), dar mi s-a imprimat pe creier = foarte, foarte puternic, pana in punctul in care mi-ar fi foarte greu sa incep din nou sa am incredere hei.

Dar. Totuși, în cazul meu, ar fi posibil să încerc să-mi dau seama totul și să-l repar (dar nu tocmai, nu).

Doar tu însuți știi răspunsul la întrebare - dacă poți avea încredere în el din nou sau nu, pentru că fiecare caz este individual și toți suntem, în principiu, indivizi individuali. Înţelege?

Dacă cu siguranță este „nu”, atunci există o singură cale de ieșire, mergi mai departe fără a te tortura pe tine și pe partenerul tău.

Dar, dacă mai aveți îndoieli, și răspunsul dvs., poate, poate etc. = atunci, pentru a reînnoi încrederea = va fi necesară munca zilnică dorită a ambilor parteneri în această direcție.

Relațiile sunt o muncă constantă între doi parteneri. Aceasta este munca. Post. Și încă o dată la muncă. Zilnic. Și nu doar în ceea ce privește încrederea, ci și multe alte componente despre care nu vorbim acum...

Dacă această muncă nu există, atunci, din păcate, nu vor exista relații armonioase, integrale, corecte.

Pentru a încerca să recâștigeți încrederea partenerului dvs., în primul rând, trebuie să vă așezați și să discutați totul cu partenerul dvs. cât mai detaliat posibil, toate îndoielile, gândurile, temerile, plângerile, etc. față de partenerul dvs. într-un mod sincer și onest. mod. Sinceritatea deplină, libertatea și onestitatea sunt importante. Fără asta nimic nu va funcționa.

P.S. Încrederea este strâns legată de onestitate, sinceritate și integritate.

Și este extrem de important să faceți acest lucru, și să nu o evitați, gândindu-vă că totul va trece/va fi uitat. Nu! Cu cât totul durează mai mult, cu atât totul este păstrat mai mult în sine = cu atât mai multe „fecale” ies apoi.

Toate îndoielile, temerile, nesiguranța etc. trebuie spuse partenerului tău. Spune-i (hei) ce nu-ți place în relația ta, la ea (el), spune-i unde simți disconfort, neplăcere și așa mai departe. Trebuie să discutați și să vă exprimați absolut totul unul altuia în orice moment, pe parcursul dezvoltării relației voastre - și nu în „sărbători” (atunci când lucrurile au fiert deja).

În cazul nostru, în ceea ce privește încrederea, trebuie să vă deschideți complet și să expuneți totul. Sentimentele si toate emotiile tale = fara a fi timid, fara frica, fara a retine ABSOLUT NIMIC!

Toate temerile, acțiunile, acțiunile, pretențiile, problemele, dorințele etc., etc. tot ceea ce doriți = trebuie discutat. Totul de la început până la sfârșit într-o singură ședință. Și după toate acestea, trebuie să creăm un plan concret de acțiune comună împreună și să începem să lucrăm unul cu celălalt, împreună, începând să dezvoltăm încrederea, cum? => scăpând împreună de toate aceste îndoieli, temeri, probleme, pretenții și alte componente.

Învățați să aveți încredere unul în celălalt, învățați să vă recunoașteți greșelile, învățați să vă asumați vina (responsabilitatea), după înțelegerea mea, asta înseamnă că trebuie să fiți pregătiți să corectați ceea ce s-a întâmplat din vina voastră, să învățați să iertați/să cereți iertare, să vă pocăiți, Învățați să căutați compromisuri, să învățați să vorbiți (a comunica) unul cu celălalt (unde, cum, cu cine, când, apeluri/sms, deschidere completă, acces deplin), trebuie să fiți complet sinceri și sinceri unul cu celălalt. Toate „acestea” sunt ale tale = acțiuni comune.

De ce sunt ele importante? Pentru că atunci când munca (acțiunile, acțiunile) se desfășoară ordonat ÎMPREUNĂ (unele cu altele) = se stabilește și raportul (aceeași legătură) (legătura se stabilește prin acțiuni comune) = ceea ce înseamnă că se stabilește și încrederea. Raport (comunicare) = încredere. Amintește-ți asta ca tatăl nostru.

Și, desigur, nu uitați de expresia „răbdare și muncă = măcinați”. Dacă amândoi vreți cu adevărat să fiți unul cu celălalt = dacă doriți = o relație puternică, fericită, armonioasă, holistică = atunci lucrați la ea = unul cu celălalt, împreună, în fiecare zi și veți fi răsplătiți în funcție de meritele voastre. Asta e tot pentru mine.

Dar cel mai bun lucru este să preveniți pierderea încrederii în principiu, atunci nu va trebui să rezolvați problema. Totuși, toată lumea face greșeli, după zvonuri chiar și Roboți =) subiectul mi-a fost foarte aproape astăzi...

Felicitări, administrator.

Utilitare criptografice CryptoPro sunt folosite în multe programe create de dezvoltatorii ruși. Scopul lor este să semneze diverse documente electronice, să organizeze PKI și să manipuleze certificate. În acest articol ne vom uita la eroarea care apare ca urmare a lucrului cu un certificat - „A apărut o eroare de sistem la verificarea relațiilor de încredere”.

Motivul erorii în CryptoPro

Apariția unui mesaj de eroare de sistem este adesea asociată cu versiuni conflictuale ale Windows și CryptoPro. Utilizatorii tind să se familiarizeze rapid cu cerințele de sistem ale software-ului, proprietățile și capabilitățile acestuia. De aceea, trebuie să studiați instrucțiunile și forumurile mai detaliat numai după ce a apărut un eșec.

Adesea, software-ul în sine este instalat pe sistem cu erori. Există o mulțime de motive pentru aceasta:

• Probleme în registrul de sistem Windows;
• Hard disk-ul este plin cu junk care împiedică alte programe să funcționeze corect;
• Prezența virușilor în sistem și așa mai departe.

Rezolvarea erorii de certificat

A apărut o eroare de sistem în produsul software CryptoPro: „A apărut o eroare de sistem la verificarea relațiilor de încredere.” Să încercăm să rezolvăm această problemă. În unele cazuri, programul poate afișa un mesaj pe ecran dacă sistemul nu are actualizările corespunzătoare. De asemenea, este posibil să primiți o eroare dacă utilizați CryptoPro versiunea 3.6 pe sistemul de operare Windows 8.1. Pentru acest sistem de operare trebuie să utilizați versiunea 4 sau mai mare. Dar pentru a instala unul nou, trebuie să dezinstalați versiunea veche.

Toate datele importante din versiunea anterioară trebuie copiate pe un suport amovibil sau într-un folder separat Windows.

Apoi trebuie să vizitați site-ul oficial și să descărcați cea mai recentă versiune a pachetului de utilitate, să le descărcați și să le instalați pe computer. Accesați adresa - https://www.cryptopro.ru/downloads. La instalare, dezactivați temporar paravanul de protecție Windows și alte programe sau antivirusuri care pot bloca funcționarea CryptoPro.

Puteți instala un produs nou folosind contul personal de pe site. Pentru a face acest lucru, trebuie să vă conectați și să vă conectați.

1. Apoi accesați contul personal;
2. Deschideți fila „Service Management” din partea de sus;
3. Accesați secțiunea „Loc de muncă automatizat”;
4. Apoi găsiți elementul „Plugin-uri și suplimente” și faceți clic pe una dintre versiunile CryptoPro.

Instalarea unui certificat personal

În continuare, trebuie să instalați certificatul în utilitarul CryptoPro pentru a rezolva eșecul certificatului - a existat un eșec la verificarea relațiilor de încredere. Rulați software-ul ca administrator. Cel mai bun mod de a face acest lucru este din meniul Start.

Alte metode de rezolvare a erorilor la verificarea relațiilor de încredere

Dacă utilizați CryptoPro versiunea 4, dar eroarea încă apare, încercați pur și simplu să reinstalați programul. În multe cazuri, aceste acțiuni au ajutat utilizatorii. De asemenea, este posibil ca hard disk-ul să fie plin de fișiere inutile și să fie șters. Utilitare Windows standard ne vor ajuta în acest sens.

1. Deschideți Explorer (WIN+E) și selectați una dintre unitățile locale cu RMB;
2. Faceți clic pe „Proprietăți”;
3. Sub imaginea spațiului folosit pe disc, găsiți și faceți clic pe butonul „Curățați”;
4. Apoi va apărea o fereastră în care trebuie să selectați fișierele de șters;
5. Puteți selecta toate elementele și faceți clic pe „Ok”.

Această instrucțiune trebuie urmată pentru toate unitățile locale de pe computer. Apoi, urmați următoarele instrucțiuni pentru a verifica fișierele Windows

1. Deschideți meniul Start;
2. Introduceți „Command Prompt” în bara de căutare;
3. Selectați această linie cu RMB și utilizați mouse-ul pentru a indica „În numele administratorului”;
4. Introduceți comanda în această fereastră pentru a începe scanarea „sfc /scannow”;
5. Apăsați ENTER.

Așteptați finalizarea acestui proces. Dacă utilitarul găsește probleme cu sistemul de fișiere, veți vedea acest lucru în mesajul final. Închideți toate ferestrele și încercați să lansați programul CryptoPro pentru a vă asigura că eroarea „A apărut o eroare de certificat la verificarea relațiilor de încredere” a fost deja rezolvată. Pentru cazuri speciale, există un număr de asistență tehnică software - 8 800 555 02 75.

Scopul acestui articol este de a oferi instrucțiuni pas cu pas pentru creare relații externe de încredere între două domenii Windows 2000. S-ar părea că tot ce este necesar pentru a stabili o relație de încredere este acolo, există drepturi, instrumentele de creare a încrederii sunt cunoscute, dar în practică instrucțiunile simple nu funcționează întotdeauna. Să încercăm să ne dăm seama împreună.

Dacă vorbim în termeni seci, ne amintim asta relații de încredere este o relație logică între domenii care oferă autentificare end-to-end unde domeniul de încredere acceptă autentificarea efectuată în domeniu de încredere. În acest caz, conturile de utilizator și grupurile globale definite în domeniul de încredere pot obține drepturi și permisiuni pentru resursele din domeniul de încredere, chiar dacă acele conturi nu există în baza de date de referință a domeniului de încredere.

Când este necesar să creăm încredere? Primul răspuns este că utilizatorii unei întreprinderi (un domeniu dintr-o pădure) trebuie să utilizeze resurse de la o altă întreprindere (un alt domeniu într-o altă pădure) sau invers, atunci relații de încredere sunt necesare atunci când migrează obiecte de securitate de la un domeniu la altul ( de exemplu, atunci când utilizați instrumentul ADMT v2 de la Microsoft) și în multe alte condiții de muncă de viață.

O încredere externă poate fi creată pentru a forma o încredere intranzitivă unidirecțională sau bidirecțională (adică o relație într-un mediu multi-domeniu limitat la doar două domenii) cu domenii din afara pădurii. Încrederile externe sunt uneori folosite atunci când utilizatorii trebuie să acceseze resurse situate într-un domeniu Windows situat în interiorul unei alte păduri, așa cum se arată în figură.

Când se stabilește încrederea între un domeniu dintr-o anumită pădure și un domeniu din afara acelei păduri, principalii de securitate (care pot fi un utilizator, un grup sau un computer) din domeniul exterior pot accesa resursele din domeniul interior. creează un „obiect principal de securitate extern” în domeniul intern pentru a reprezenta fiecare principal de securitate din domeniul de încredere extern. Acești directori de securitate externi pot deveni membri ai grupurilor locale de domeniu din domeniul de încredere intern. Grupurile locale de domenii (utilizate de obicei pentru a atribui permisiuni resurselor) pot include principii de securitate din domeniile din afara pădurii.

După ce am definit conceptele, să trecem la stabilirea relațiilor externe de încredere unidirecționale de la domeniul D01 la domeniul D04.

Configurare sisteme:

De obicei, ambele domenii sunt implementate pe rețele diferite, iar comunicarea între ele se realizează prin gateway-uri. Uneori, în aceste scopuri, la controlerele de domeniu se adaugă o a doua placă de rețea, stabilind o conexiune la rețele externe prin intermediul acestora. În acest exemplu, am folosit cel mai simplu caz în care ambele domenii sunt situate pe aceeași subrețea. În acest caz, este posibil să se stabilească relații de încredere pur și simplu prin specificarea numelor de domenii NETBIOS și calculele specificate sunt inutile, totuși, pe măsură ce structura rețelei devine mai complexă (subrețele diferite de domenii, comunicare prin gateway-uri și rețele private virtuale), încrederea nu poate fi configurat atât de ușor. Apoi ar trebui să implementați setările de rețea suplimentare prezentate mai jos.

Să întocmim un plan de acțiune pentru a crea relații de încredere:

• verificarea conexiunilor dintre două servere
• verificând setările fiecărui domeniu
• configurarea rezoluției de nume pentru domenii externe
• crearea unei conexiuni din partea domeniului de încredere
• crearea unei conexiuni dintr-un domeniu de încredere
• verificarea relațiilor unidirecționale stabilite
• crearea de încredere bidirecțională (dacă este necesar)

Totul nu este atât de complicat pe cât ar părea. Punctele cheie din această listă sunt primele trei puncte, a căror implementare corectă afectează direct rezultatul final. De asemenea, observ că toate acțiunile sunt efectuate în numele conturilor de administrator ale domeniilor corespunzătoare, care au toate drepturile necesare pentru aceasta.

Să începem.

Primul lucru de făcut este să faceți o copie de rezervă a stării sistemului toată lumea controlere de domeniu în ambele domenii (și directoarele de sistem, de asemenea).

Și abia atunci începe să faci schimbări. Deci, asigurați-vă că poate fi stabilită comunicarea între cele două servere:

• De pe serverul Server01, ne vom asigura că este accesibil de pe serverul Server04 (192.168.1.4)
  Este important să stabiliți conexiuni după adresa IP pentru a evita erorile legate de rezoluția numelui.
  Pe linia de comandă introducem: ping 192.168.1.4
  Ar trebui să primească răspunsuri de la adresa de la distanță. Dacă răspunsul este nu, analizați infrastructura de rețea și rezolvați problemele.

• De pe serverul Server04, ne vom asigura că este accesibil de pe serverul Server01 (192.168.1.1)
  Pe linia de comandă introducem: ping 192.168.1.1
  Ar trebui să primească răspunsuri de la adresa serverului de la distanță Server01.

Dacă totul este în ordine, treceți la pasul următor, verificând setările domeniului.

Dintre toate setările, vom verifica doar configurația zonei DNS primare care acceptă fiecare domeniu Active Directory. Pentru că datele din această zonă conțin înregistrări de resurse de domeniu și vă permit să determinați locația și adresele serviciilor de domeniu corespunzătoare.

Să executăm comenzi pe fiecare server ipconfig.exe /toateŞi nslookup.exe(ecranul 1 și 2).

Ipconfig afișează configurația protocolului TCP/IP – adrese IP, adrese gateway și servere DNS pentru controler. Dacă infrastructura DNS este configurată corect, nslookup afișează o listă de adrese IP ale controlerului de domeniu atunci când interogând numele DNS al domeniului local. Dacă adresele controlerului pentru domeniul local nu pot fi obținute, verificați configurația serverului DNS primar și conținutul zonei de căutare directă a serverului DNS (Figura 3).

Vă rugăm să rețineți că sistemul nu are nicio informație despre domeniul extern (mesaj de eroare când se încearcă rezolvarea prin nume de domeniu la distanță - ecranele 1 și 2), și, prin urmare, căutarea controlerelor pentru a stabili comunicarea cu domeniile externe va fi extrem de dificilă. În această situație, încercarea de a crea o conexiune la un domeniu de încredere va avea ca rezultat un mesaj de eroare (Figura 4).

Acum să începem să rezolvăm această situație. Să configuram rezoluția numelor DNS pentru domeniile externe de pe fiecare server.

Ce trebuie făcut? Trebuie să obținem rezoluția numelui și să obținem înregistrări de resurse pentru domeniul extern. Toate acestea sunt posibile prin setarea serverului local pentru a putea accesa o zonă DNS care acceptă domeniul extern și este capabil să rezolve interogările necesare. Permiteți-mi să notez imediat că o încercare de a rezolva această problemă prin simpla adăugare a adresei IP a unui server DNS extern ca alternativă în setările TCP/IP este sortită eșecului. Să luăm pașii potriviți pentru această situație.

Pe serverul DNS local din fiecare domeniu, vom crea o zonă suplimentară care conține o copie a zonei DNS primare a domeniului extern. Ca rezultat, acest server poate returna răspunsuri atât de la interogări despre domeniul local, cât și înregistrări din zona suplimentară despre un domeniu extern.

Voi da un exemplu de creare a unei zone suplimentare pentru serverul Server01 pe Server04 secvența de acțiuni este similară.

Să modificăm parametrii transferurilor de zone DNS primare pe serverul de la distanță.

Pe (Server04), deschideți fereastra snap-in DNS (prin meniul Start, apoi Programe și instrumente administrative).

Faceți clic dreapta pe zona DNS și selectați Proprietăți.

În fila Transferuri de zonă, bifați caseta de validare Permite transferuri de zonă.

Permiteți transferurile de zonă numai către anumite servere DNS și selectați opțiunea numai către servere din această listă, apoi specificați adresele IP ale serverelor DNS ale primului domeniu (în cazul nostru acesta va fi IP Server01 - 192.168.1.1 ecranul 5).

În acest caz, este posibilă o setare mai simplă, permițând transferuri către orice server, dar aceasta duce la o scădere a securității. În plus, de exemplu, este mult mai eficient să setați această adresă IP în lista de servere de nume pentru zona curentă.

• Să activăm notificările pentru zone suplimentare pe alte servere DNS

Faceți clic pe butonul Notificare din fila Transferuri de zonă.

Asigurați-vă că este selectată caseta Notificare automată.

Selectați opțiunea Numai serverele specificate și adăugați adresele IP ale serverelor la lista de notificări necesară.

Pentru a face acest lucru, în lista de notificări, introduceți adresa IP a serverului din paragraful anterior (192.168.1.1) în câmpul Adresă IP și faceți clic pe butonul Adaugă (ecranul 6).

• Să creăm o zonă DNS suplimentară pe serverul local.

Pe (Server01), deschideți fereastra DNS.

În arborele consolei, faceți clic dreapta pe serverul DNS și selectați New Zone pentru a deschide New Zone Wizard, pe care îl arată Figura 7.

Selectați tipul de zonă Suplimentar, introduceți numele acesteia (D04. local) și adresa IP a serverului principal (IP 192.168.1.4) în câmpul de adresă IP și faceți clic pe butonul Adăugare.

Odată ce zona este creată, va dura ceva timp pentru a primi date de la serverul principal ( moment în care zonele primare ar trebui să arate ca Figura 8).

• Să verificăm noua configurație a serverului DNS.

Pe (Server01) deschideți o fereastră de linie de comandă, executați comanda nslookup.exeși introduceți o interogare pentru numele DNS al domeniului extern D04. local – și rezultatul adreselor IP ale controlerelor acestui domeniu (Ecranul 9).

Aceasta este ceea ce ne-am dorit - acum, la crearea unei relații de încredere, domeniul curent va putea determina adresele de servicii necesare ale domeniului extern.

Desigur, calculele de mai sus pot fi implementate în domenii cu setări implicite. Dacă rețeaua dvs. are setări speciale DNS, ar trebui să modificați aceste elemente pentru a se potrivi cerințelor dvs.

Acum este necesar să repetați pașii anteriori pe un alt controler dintr-un domeniu de încredere (Server04), astfel încât acest controler să poată obține și rezoluții de nume și să obțină o listă de servicii pentru primul domeniu (Ecranul 10).

Odată ce ambele nume de domenii pot fi rezolvate prin serverul DNS, putem continua cu procedura standard de a crea o relație de încredere directă externă unidirecțională.

• Să creăm o conexiune din partea domeniului de încredere (d01. local)

Pe controler (Server01), deschideți snap-in „Active Directory - Domenii și trusturi” (prin meniul Start, apoi Programe și instrumente administrative).

În arborele consolei, faceți clic dreapta pe nodul de domeniu pe care doriți să îl gestionați (D01.local) și selectați Proprietăți (Figura 11).

Selectați fila Trusturi.

Selectați Domenii în care acest domeniu are încredere, apoi faceți clic pe Adăugare.

Introduceți numele DNS complet al domeniului, de ex. D04. local (pentru un domeniu Windows NT, doar numele - ecranul 12).

Introduceți parola (de exemplu, 12 W#$r) pentru o anumită relație de încredere. Parola trebuie să fie valabilă în ambele domenii: domeniul principal și domeniul de încredere. Parola în sine este utilizată numai pe durata stabilirii unei relații de încredere după ce aceasta este stabilită, parola va fi ștearsă.

În același timp, întrucât stabilim doar una dintre cele două conexiuni necesare, este imposibil să verificăm imediat relația de încredere (ecranul 13). Ar trebui să creați un feedback similar, dar de la domeniul de încredere.

În acest mod, puteți vizualiza proprietățile conexiunii de ieșire create (Ecranul 14).

Să repetăm ​​această procedură pentru domeniul care alcătuiește cealaltă parte a relației directe de încredere.

Să creăm o conexiune din partea domeniului de încredere (d04. local)

Pe controler (Server04), deschideți snap-in Active Directory Domains and Trusts.

În arborele consolei, faceți clic dreapta pe nodul de domeniu pe care doriți să îl gestionați (D04.local) și selectați Proprietăți.

Selectați fila Trusts (Ecranul 15).

Selectați Domenii care au încredere în acest domeniu, apoi faceți clic pe Adăugare.

Introduceți numele complet al domeniului DNS - D01. local.

Introduceți parola pentru această încredere pe care ați specificat-o mai devreme (12 W#$ r - ecranul 16).

Deoarece Dacă am configurat relația opusă pentru relația noastră de încredere, trebuie să testăm noua relație (Ecranul 17).

Pentru a face acest lucru, trebuie să specificați un cont de utilizator care are dreptul de a schimba relațiile de încredere din domeniul opus D01. locale, acestea sunt înregistrarea administratorului de domeniu d01 (Ecranul 18).

Dacă acreditările sunt corecte, se face ping relației și se stabilește încrederea (Figura 19).

Acum să vedem cum să verificăm relațiile externe de încredere. De exemplu, să verificăm relația din domeniul de încredere (D01.local)

Pentru a testa relația de încredere:

Deschideți Active Directory Domains and Trusts.

În arborele consolei, faceți clic dreapta pe domeniul care participă la încrederea pe care doriți să o verificați (D01.local), apoi faceți clic pe Proprietăți.

Selectați fila Trusturi.

În lista Domenii de încredere pentru acest domeniu, selectați relația de încredere pe care doriți să o verificați (D04. local) și faceți clic pe Editare (Ecranul 20).

Faceți clic pe butonul Verificare.

În caseta de dialog care apare, trebuie să introduceți acreditările utilizatorului care are dreptul de a schimba relația de încredere, adică înregistrarea de Administrator Extern al Domeniului d04 și parola acestuia (ecranul 21).

La fel ca și înainte, dacă datele de înregistrare sunt corecte și relația este operațională, este afișat un mesaj de confirmare (Ecranul 22).

În caz de erori, verificați structura rețelei dvs. (setări ale gateway-urilor, firewall-urilor, routerelor, separarea subrețelelor de domenii), setările infrastructurii DNS, funcționalitatea conexiunilor fizice între controlerele de domeniu, precum și eventualele erori din domeniile Active Directory (prin analiza jurnalelor de evenimente). pe controlere de domeniu).

Odată ce încrederea a fost stabilită dintr-un domeniu de încredere, acum este posibil să vizualizați resursele din domeniul de încredere folosind autentificarea utilizatorilor autentificați (acei membri ai grupului special al grupului ALL).

Să ne asigurăm că putem folosi obiecte principale de securitate din domeniul de încredere în domeniul de încredere (conturi din domeniul D04. local). Pentru a face acest lucru, vom crea o resursă partajată în domeniul D01 și vom oferi acces la aceasta grupului global „Utilizatori de domeniu” din domeniul de încredere D04.

Creați D01 în domeniu. folderul partajat local pe controlerul de domeniu Server01.

Astfel, din domeniul de încredere D04 am obținut acces la o resursă din domeniul de încredere D01, care este ceea ce aveam nevoie.

Dacă este necesar, se pot configura relații de încredere în sens invers, de la domeniul D04 la D01. Adică domeniul D04 va deveni domeniul de încredere. local, iar domeniul de încredere va fi deja D01. local.