Възстановяваме доверието в домейна. Възникна системна грешка при проверка на отношенията на доверие - сертификат Решение за грешка със сертификата

Всеки системен администратор от време на време среща грешката „Връзката на доверие между тази работна станция и основния домейн не може да бъде установена“ от време на време. Но не всеки разбира причините и механизмите на процесите, водещи до възникването му. Защото без разбиране на смисъла на текущите събития е невъзможно смисленото управление, което се заменя с безсмислено изпълнение на инструкции.

Компютърните акаунти, подобно на потребителските акаунти, са принципали за сигурност на домейна. На всеки принципал за защита автоматично се присвоява идентификатор за сигурност (SID), на което ниво може да осъществява достъп до ресурсите на домейна.

Преди да предоставите достъп на акаунт до домейн, трябва да проверите неговата автентичност. Всеки участник в сигурността трябва да има собствен акаунт и парола, а компютърният акаунт не е изключение. Когато присъедините компютър към Active Directory, за него се създава компютърен акаунт и се задава парола. Доверието на това ниво се гарантира от факта, че тази операция се извършва от администратор на домейн или друг потребител, който има изрични правомощия за това.

Впоследствие всеки път, когато компютърът влиза в домейна, той установява защитен канал с домейн контролера и му предоставя своите идентификационни данни. По този начин се установява доверителна връзка между компютъра и домейна и по-нататъшното взаимодействие се осъществява в съответствие с политиките за сигурност и правата за достъп, зададени от администратора.

Паролата за компютърен акаунт е валидна 30 дни и се променя автоматично след това. Важно е да разберете, че промяната на паролата се инициира от компютъра. Това е подобно на процеса на промяна на потребителска парола. След като установи, че текущата парола е изтекла, компютърът ще я замени следващия път, когато влезете в домейна. Следователно, дори ако не сте включвали компютъра няколко месеца, доверителната връзка в домейна ще остане и паролата ще бъде променена при първото влизане след дълга пауза.

Доверието е нарушено, когато компютър се опита да се удостовери в домейн с невалидна парола. Как може да стане това? Най-лесният начин е да върнете състоянието на компютъра, например, като използвате стандартна помощна програма за възстановяване на системата. Същият ефект може да се постигне при възстановяване от изображение, моментна снимка (за виртуални машини) и др.

Друг вариант е да смените акаунта с друг компютър със същото име. Ситуацията е доста рядка, но понякога се случва, например, когато компютърът на служител е променен, докато името е било запазено, старото е било премахнато от домейна и след това те са били въведени отново в домейна, забравяйки да го преименуват. В този случай, когато старият компютър бъде въведен отново в домейна, той ще промени паролата на акаунта на компютъра и новият компютър вече няма да може да влезе, тъй като няма да може да установи доверителна връзка.

Какви действия трябва да предприемете, ако срещнете тази грешка? На първо място установете причината за нарушаването на доверието. Ако е било връщане назад, тогава от кого, кога и как е било извършено; ако паролата е била променена от друг компютър, тогава отново трябва да разберем кога и при какви обстоятелства се е случило това.

Прост пример: стар компютър беше преименуван и даден на друг отдел, след което се срина и автоматично се върна до последната контролна точка. След което този компютър ще се опита да се удостовери в домейна под старото име и естествено ще получи грешка при установяване на доверителна връзка. Правилното действие в този случай би било да преименувате компютъра, както трябва да се нарича, да създадете нова контролна точка и да изтриете старите.

И само след като се уверите, че нарушаването на доверието е причинено от обективно необходими действия и че именно за този компютър можете да започнете да възстановявате доверието. Има няколко начина да направите това.

Потребители и компютри на Active Directory

Това е най-простият, но не и най-бързият и удобен начин. Отворете модула на всеки домейн контролер Потребители и компютри на Active Directory, намерете необходимия компютърен акаунт и с десен бутон изберете Нулирайте акаунта.

След това влизаме в компютъра, който е загубил доверителната връзка под локален администратори премахнете машината от домейна.

След това го въвеждаме обратно; можем да пропуснем рестартирането между тези две действия. След като въведете отново домейна, рестартирайте и влезте с домейн акаунт. Паролата на компютъра ще бъде променена, когато компютърът се присъедини отново към домейна.

Недостатъкът на този метод е, че машината трябва да бъде извадена от домейна, както и необходимостта от два (един) рестарта.

Помощна програма Netdom

Тази помощна програма е включена в Windows Server от изданието от 2008 г.; тя може да бъде инсталирана на потребителски компютри като част от пакета RSAT (инструменти за отдалечено администриране на сървър). За да го използвате, влезте в целевата система локален администратори изпълнете командата:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Нека да разгледаме опциите на командата:

• сървър- име на всеки домейн контролер
• Потребител D- име на акаунт на администратор на домейн
• Парола D- парола на администратор на домейн

След като командата бъде изпълнена успешно, не е необходимо рестартиране, просто излезте от локалния си акаунт и влезте в акаунта на вашия домейн.

PowerShell 3.0 cmdlet

За разлика от помощната програма Netdom, PowerShell 3.0 е включен в системата, започвайки от Windows 8 / Server 2012, за по-стари системи може да се инсталира ръчно, поддържат се Windows 7, Server 2008 и Server 2008 R2. Net Framework 4.0 или по-нова версия се изисква като зависимост.

По същия начин влезте в системата, за която искате да възстановите доверието като локален администратор, стартирайте конзолата PowerShell и изпълнете командата:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• сървър- име на всеки домейн контролер
• Удостоверение- име на домейн / акаунт на администратор на домейн

Когато изпълните тази команда, ще се появи прозорец за оторизация, в който ще трябва да въведете паролата за администраторския акаунт на домейн, който сте посочили.

Командлетът не показва никакво съобщение, когато завърши успешно, така че просто сменете акаунта, не е необходимо рестартиране.

Както можете да видите, възстановяването на доверителни отношения в домейн е доста просто; основното е да се определи правилно причината за този проблем, тъй като различните случаи ще изискват различни методи. Затова никога не се уморяваме да повтаряме: когато възникне някакъв проблем, първо трябва да идентифицирате причината и едва след това да вземете мерки за отстраняването му, вместо безсмислено да повтаряте първата инструкция, намерена в мрежата.

В тази статия ще говорим върху какво се гради една сериозна връзка между мъж и жена.

Сериозните отношения между мъжете и жените се градят, разбира се, на доверие.

Без доверие = сериозна връзка е априори по принцип невъзможна!

Доверие = това е основата, върху която се градят взаимоотношенията. Къща = без основа (подходяща основа) = невъзможно е да се построи, ще се разпадне, същото важи и за отношенията с мъж и жена.

Ако нямате доверие на партньора си = рано или късно = всичко ще се разпадне (унищожи), защото връзките със страх, безпокойство, притеснения, стрес, болка, кавги и т.н. няма да продължат дълго.

Какво е доверието и липсата му?

Доверието не познава съмнение; там, където започва съмнението, доверието умира.

Ето какво е доверието в партньора (отсъствието на съмнения) и това е липсата на доверие (наличието на съмнения). Доверието в една връзка трябва да е пълно и взаимно. Ако това не е така, някой от партньорите няма доверие = има натрапчиви съмнения и т.н. - няма да има сериозна връзка (без да се реши този проблем), такава връзка няма да има бъдеще, ще бъде обречена на провал.

И така, какво е решението в тази ситуация? Според мен има 2 начина за решаване на проблема:

• Първо, изградете доверие (ако е било загубено) с партньора си. (трудно, но възможно и ако си заслужава (има смисъл, повече подробности в статията:) - наистина трябва да се направи, и двамата партньори, отношенията са работа!).
• Второ, отделете се и не страдайте. (лесно, просто, познати коментари, няма какво дори да се каже тук).

Запитайте се, имате ли доверие на партньора си? Ако не, можете ли да му се доверите отново (хей)?

Ако отговорът ви е „не“, тогава най-правилното нещо, което трябва да направите, е да прекратите тази връзка и да не усложнявате живота си взаимно, като губите безценно време, енергия и други ресурси за всичко това, правейки се взаимно нещастни.

Смисълът на една връзка е да се направим един друг по-силен. Говорих за това по-подробно в статията: Ако това не е така, тогава връзката е безсмислена.

Рано или късно = без пълно доверие = краят така или иначе ще дойде, двойките се разделят, така че защо да губите време, основният ресурс в живота на всеки човек? Защо да страдаме, да се правим един друг по-нещастни, да отлагаме този момент? Имах едно момиче, в което загубих доверие след нейната шега.

Все още не знам дали беше шега или не (любовта е ослепителна), но беше запечатано в мозъка ми = много, много силно, до степен, че щеше да ми е много трудно да започна отново да се доверявам на хей.

Но. В моя случай обаче би било възможно да се опитам да разбера всичко и да го поправя (но не точно, не).

Само вие самите знаете отговора на въпроса – можете ли да му се доверите отново или не, защото всеки случай е индивидуален и всички ние по принцип сме индивидуални личности. разбираш ли?

Ако определено е „не“, тогава има само един изход, просто продължете напред, без да измъчвате себе си и партньора си.

Но, ако все още имате съмнения и вашият отговор може би, може би и т.н. = тогава, за да се възобнови доверието = ще е необходима ежедневната желана работа на двамата партньори в тази посока.

Връзките са постоянна работа между двама партньори. Това е работа. работа. И отново работа. Ежедневно. И не само по отношение на доверието, но и много други компоненти, за които не говорим сега...

Ако тази работа не съществува, тогава, уви, няма да има хармонични, цялостни, правилни отношения.

За да се опитате да си върнете доверието на партньора си, първо трябва да седнете и да обсъдите всичко с партньора си възможно най-подробно, всичките си съмнения, мисли, страхове, оплаквания и т.н. към партньора ви искрено и честно начин. Важни са пълната искреност, свободата и честността. Без това нищо няма да работи.

P.S. Доверието е тясно свързано с честността, искреността и почтеността.

И е изключително важно да правите това, а не да избягвате, мислейки, че всичко ще отмине/забрави. Не! Колкото по-дълго се проточи всичко, толкова по-дълго всичко се задържа вътре = толкова повече „изпражнения“ излизат след това.

Всички съмнения, страхове, несигурност и т.н. трябва да бъдат разказани на вашия партньор. Кажете му (хей) какво не харесвате във връзката ви, в нея (него), кажете му къде изпитвате дискомфорт, недоволство и т.н. Трябва да обсъждате и изразявате абсолютно всичко един на друг по всяко време, през цялото развитие на връзката ви - а не на „празниците“ (когато нещата вече са прекипели).

В нашия случай по отношение на доверието трябва да се отворите напълно и да изложите всичко. Чувствата и всичките ви емоции = без да сте срамежливи, без страх, без да сдържате АБСОЛЮТНО НИЩО!

Всички страхове, действия, действия, претенции, проблеми, желания и т.н. и т.н. всичко, което искате = трябва да бъде обсъдено. Всичко от началото до края на едно заседание. И след всичко това трябва да създадем конкретен план за съвместни действия заедно и да започнем да работим един с друг, заедно, като започнем да развиваме доверие, как? => освобождаване от всички тези съмнения, страхове, проблеми, претенции и други компоненти заедно.

Научете се да се доверявате един на друг, научете се да признавате грешките си, научете се да поемате вина (отговорност), според моето разбиране това означава, че трябва да сте готови да коригирате това, което се е случило по ваша вина, научете се да прощавате/молите за прошка, да се покаете, научете се да търсите компромиси, научете се да говорите (комуникирате) помежду си (къде, как, с кого, кога, обаждания/sms, пълна откритост, пълен достъп), трябва да сте напълно искрени и честни един с друг. Всичко „това” е ваше = съвместни действия.

Защо са важни? Защото когато работата (действията, действията) протичат организирано ЗАЕДНО (помежду си) = се установява и отчетът (същата тази връзка) (връзката се установява чрез съвместни действия) = което означава, че се създава и доверие. Доклад (комуникация) = доверие. Запомнете това като нашия баща.

И разбира се, не забравяйте за израза „търпение и работа = мелене“. Ако наистина и двамата искате да сте един с друг = ако искате = силна, щастлива, хармонична, холистична връзка = тогава работете върху това = един с друг, заедно, всеки ден и ще бъдете възнаградени според заслугите си. Това е всичко за мен.

Но най-доброто нещо е да предотвратите загубата на доверие по принцип, тогава няма да се налага да решавате проблема. Все пак всеки греши, според слуховете дори и роботите =) днес темата ми беше много близка...

Поздравления, администратор.

Целта на тази статия е да предостави инструкции стъпка по стъпка за създаване външни отношения на доверие между два домейна Windows 2000. Изглежда, че всичко необходимо за създаване на доверителна връзка е налице, има права, инструментите за създаване на доверие са известни, но на практика простите инструкции не винаги работят. Нека се опитаме да го разберем заедно.

Ако говорим сухо, ние го помним доверителни отношенияе логическа връзка между домейни, която осигурява удостоверяване от край до край, където доверен домейнприема удостоверяване, извършено в доверен домейн. В този случай потребителските акаунти и глобалните групи, дефинирани в доверения домейн, могат да получат права и разрешения за ресурси в домейна на доверителя, дори когато тези акаунти не съществуват в референтната база данни на домейна на доверителя.

Кога е необходимо да се създаде доверие? Първият отговор е, че потребителите на едно предприятие (домейн в една гора) трябва да използват ресурси от друго предприятие (друг домейн в различна гора) или обратното, тогава са необходими доверителни отношения, когато мигрирате обекти за сигурност от един домейн в друг ( например, когато използвате инструмента ADMT v2 от Microsoft) и в много други условия на ежедневна работа.

Може да се създаде външно доверие, за да се формира еднопосочно или двупосочно непреходно доверие (т.е. връзка в среда с много домейни, ограничена само до два домейна) с домейни извън гората. Външни тръстове понякога се използват, когато потребителите трябва да получат достъп до ресурси, разположени в домейн на Windows, разположен в друга гора, както е показано на фигурата.

Когато се установи доверие между домейн в определена гора и домейн извън тази гора, принципалите за сигурност (които могат да бъдат потребител, група или компютър) във външния домейн могат да имат достъп до ресурсите във вътрешния домейн. създава "външен обект на принципал за защита" във вътрешния домейн, за да представлява всеки принципал за сигурност от външния доверен домейн. Тези външни принципали за сигурност могат да станат членове на локални групи на домейн във вътрешния доверен домейн. Локалните групи на домейни (обикновено използвани за присвояване на разрешения за ресурси) могат да включват принципали за сигурност от домейни извън гората.

След като дефинирахме понятията, нека да продължим към установяване на външни еднопосочни доверителни отношения от домейн D01 към домейн D04.

Системна конфигурация:

Обикновено и двата домейна са разположени в различни мрежи и комуникацията между тях се осъществява чрез шлюзове. Понякога за тези цели към домейн контролерите се добавя втора мрежова карта, чрез която се установява връзка с външни мрежи. В този пример използвах най-простия случай, когато и двата домейна се намират в една и съща подмрежа. В този случай е възможно да се установят отношения на доверие просто чрез указване на имена на домейни в NETBIOS и посочените изчисления са ненужни, но тъй като мрежовата структура става по-сложна (различни подмрежи на домейни, комуникация през шлюзове и виртуални частни мрежи), доверието не може да бъде настройва се толкова лесно. След това трябва да приложите допълнителните мрежови настройки, дадени по-долу.

Нека изготвим план за действие за създаване на отношения на доверие:

• проверка на връзките между два сървъра
• проверка на настройките на всеки домейн
• настройване на резолюция на имена за външни домейни
• създаване на връзка от страна на доверителния домейн
• създаване на връзка от доверен домейн
• проверка на установени еднопосочни връзки
• създаване на двупосочно доверие (ако е необходимо)

Всичко не е толкова сложно, колкото може да изглежда. Ключовите точки в този списък са първите три точки, чието правилно изпълнение влияе пряко върху крайния резултат. Също така отбелязвам, че всички действия се извършват от името на администраторските акаунти на съответните домейни, които имат всички необходими права за това.

Да започваме.

Първото нещо, което трябва да направите, е да архивирате състоянието на системата всекидомейн контролери и в двата домейна (и системни директории също).

И едва тогава започнете да правите промени. Така че, уверете се, че може да се установи комуникация между двата сървъра:

• От сървъра Server01 ще се уверим, че е достъпен от сървъра Server04 (192.168.1.4)
  Важно е да се установят връзки чрез IP адрес, за да се избегнат грешки, свързани с разрешаването на имена.
  В командния ред въвеждаме: ping 192.168.1.4
  Трябва да получава отговори от отдалечения адрес. Ако отговорът е не, анализирайте вашата мрежова инфраструктура и разрешете проблемите.

• От сървъра Server04 ще се уверим, че е достъпен от сървъра Server01 (192.168.1.1)
  В командния ред въвеждаме: ping 192.168.1.1
  Трябва да получава отговори от адреса на отдалечения сървър Server01.

Ако всичко е наред, преминете към следващата стъпка, проверка на настройките на домейна.

От всички настройки ще проверим само конфигурацията на основната DNS зона, която поддържа всеки домейн на Active Directory. Тъй като именно данните от тази зона съдържат записи за ресурси на домейна и ви позволяват да определите местоположението и адресите на съответните домейн услуги.

Нека изпълним команди на всеки сървър ipconfig.exe /всичкоИ nslookup.екз(екран 1 и 2).

Ipconfig показва конфигурацията на TCP/IP протокола – IP адреси, адреси на шлюз и DNS сървъри за контролера. Ако DNS инфраструктурата е конфигурирана правилно, nslookup показва списък с IP адреси на контролери на домейни при заявка за DNS името на локалния домейн. Ако не е възможно да получите адреси на контролера за локалния домейн, проверете конфигурацията на първичния DNS сървър и съдържанието на зоната за директно търсене на DNS сървъра (Фигура 3).

Моля, обърнете внимание, че системата няма никаква информация за външния домейн (съобщение за грешка при опит за разрешаване по името на отдалечен домейн - екрани 1 и 2) и следователно търсенето на контролери за установяване на комуникация с външни домейни ще бъде изключително трудно . В тази ситуация опитът за създаване на връзка към доверен домейн ще доведе до съобщение за грешка (Фигура 4).

Сега нека започнем да разрешаваме тази ситуация. Нека конфигурираме разделителната способност на DNS имена за външни домейни на всеки сървър.

Какво трябва да се направи? Трябва да постигнем разрешаване на имена и да получим записи на ресурси за външния домейн. Всичко това е възможно чрез настройка на локалния сървър, за да има достъп до DNS зона, която поддържа външния домейн и е в състояние да разрешава необходимите заявки. Нека незабавно да отбележа, че опитът за решаване на този проблем чрез просто добавяне на IP адреса на външен DNS сървър като алтернатива в настройките на TCP/IP е обречен на провал. Нека предприемем правилните стъпки за тази ситуация.

На локалния DNS сървър във всеки домейн ще създадем допълнителна зона, съдържаща копие на основната DNS зона на външния домейн. В резултат на това този сървър може да върне отговори както от заявки за локалния домейн, така и от записи от допълнителната зона за външен домейн.

Ще дам пример за създаване на допълнителна зона за сървър Server01; на Server04 последователността от действия е подобна.

Нека променим параметрите на прехвърлянията на основната DNS зона на отдалечения сървър.

На (Server04), отворете прозореца на DNS модула (чрез менюто "Старт", след това "Програми и административни инструменти").

Щракнете с десния бутон върху DNS зоната и изберете Свойства.

В раздела Zone Transfers поставете отметка в квадратчето Allow zone transfers.

Разрешете прехвърляне на зони само към определени DNS сървъри и изберете опцията само към сървъри от този списък, след което посочете IP адресите на DNS сървърите на първия домейн (в нашия случай това ще бъде IP Server01 - 192.168.1.1 екран 5).

В този случай е възможна по-проста настройка, позволяваща трансфери към всеки сървър, но това води до намаляване на сигурността. Освен това, например, много по-ефективно е да зададете този IP адрес в списъка със сървъри за имена за текущата зона.

• Нека активираме известия за допълнителни зони на други DNS сървъри

Щракнете върху бутона Уведомяване в раздела Прехвърляния на зони.

Уверете се, че е поставена отметка в квадратчето Автоматично известяване.

Изберете опцията Само определени сървъри и добавете IP адресите на сървърите към необходимия списък с известия.

За да направите това, в списъка с известия въведете IP адреса на сървъра от предишния параграф (192.168.1.1) в полето IP адрес и щракнете върху бутона Добавяне (екран 6).

• Нека създадем допълнителна DNS зона на локалния сървър.

Включено (Server01), отворете DNS прозореца.

В дървото на конзолата щракнете с десния бутон върху DNS сървъра и изберете Нова зона, за да отворите съветника за нова зона, който е показан на Фигура 7.

Изберете типа на зоната Допълнителна, въведете нейното име (D04. local) и IP адреса на основния сървър (IP 192.168.1.4) в полето IP адрес и щракнете върху бутона Добавяне.

След като зоната бъде създадена, ще отнеме известно време за получаване на данни от основния сървър (в този момент основните зони трябва да изглеждат като Фигура 8).

• Нека проверим новата конфигурация на DNS сървъра.

На (Server01) отворете прозорец на командния ред, изпълнете командата nslookup.екзи въведете заявка за DNS името на външния домейн D04. local - и резултатът от IP адресите на този домейн контролер (екран 9).

Това е, което искахме - сега, когато създаваме доверителна връзка, текущият домейн ще може да определя необходимите сервизни адреси на външния домейн.

Разбира се, горните изчисления могат да бъдат приложени в домейни с настройки по подразбиране. Ако вашата мрежа има специални DNS настройки, трябва да промените тези елементи, за да отговарят на вашите изисквания.

Сега е необходимо да повторите предишните стъпки на друг контролер в доверен домейн (Server04), така че този контролер също да може да получи разрешения на имена и да получи списък с услуги за първия домейн (Екран 10).

След като и двете имена на домейни могат да бъдат разрешени чрез DNS сървъра, можем да продължим със стандартната процедура за създаване на директна външна еднопосочна доверителна връзка.

• Нека създадем връзка от страната на надеждния домейн (d01. локален)

На контролера (Server01) отворете конзолната добавка „Active Directory – Домейни и доверие“ (чрез менюто „Старт“, след това „Програми и административни инструменти“).

В дървото на конзолата щракнете с десния бутон върху възела на домейна, който искате да управлявате (D01.local) и изберете Свойства (Фигура 11).

Изберете раздела Trusts.

Изберете Домейни, на които този домейн се доверява и след това щракнете върху Добавяне.

Въведете пълното DNS име на домейна, т.е. D04. локален (за Windows NT домейн, само името - екран 12).

Въведете вашата парола (напр. 12 W#$r) за дадена доверителна връзка. Паролата трябва да е валидна и в двата домейна: основния домейн и доверения домейн. Самата парола се използва само за времето на установяване на доверителна връзка; след като бъде установена, паролата ще бъде изтрита.

Освен това, тъй като установяваме само една от двете необходими връзки, е невъзможно незабавно да проверим доверителната връзка (екран 13). Трябва да създадете подобна, но обратна връзка от доверения домейн.

Докато сте в този режим, можете да видите свойствата на създадената изходяща връзка (Екран 14).

Нека повторим тази процедура за домейна, който съставлява другата част от пряката доверителна връзка.

Нека създадем връзка от страна на надеждния домейн (d04. local)

На контролера (Server04) отворете конзолната добавка за домейни и доверие на Active Directory.

В дървото на конзолата щракнете с десния бутон върху възела на домейна, който искате да управлявате (D04.local) и изберете Свойства.

Изберете раздела Trusts (Екран 15).

Изберете Домейни, които имат доверие на този домейн и след това щракнете върху Добавяне.

Въведете пълното DNS име на домейн - D01. местен.

Въведете паролата за това доверие, която посочихте по-рано (12 W#$ r - екран 16).

защото Ако сме конфигурирали обратната връзка за нашата доверителна връзка, трябва да тестваме новата връзка (Екран 17).

За да направите това, трябва да посочите потребителски акаунт, който има право да променя отношенията на доверие от противоположния домейн D01. локални, това са записът на администратора на домейн d01 (екран 18).

Ако идентификационните данни са правилни, връзката се проверява и доверието се установява (Фигура 19).

Сега нека да разгледаме как да проверим външни отношения на доверие. Например, нека проверим връзката от доверителния домейн (D01.local)

За да тествате връзката на доверие:

Отворете домейни и тръстове на Active Directory.

В дървото на конзолата щракнете с десния бутон върху домейна, който участва в доверието, което искате да проверите (D01.local), и след това щракнете върху Свойства.

Изберете раздела Trusts.

В списъка Домейни, доверени от този домейн, изберете връзката на доверие, която искате да проверите (D04. local) и щракнете върху Редактиране (Екран 20).

Щракнете върху бутона Проверка.

В диалоговия прозорец, който се появява, трябва да въведете идентификационните данни на потребителя, който има право да промени доверителната връзка, тоест записа на външен администратор на домейн d04 и неговата парола (екран 21).

Както и преди, ако регистрационните данни са правилни и връзката работи, се показва съобщение за потвърждение (Екран 22).

В случай на грешки, проверете мрежовата си структура (настройки на шлюзове, защитни стени, рутери, разделящи подмрежи на домейни), настройки на DNS инфраструктурата, функционалността на физическите връзки между домейн контролери, както и възможни грешки в домейни на Active Directory (чрез анализиране на журналите на събития на домейн контролери).

След като доверието бъде установено от доверен домейн, вече е възможно да се преглеждат ресурси в доверителния домейн, като се използва удостоверяването на удостоверени потребители (тези членове на специалната група ВСИЧКИ).

Нека се уверим, че можем да използваме принципални обекти за сигурност от доверения домейн в доверителния домейн (акаунти от D04. локалния домейн). За да направим това, ще създадем споделен ресурс в домейн D01 и ще предоставим достъп до него на глобалната група „Потребители на домейн“ от доверения домейн D04.

Създайте D01 в домейн. локална споделена папка на домейн контролер Server01.

Така от доверения домейн D04 получихме достъп до ресурс в доверения домейн D01, което ни трябваше.

Ако е необходимо, е възможно да се конфигурират отношения на доверие в обратна посока, от домейн D04 до D01. Това означава, че домейнът D04 ще стане доверен домейн. локален и надеждният домейн вече ще бъде D01. местен.