Biz domenə inamı bərpa edirik. Etibar münasibətləri yoxlanılarkən sistem xətası baş verdi - Sertifikatla bağlı səhv Sertifikat Həlli
Kompüterlər 

Biz domenə inamı bərpa edirik. Etibar münasibətləri yoxlanılarkən sistem xətası baş verdi - Sertifikatla bağlı səhv Sertifikat Həlli

Hər bir sistem administratoru vaxtaşırı “Bu iş stansiyası ilə əsas domen arasında etibar əlaqəsi yaradıla bilmədi” xətası ilə qarşılaşır. Ancaq hər kəs onun baş verməsinə səbəb olan proseslərin səbəblərini və mexanizmlərini başa düşmür. Çünki cari hadisələrin mənasını dərk etmədən mənalı idarə etmək mümkün deyil, bu isə göstərişlərin ağılsız icrası ilə əvəz olunur.

İstifadəçi hesabları kimi kompüter hesabları domen təhlükəsizliyi prinsipləridir. Hər bir təhlükəsizlik əsasına avtomatik olaraq domen resurslarına daxil ola biləcəyi səviyyədə təhlükəsizlik identifikatoru (SID) təyin edilir.

Bir hesaba bir domenə giriş verməzdən əvvəl onun həqiqiliyini təsdiq etməlisiniz. Hər bir təhlükəsizlik iştirakçısının öz hesabı və parolu olmalıdır və kompüter hesabı da istisna deyil. Siz kompüteri Active Directory-ə qoşulduqda onun üçün Kompüter hesabı yaradılır və parol təyin edilir. Bu səviyyədə güvən, bu əməliyyatın domen administratoru və ya bunu etmək üçün açıq səlahiyyəti olan digər istifadəçi tərəfindən həyata keçirilməsi ilə təmin edilir.

Sonradan, kompüter hər dəfə domenə daxil olduqda, domen nəzarətçisi ilə təhlükəsiz kanal yaradır və onu öz etimadnamələri ilə təmin edir. Beləliklə, kompüter və domen arasında etibar əlaqəsi qurulur və sonrakı qarşılıqlı əlaqə inzibatçı tərəfindən müəyyən edilmiş təhlükəsizlik siyasətlərinə və giriş hüquqlarına uyğun olaraq baş verir.

Kompüter hesabı parolu 30 gün ərzində etibarlıdır və bundan sonra avtomatik olaraq dəyişdirilir. Parolun dəyişdirilməsinin kompüter tərəfindən başlandığını başa düşmək vacibdir. Bu, istifadəçi parolunun dəyişdirilməsi prosesinə bənzəyir. Cari parolun müddətinin bitdiyini aşkar etdikdən sonra kompüter növbəti dəfə domenə daxil olduqda onu əvəz edəcək. Buna görə də, bir neçə ay ərzində kompüteri açmasanız belə, domendə güvən münasibəti qalacaq və uzun fasilədən sonra ilk dəfə daxil olduqda parol dəyişdiriləcək.

Kompüter etibarsız parol ilə domenə autentifikasiya etməyə cəhd etdikdə etibar pozulur. Bu necə baş verə bilər? Ən asan yol, kompüterin vəziyyətini geri qaytarmaqdır, məsələn, standart bir sistem bərpa proqramından istifadə etməklə. Eyni effekti bir şəkil, snapshot (virtual maşınlar üçün) və s.-dən bərpa edərkən əldə etmək olar.

Başqa bir seçim, hesabı eyni adlı başqa bir kompüterlə dəyişdirməkdir. Vəziyyət olduqca nadirdir, lakin bəzən belə olur, məsələn, adı saxlanarkən bir işçinin kompüteri dəyişdirildikdə, köhnəsi domendən çıxarıldıqda və sonra adını dəyişməyi unutaraq domenə yenidən daxil edildi. Bu halda, köhnə PC yenidən domenə daxil olduqda, o, kompüter hesabının parolunu dəyişəcək və yeni PC, etibar əlaqəsi qura bilməyəcəyi üçün artıq daxil ola bilməyəcək.

Bu xəta ilə qarşılaşsanız, hansı tədbirləri görməlisiniz? Əvvəlcə etibarın pozulmasının səbəbini müəyyənləşdirin. Əgər bu geri çəkilmə idisə, o zaman kim tərəfindən, nə vaxt və necə həyata keçirildi, əgər parol başqa bir kompüter tərəfindən dəyişdirilibsə, bunun nə vaxt və hansı şəraitdə baş verdiyini yenidən öyrənməliyik.

Sadə bir misal: köhnə kompüterin adı dəyişdirildi və başqa bir şöbəyə verildi, bundan sonra o, qəzaya uğradı və avtomatik olaraq sonuncu yoxlama məntəqəsinə qayıtdı. Bundan sonra bu kompüter köhnə ad altında domendə autentifikasiya etməyə çalışacaq və təbii olaraq etimad əlaqəsi qurarkən xəta alacaq. Bu vəziyyətdə düzgün hərəkət kompüterin adını dəyişdirmək, yeni bir yoxlama nöqtəsi yaratmaq və köhnələrini silmək olardı.

Və yalnız etibarın pozulmasının obyektiv zəruri hərəkətlərdən qaynaqlandığına və məhz bu kompüter üçün etibarı bərpa etməyə başlaya biləcəyinizə əmin olduqdan sonra. Bunu etmək üçün bir neçə üsul var.

Active Directory İstifadəçiləri və Kompüterlər

Bu ən sadə, lakin ən sürətli və ən əlverişli yol deyil. İstənilən domen nəzarətçisində əlavə elementi açın Active Directory İstifadəçiləri və Kompüterlər, tələb olunan kompüter hesabını tapın və sağ klikləməklə seçin Hesabı sıfırlayın.

Sonra altında etibar əlaqəsini itirmiş kompüterə daxil oluruq yerli administrator və maşını domendən çıxarın.

Sonra onu geri daxil edirik; bu iki hərəkət arasında yenidən başlamanı atlaya bilərsiniz. Domeni yenidən daxil etdikdən sonra yenidən başladın və domen hesabı ilə daxil olun. Kompüter domenə yenidən qoşulduqda kompüterin parolu dəyişdiriləcək.

Bu metodun dezavantajı odur ki, maşının domendən çıxarılması, həmçinin iki (bir) reboot ehtiyacı var.

Netdom yardım proqramı

Bu yardım proqramı 2008-ci ilin buraxılışından bəri Windows Server-a daxil edilmişdir; o, RSAT (Remote Server Administration Tools) paketinin bir hissəsi kimi istifadəçi kompüterlərində quraşdırıla bilər. Onu istifadə etmək üçün hədəf sistemə daxil olun yerli administrator və əmri işlədin:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Parol

Komanda seçimlərinə baxaq:

  • Server- istənilən domen nəzarətçisinin adı
  • İstifadəçi D- domen administratoru hesabının adı
  • ŞifrəD- domen administrator parolu

Əmr uğurla tamamlandıqdan sonra yenidən yükləmə tələb olunmur, sadəcə olaraq yerli hesabınızdan çıxın və domen hesabınıza daxil olun.

PowerShell 3.0 cmdlet

Netdom yardım proqramından fərqli olaraq, PowerShell 3.0 Windows 8 / Server 2012-dən başlayaraq sistemə daxildir, köhnə sistemlər üçün əl ilə quraşdırıla bilər, Windows 7, Server 2008 və Server 2008 R2 dəstəklənir. Net Framework 4.0 və ya daha sonrakı versiya asılılıq kimi tələb olunur.

Eynilə, yerli administrator kimi etibarı bərpa etmək istədiyiniz sistemə daxil olun, PowerShell konsolunu işə salın və əmri yerinə yetirin:

Reset-ComputerMachinePassword -Server DomainController -Etibarnamə Domain\Admin

  • Server- istənilən domen nəzarətçisinin adı
  • Etibarnamə- domen adı / domen administrator hesabı

Bu əmri yerinə yetirdikdə, müəyyən etdiyiniz domen administratoru hesabı üçün parolu daxil etməli olduğunuz avtorizasiya pəncərəsi görünəcək.

Cmdlet müvəffəqiyyətlə tamamlandıqda heç bir mesaj göstərmir, ona görə də sadəcə hesabı dəyişdirin, yenidən yükləmə tələb olunmur.

Gördüyünüz kimi, bir domendə etimad münasibətlərini bərpa etmək olduqca sadədir, əsas odur ki, bu problemin səbəbini düzgün müəyyənləşdirin, çünki müxtəlif hallarda fərqli üsullar tələb olunur; Buna görə də, təkrarlamaqdan heç vaxt yorulmuruq: hər hansı bir problem yarandıqda, şəbəkədə tapılan ilk təlimatı ağılsızcasına təkrarlamaq əvəzinə, ilk növbədə səbəbi müəyyən etməli və yalnız bundan sonra onu düzəltmək üçün tədbirlər görməlisiniz.

Bu yazıda kişi və qadın arasındakı ciddi əlaqənin nəyə əsaslandığını danışacağıq.

Kişi və qadın arasında ciddi münasibətlər, əlbəttə ki, inam üzərində qurulur.

Güvən olmadan = ciddi bir əlaqə aprioridir, prinsipcə, mümkün deyil!

Güvən = bu, əlaqələrin qurulduğu təməldir. Ev = bünövrəsiz (düzgün təməl) = tikmək mümkün deyil, dağılacaq, kişi və qadınla münasibətlərdə də eynidir.

Əgər partnyorunuza güvənməsəniz = gec-tez = hər şey dağılacaq (məhv olacaq), çünki qorxu, narahatlıq, narahatlıq, stress, ağrı, mübahisə və s. ilə münasibətlər uzun sürməyəcək.

Etibar və onun yoxluğu nədir?

Güvən heç bir şübhə bilmir, şübhə haradan başlayır, güvən ölür.

Tərəfdaşa güvən (şübhələrin olmaması) budur və güvənsizlik (şübhələrin olması) budur. Münasibətlərdə inam tam və qarşılıqlı olmalıdır. Əgər belə deyilsə, partnyorlardan birinin etibarı yoxdur = ürpədici şübhələr var və s. - ciddi münasibət olmayacaq (bu problem həll olunmadan), belə bir münasibətin gələcəyi olmayacaq, buna məhkum olacaq. uğursuzluq.

Bəs bu vəziyyətdə həll yolu nədir? Məncə, problemi həll etməyin 2 yolu var:

  • 1-cisi, partnyorunuzla inam (əgər itirilibsə) yaradın. (çətin, lakin mümkündür və buna dəyərsə (məntiqlidir, məqalədə daha çox təfərrüat var :) - bunu həqiqətən etmək lazımdır, həm tərəfdaşlar, həm də əlaqələr işləyir!).
  • 2-ci, ayırın və əziyyət çəkməyin. (asan, sadə, şərhləri bilmək, burada heç nə demək deyil).

Özünüzdən soruşun, tərəfdaşınıza güvənirsinizmi? Yoxdursa, ona (hey) yenidən etibar edə bilərsinizmi?

Cavabınız “yox”dursa, ən düzgün iş bu münasibətə son qoymaq və bütün bunlara qiymətsiz vaxt, enerji və digər resurslar sərf edərək, bir-birinizi daha da bədbəxt etməklə bir-birinizin həyatını çətinləşdirməmək olardı.

Münasibətlərin məqsədi bir-birini daha da gücləndirməkdir. Bu haqda məqalədə daha ətraflı danışdım: Əgər belə deyilsə, deməli, münasibət mənasızdır.

Gec-tez = tam inamsız = axır onsuz da gələcək, cütlər ayrılacaq, bəs nə üçün hər hansı bir insanın həyatında əsas resurs olan vaxt itirmək lazımdır? Nə üçün əzab çəkmək, bir-birini daha da bədbəxt etmək, bu anı təxirə salmaq? Zarafatından sonra etibarını itirdiyim bir qızım var idi.

Mən hələ də bilmirəm zarafatdı ya yox (sevgi kor edir), amma beynimə həkk olunmuşdu = çox, çox güclü şəkildə, hey yenidən güvənməyə başlamaq mənim üçün çox çətin olacaq.

Amma. Ancaq mənim vəziyyətimdə hər şeyi anlamağa və düzəltməyə çalışmaq olardı (lakin tam olaraq yox, yox).

Sualın cavabını yalnız özünüz bilirsiniz - ona yenidən etibar edə bilərsiniz, ya yox, çünki hər bir iş fərdi və biz hamımız, prinsipcə, fərdi fərdlərik. başa düşürsən?

Əgər bu mütləq “yox”dursa, o zaman yalnız bir çıxış yolu var, özünüzə və tərəfdaşınıza işgəncə vermədən davam edin.

Ancaq hələ də şübhələriniz varsa və cavabınız, bəlkə də, bəlkə də və s.

Münasibətlər iki tərəfdaş arasında daimi işdir. Bu işdir. İş. Və bir daha işləyin. Gündəlik. Həm də təkcə etimad baxımından deyil, indi haqqında danışmadığımız bir çox başqa komponentlər də...

Əgər bu əsər yoxdursa, təəssüf ki, ahəngdar, ayrılmaz, düzgün münasibətlər olmayacaq.

Partnyorunuzun etibarını yenidən qazanmağa çalışmaq üçün ilk növbədə ortağınızla hər şeyi mümkün qədər ətraflı şəkildə oturub müzakirə etməli, partnyorunuza qarşı səmimi və dürüst bir şəkildə bütün şübhələrinizi, düşüncələrinizi, qorxularınızı, şikayətlərinizi və s. tərzdə. Tam səmimiyyət, azadlıq və dürüstlük vacibdir. Bu olmadan heç nə işləməyəcək.

P.S. Güvən dürüstlük, səmimiyyət və dürüstlüklə sıx bağlıdır.

Və bunu etmək son dərəcə vacibdir və hər şeyin keçəcəyini/unudulacağını düşünərək bundan qaçmamaqdır. Yox! Hər şey nə qədər uzun sürürsə, bir o qədər hər şey öz içində saxlanılır = bir o qədər çox “nəcis” çıxır.

Bütün şübhələr, qorxular, etibarsızlıqlar və s.-ni partnyorunuza söyləmək lazımdır. Ona (hey) münasibətinizdə, onda (onda) nəyi bəyənmədiyinizi deyin, ona harada narahatlıq, narazılıq hiss etdiyinizi və s. Münasibətlərinizin inkişafı boyunca hər zaman bir-birinizə tamamilə hər şeyi müzakirə etməli və ifadə etməlisiniz - "bayramlarda" deyil (işlər artıq qaynadıqda).

Bizim vəziyyətimizdə, güvənlə əlaqədar olaraq, tamamilə açılmalı və hər şeyi ortaya qoymalısınız. Hissləriniz və bütün duyğularınız = utanmadan, qorxmadan, MÜTLƏQ HƏR ŞEYİ saxlamadan!

Bütün qorxular, hərəkətlər, hərəkətlər, iddialar, problemlər, istəklər və s., İstədiyiniz hər şeyi = müzakirə etmək lazımdır. Başdan sona hər şey bir oturuşda. Və bütün bunlardan sonra biz birgə fəaliyyətin konkret planını yaratmalı və bir-birimizlə işləməyə, birlikdə, inamı inkişaf etdirməyə başlamalıyıq, necə? => bütün bu şübhələrdən, qorxulardan, problemlərdən, iddialardan və digər komponentlərdən birlikdə xilas olmaq.

Bir-birinizə güvənməyi, səhvlərinizi etiraf etməyi öyrənin, günahı (məsuliyyəti) öz üzərinizə götürməyi öyrənin, mənim anlayışımda, bu o deməkdir ki, öz təqsirinizlə baş verənləri düzəltməyə hazır olmalısınız, bağışlamağı/bağışlanmağı, tövbə etməyi öyrənin, kompromislər axtarmağı öyrənin , bir-birinizlə danışmağı (ünsiyyət qurmağı) öyrənin (harada, necə, kimlə, nə vaxt, zənglər/sms, tam açıqlıq, tam çıxış), bir-birinizlə tamamilə səmimi və dürüst olmalısınız. Bütün "bu" sizindir = birgə hərəkətlər.

Onlar niyə vacibdir? Çünki iş (hərəkətlər, hərəkətlər) BİRLİKDƏ (bir-biri ilə) mütəşəkkil şəkildə həyata keçirildikdə = hesabat (eyni əlaqə) də qurulur (əlaqə birgə hərəkətlərlə qurulur) = etibar da yaranır. Hesabat (ünsiyyət) = güvən. Bunu atamız kimi yadda saxla.

Və əlbəttə ki, "səbir və işləmək = üyütmək" ifadəsini unutma. Əgər həqiqətən hər ikiniz bir-birinizlə olmaq istəyirsinizsə = əgər istəyirsinizsə = güclü, xoşbəxt, ahəngdar, bütöv bir əlaqə = o zaman bunun üzərində çalışın = bir-birinizlə, birlikdə, hər gün və ləyaqətinizə görə mükafatlandırılacaqsınız. Mənim üçün hamısı budur.

Ancaq ən yaxşısı prinsipcə etibarın itirilməsinin qarşısını almaqdır, onda problemi həll etməli olmayacaqsınız. Ancaq hamı səhv edir, şayiələrə görə hətta Robotlar da =) mövzu bu gün mənə çox yaxın idi...

Təbrik edirəm, administrator.

Bu məqalənin məqsədi yaratmaq üçün addım-addım təlimat verməkdir iki domen arasında xarici etibar əlaqələri Windows 2000. Belə görünür ki, etimad münasibətləri qurmaq üçün lazım olan hər şey var, hüquqlar var, etibar yaratmaq üçün vasitələr məlumdur, amma praktikada sadə təlimatlar həmişə işləmir. Gəlin bunu birlikdə anlamağa çalışaq.

Quru sözlərlə danışsaq, bunu xatırlayırıq etimad münasibətləri domenlər arasında məntiqi əlaqədir ki, burada başdan sona autentifikasiyanı təmin edir etibarlı domen-də həyata keçirilən autentifikasiyanı qəbul edir etibarlı domen. Bu halda, etibarlı domendə müəyyən edilmiş istifadəçi hesabları və qlobal qruplar hətta etibar edən domenin istinad verilənlər bazasında həmin hesablar mövcud olmadıqda belə, etibar edən domendəki resurslara hüquq və icazələr əldə edə bilər.

Güvən yaratmaq nə vaxt lazımdır? Birinci cavab ondan ibarətdir ki, bir müəssisənin (bir meşədəki domen) istifadəçiləri başqa bir müəssisənin resurslarından (fərqli meşədəki başqa bir domen) və ya əksinə istifadə etməlidirlər, o zaman təhlükəsizlik obyektlərini bir domendən digərinə köçürərkən etibar əlaqələri tələb olunur ( məsələn, Microsoft-un ADMT v2 alətindən istifadə edərkən) və bir çox digər həyat iş şəraitində.

Meşədən kənar domenlərlə birtərəfli və ya ikitərəfli keçidsiz etimad (yəni yalnız iki domenlə məhdudlaşan çoxdomenli mühitdə əlaqə) yaratmaq üçün xarici etimad yaradıla bilər. Xarici güvənlər bəzən istifadəçilərin şəkildə göstərildiyi kimi başqa meşənin daxilində yerləşən Windows domenində yerləşən resurslara daxil olmaları lazım olduqda istifadə olunur.

Müəyyən bir meşədəki domen ilə bu meşədən kənar bir domen arasında etimad yarandıqda, xarici domendəki təhlükəsizlik prinsipləri (istifadəçi, qrup və ya kompüter ola bilər) daxili domendəki resurslara daxil ola bilər. xarici etibarlı domendən hər bir təhlükəsizlik prinsipini təmsil etmək üçün daxili domendə "xarici təhlükəsizlik əsas obyekti" yaradır. Bu xarici təhlükəsizlik prinsipləri daxili etibar domenində yerli domen qruplarının üzvü ola bilər. Domen yerli qrupları (adətən resurslara icazələr təyin etmək üçün istifadə olunur) meşədən kənar domenlərin təhlükəsizlik prinsiplərini əhatə edə bilər.

Konsepsiyaları müəyyən etdikdən sonra D01 domenindən D04 domeninə qədər xarici birtərəfli etimad əlaqələrinin qurulmasına davam edək.

Sistem konfiqurasiyası:

Tipik olaraq, hər iki domen müxtəlif şəbəkələrdə yerləşdirilir və onlar arasında əlaqə şlüzlər vasitəsilə həyata keçirilir. Bəzən bu məqsədlər üçün domen kontrollerlərinə ikinci bir şəbəkə kartı əlavə olunur, onlar vasitəsilə xarici şəbəkələrlə əlaqə yaradır. Bu nümunədə hər iki domenin eyni alt şəbəkədə yerləşdiyi ən sadə halda istifadə etdim. Bu halda, sadəcə olaraq NETBIOS domen adlarını göstərməklə inam münasibətləri qurmaq mümkündür və göstərilən hesablamalara ehtiyac yoxdur, lakin şəbəkə strukturu mürəkkəbləşdikcə (müxtəlif domen alt şəbəkələri, şlüzlər və virtual özəl şəbəkələr vasitəsilə əlaqə), etibar mümkün deyil. belə asanlıqla qurmaq. Sonra aşağıda verilmiş əlavə şəbəkə parametrlərini həyata keçirməlisiniz.

Etibarlı münasibətlər yaratmaq üçün fəaliyyət planı tərtib edək:

  • iki server arasındakı əlaqələrin yoxlanılması
  • hər domenin parametrlərini yoxlamaq
  • xarici domenlər üçün ad həllinin qurulması
  • etibarlı domen tərəfində əlaqə yaratmaq
  • etibarlı domendən əlaqə yaratmaq
  • qurulmuş birtərəfli əlaqələrin yoxlanılması
  • ikitərəfli inam yaratmaq (lazım olduqda)

Hər şey göründüyü qədər mürəkkəb deyil. Bu siyahıda əsas məqamlar ilk üç nöqtədir, onların düzgün həyata keçirilməsi son nəticəyə birbaşa təsir göstərir. Onu da qeyd edirəm ki, bütün hərəkətlər bunun üçün bütün lazımi hüquqlara malik olan müvafiq domenlərin administrator hesabları adından həyata keçirilir.


Gəlin başlayaq.

Ediləcək ilk şey Sistem Vəziyyətinizin ehtiyat nüsxəsini çıxarmaqdır hər kəs hər iki domendəki domen nəzarətçiləri (və sistem qovluqları da).

Və yalnız bundan sonra dəyişikliklər etməyə başlayın. Beləliklə, iki server arasında əlaqənin qurulmasına əmin olun:

  • Server01 serverindən onun Server04 serverindən (192.168.1.4) əldə olunduğuna əmin olacağıq.
    Adların həlli ilə bağlı səhvlərin qarşısını almaq üçün IP ünvanı ilə əlaqə qurmaq vacibdir.
    Komanda xəttinə daxil edirik: ping 192.168.1.4
    Uzaq ünvandan cavablar almalıdır. Cavab xeyrdirsə, şəbəkə infrastrukturunuzu təhlil edin və problemləri həll edin.
  • Server04 serverindən onun Server01 serverindən (192.168.1.1) əldə olunduğuna əmin olacağıq.
    Komanda xəttinə daxil edirik: ping 192.168.1.1
    Uzaq server ünvanından cavablar almalıdır Server01.

Hər şey qaydasındadırsa, domen parametrlərini yoxlayaraq növbəti mərhələyə keçin.

Bütün parametrlərdən yalnız hər bir Active Directory domenini dəstəkləyən əsas DNS zonasının konfiqurasiyasını yoxlayacağıq. Çünki məhz bu zonadan olan məlumatlar domen resurs qeydlərini ehtiva edir və müvafiq domen xidmətlərinin yerini və ünvanlarını müəyyən etməyə imkan verir.

Hər bir serverdə əmrləri yerinə yetirək ipconfig.exe /hamısınslookup.exe(ekran 1 və 2).

Ipconfig TCP/IP protokolunun konfiqurasiyasını - nəzarətçi üçün IP ünvanlarını, şlüz ünvanlarını və DNS serverlərini göstərir. Əgər DNS infrastrukturu düzgün konfiqurasiya edilibsə, nslookup yerli domenin DNS adını sorğulayan zaman domen nəzarətçisinin IP ünvanlarının siyahısını göstərir. Yerli domen üçün nəzarətçi ünvanlarını əldə etmək mümkün deyilsə, əsas DNS server konfiqurasiyasını və DNS serverinin irəli axtarış zonasının məzmununu yoxlayın (Şəkil 3).

Nəzərə alın ki, sistemdə xarici domen haqqında heç bir məlumat yoxdur (uzaq domen adı ilə həll etməyə çalışarkən səhv mesajı - 1 və 2 ekranlar) və buna görə də xarici domenlərlə əlaqə yaratmaq üçün nəzarətçiləri axtarmaq çox çətin olacaq. . Bu vəziyyətdə, etibarlı domenlə əlaqə yaratmağa cəhd səhv mesajı ilə nəticələnəcək (Şəkil 4).


İndi bu vəziyyəti həll etməyə başlayaq. Hər bir serverdə xarici domenlər üçün DNS ad həllini konfiqurasiya edək.

Nə etmək lazımdır? Biz ad həllinə nail olmalıyıq və xarici domen üçün resurs qeydlərini əldə etməliyik. Bütün bunlar yerli serveri xarici domeni dəstəkləyən və tələb olunan sorğuları həll etməyə qadir olan DNS zonasına daxil olmaq üçün qurmaqla mümkündür. Dərhal qeyd edim ki, TCP/IP parametrlərinə alternativ olaraq xarici DNS serverinin IP ünvanını əlavə etməklə bu problemi həll etmək cəhdi uğursuzluğa məhkumdur. Gəlin bu vəziyyət üçün düzgün addımlar ataq.

Hər bir domendəki yerli DNS serverində biz xarici domenin əsas DNS zonasının surətini ehtiva edən əlavə zona yaradacağıq. Nəticədə, bu server həm yerli domenlə bağlı sorğulardan, həm də xarici domen haqqında əlavə zonadan qeydlərdən cavabları qaytara bilər.

Server01 serveri üçün əlavə zonanın yaradılmasına misal verəcəyəm, əməliyyatların ardıcıllığı oxşardır.

Uzaq serverdə əsas DNS zonası köçürmələrinin parametrlərini dəyişdirək.

On (Server04), DNS snap-in pəncərəsini açın (Başlat menyusu, sonra Proqramlar və İnzibati Alətlər vasitəsilə).

DNS zonasına sağ vurun və Xüsusiyyətlər seçin.

Zona köçürmələri sekmesinde Zona köçürmələrinə icazə ver onay qutusunu seçin.

Zona köçürmələrinə yalnız müəyyən DNS serverlərinə icazə verin və bu siyahıdan yalnız serverlərə seçimi seçin və sonra birinci domenin DNS serverlərinin IP ünvanlarını göstərin (bizim halda bu IP Server01 - 192.168.1.1 ekranı 5 olacaq).

Bu halda, hər hansı bir serverə köçürməyə imkan verən daha sadə bir parametr mümkündür, lakin bu, təhlükəsizliyin azalmasına səbəb olur. Bundan əlavə, məsələn, bu IP ünvanını cari zona üçün ad serverləri siyahısında təyin etmək daha səmərəlidir.

  • Digər DNS serverlərində əlavə zonalar üçün bildirişləri aktiv edək

Zona Köçürmələri sekmesinde Bildiriş düyməsini basın.

Avtomatik bildiriş qutusunun seçildiyinə əmin olun.

Yalnız müəyyən edilmiş serverlər seçimini seçin və serverlərin IP ünvanlarını tələb olunan bildiriş siyahısına əlavə edin.

Bunun üçün bildiriş siyahısında IP ünvanı sahəsinə əvvəlki paraqrafdan (192.168.1.1) server IP ünvanını daxil edin və Əlavə et düyməsini sıxın (ekran 6).

  • Yerli serverdə Əlavə DNS zonası yaradaq.

On (Server01), DNS pəncərəsini açın.

Konsol ağacında DNS serverinə sağ klikləyin və Şəkil 7-də göstərilən Yeni Zona Sihirbazını açmaq üçün Yeni Zona seçin.

Əlavə zona növünü seçin, IP ünvanı sahəsinə onun adını (D04. yerli) və əsas serverin IP ünvanını (IP 192.168.1.4) daxil edin və Əlavə et düyməsini basın.

Zona yaradıldıqdan sonra ilkin serverdən məlumatların qəbulu bir qədər vaxt aparacaq (bu zaman əsas zonalar Şəkil 8-ə bənzəməlidir).

  • Yeni DNS server konfiqurasiyasını yoxlayaq.

On (Server01) əmr satırı pəncərəsini açın, əmri işə salın nslookup.exe və xarici D04 domeninin DNS adı üçün sorğu daxil edin. yerli – və bu domen nəzarətçilərinin IP ünvanlarının nəticəsi (Ekran 9).

İstədiyimiz budur - indi etimad əlaqəsi yaradan zaman cari domen xarici domenin lazımi xidmət ünvanlarını müəyyən edə biləcək.

Əlbəttə ki, yuxarıdakı hesablamalar standart parametrləri olan domenlərdə həyata keçirilə bilər. Şəbəkənizdə xüsusi DNS parametrləri varsa, tələblərinizə uyğun olaraq bu elementləri dəyişdirməlisiniz.

İndi etibarlı domendə (Server04) başqa bir nəzarətçidə əvvəlki addımları təkrarlamaq lazımdır ki, bu nəzarətçi də ad qətnamələri əldə edə və birinci domen üçün xidmətlərin siyahısını əldə edə bilsin (Ekran 10).


Hər iki domen adı DNS server vasitəsilə həll edildikdən sonra biz birbaşa xarici birtərəfli etibar əlaqəsi yaratmaq üçün standart prosedura davam edə bilərik.

  • Etibarlı domen tərəfdən əlaqə yaradaq (d01. yerli)

Nəzarətçidə (Server01) “Active Directory - Domains and Trusts” əlavə elementini açın (Başlat menyusu, sonra Proqramlar və İnzibati Alətlər vasitəsilə).

Konsol ağacında idarə etmək istədiyiniz domen qovşağına sağ klikləyin (D01.local) və Properties seçin (Şəkil 11).

Güvənlər sekmesini seçin.

Bu domenin etibar etdiyi domenləri seçin və sonra Əlavə et klikləyin.

Domenin tam DNS adını daxil edin, yəni. D04. yerli (Windows NT domeni üçün sadəcə ad - ekran 12).

Parolunuzu daxil edin (məsələn, 12 W#$r) verilmiş inam əlaqəsi üçün. Parol hər iki domendə etibarlı olmalıdır: əsas domen və etibarlı domen. Parolun özü yalnız etibarlı əlaqənin qurulması müddətində istifadə olunur, parol silinəcəkdir.

Üstəlik, iki zəruri əlaqədən yalnız birini qurduğumuz üçün etibar əlaqəsini dərhal yoxlamaq mümkün deyil (ekran 13). Etibarlı domendən oxşar, lakin rəy yaratmalısınız.

Bu rejimdə olarkən siz yaradılan gedən əlaqənin xüsusiyyətlərinə baxa bilərsiniz (Ekran 14).

Birbaşa etibar əlaqəsinin digər hissəsini təşkil edən domen üçün bu proseduru təkrarlayaq.


Etibarlı domen tərəfdən əlaqə yaradaq (d04. yerli)

Nəzarətçidə (Server04) Active Directory Domains and Trusts əlavə elementini açın.

Konsol ağacında idarə etmək istədiyiniz domen qovşağına sağ klikləyin (D04.local) və Xüsusiyyətlər seçin.

Güvənlər sekmesini seçin (Ekran 15).

Bu domenə etibar edən Domenləri seçin və sonra Əlavə et klikləyin.

Tam DNS domen adını daxil edin - D01. yerli.

Daha əvvəl qeyd etdiyiniz bu etibar üçün parolu daxil edin (12 W#$ r - ekran 16).

Çünki Güvən münasibətimiz üçün əks əlaqəni konfiqurasiya etmişiksə, yeni əlaqəni sınaqdan keçirməliyik (Ekran 17).

Bunu etmək üçün, əks domen D01-dən etibar münasibətlərini dəyişdirmək hüququna malik olan istifadəçi hesabını göstərməlisiniz. yerli, bunlar Domain Administrator qeydidir d01 (Ekran 18).

Etibarnamələr düzgündürsə, əlaqə pinglənir və etibar qurulur (Şəkil 19).

İndi gəlin xarici etibar əlaqələrini necə yoxlamağa baxaq. Məsələn, etibarlı domendən əlaqəni yoxlayaq (D01.local)

Etibar əlaqəsini yoxlamaq üçün:

Active Directory Domains and Trusts əlavə elementini açın.

Konsol ağacında, yoxlamaq istədiyiniz etibarda iştirak edən domeni sağ klikləyin (D01.local) və sonra Xüsusiyyətlər düyməsini basın.

Güvənlər sekmesini seçin.

Bu Domenin Etibar etdiyi Domenlər siyahısında yoxlamaq istədiyiniz etibar əlaqəsini seçin (D04. yerli) və Redaktə et (Ekran 20) üzərinə klikləyin.

Yoxla düyməsini basın.


Görünən dialoq qutusunda etibar əlaqəsini dəyişdirmək hüququ olan istifadəçinin etimadnaməsini, yəni Xarici Domen Administratoru qeydini d04 və onun parolunu daxil etməlisiniz (ekran 21).

Əvvəlki kimi, qeydiyyat məlumatları düzgündürsə və əlaqə işləyirsə, təsdiq mesajı göstərilir (Ekran 22).

Səhvlər olduqda, şəbəkə strukturunuzu (şlüzlərin, təhlükəsizlik duvarlarının, marşrutlaşdırıcıların parametrləri, domen alt şəbəkələrinin ayrılması), DNS infrastruktur parametrlərini, domen nəzarətçiləri arasında fiziki əlaqələrin funksionallığını, həmçinin Active Directory domenlərində mümkün səhvləri yoxlayın (Hadisə Qeydlərini təhlil edərək domen kontrollerlərində).

Etibarlı domendən güvən qurulduqdan sonra, indi Doğrulanmış istifadəçilərin (ALL qrupunun xüsusi qrupunun üzvləri) autentifikasiyasından istifadə edərək etibarlı domendəki resurslara baxmaq mümkündür.

Gəlin əmin olaq ki, etibar edən domendəki etibarlı domendən (D04. yerli domendən olan hesablar) təhlükəsizlik əsas obyektlərindən istifadə edə bilərik. Bunun üçün biz D01 domenində ortaq resurs yaradacağıq və ona etibarlı D04 domenindən “Domen İstifadəçiləri” qlobal qrupuna girişi təmin edəcəyik.

Domendə D01 yaradın. Server01 domen nəzarətçisində yerli paylaşılan qovluq.

Beləliklə, etibarlı D04 domenindən biz lazım olan D01 etibarlı domenindəki resursa giriş əldə etdik.

Lazım gələrsə, D04 domenindən D01-ə qədər əks istiqamətdə etibar münasibətlərini konfiqurasiya etmək mümkündür. Yəni D04 domeni etibarlı domenə çevriləcək. yerli və etibarlı domen artıq D01 olacaq. yerli.

baxışlar


Siz həmçinin bəyənə bilərsiniz

Plastik pəncərələr səhv quraşdırılıb, nə etməli?

Plastik pəncərələr səhv quraşdırılıb, nə etməli?

0
docsis 3 texnologiyasından istifadə edərək əlaqə

docsis 3 texnologiyasından istifadə edərək əlaqə

0
Moskva bölgəsindəki bir bağçaya İnternet

Moskva bölgəsindəki bir bağçaya İnternet

0