ჩვენ აღვადგენთ ნდობას დომენის მიმართ. ნდობის ურთიერთობის შემოწმებისას მოხდა სისტემური შეცდომა - სერტიფიკატის გადაწყვეტა შეცდომის შესახებ სერტიფიკატთან

ყველა სისტემის ადმინისტრატორი დროდადრო ხვდება შეცდომას „ამ სამუშაო სადგურსა და ძირითად დომენს შორის ნდობის ურთიერთობა ვერ დამყარდა“. მაგრამ ყველას არ ესმის მისი წარმოშობის პროცესების მიზეზები და მექანიზმები. რადგან მიმდინარე მოვლენების მნიშვნელობის გააზრების გარეშე შეუძლებელია აზრიანი ადმინისტრირება, რომელსაც ცვლის ინსტრუქციების უაზრო შესრულება.

კომპიუტერული ანგარიშები, ისევე როგორც მომხმარებლის ანგარიშები, არის დომენის უსაფრთხოების პრინციპები. უსაფრთხოების თითოეულ მთავარს ავტომატურად ენიჭება უსაფრთხოების იდენტიფიკატორი (SID), რომელ დონეზეც მას შეუძლია დომენის რესურსებზე წვდომა.

სანამ ანგარიშს დომენზე წვდომას მიანიჭებთ, უნდა გადაამოწმოთ მისი ავთენტურობა. უსაფრთხოების თითოეულ მონაწილეს უნდა ჰქონდეს საკუთარი ანგარიში და პაროლი და კომპიუტერის ანგარიში არ არის გამონაკლისი. როდესაც კომპიუტერს უერთდებით Active Directory-ში, მისთვის იქმნება კომპიუტერის ანგარიში და დაყენებულია პაროლი. ამ დონეზე ნდობა უზრუნველყოფილია იმით, რომ ამ ოპერაციას ასრულებს დომენის ადმინისტრატორი ან სხვა მომხმარებელი, რომელსაც აქვს ამის უფლება.

შემდგომში, ყოველ ჯერზე, როდესაც კომპიუტერი შედის დომენში, ის ადგენს უსაფრთხო არხს დომენის კონტროლერთან და აწვდის მას რწმუნებათა სიგელებს. ამრიგად, კომპიუტერსა და დომენს შორის მყარდება ნდობის ურთიერთობა და შემდგომი ურთიერთქმედება ხდება უსაფრთხოების პოლიტიკისა და ადმინისტრატორის მიერ დაყენებული წვდომის უფლებების შესაბამისად.

კომპიუტერის ანგარიშის პაროლი მოქმედებს 30 დღის განმავლობაში და შემდეგ ავტომატურად იცვლება. მნიშვნელოვანია გვესმოდეს, რომ პაროლის შეცვლა ინიცირებულია კომპიუტერის მიერ. ეს არის მომხმარებლის პაროლის შეცვლის პროცესის მსგავსი. როდესაც აღმოაჩინა, რომ მიმდინარე პაროლი ამოიწურა, კომპიუტერი ჩაანაცვლებს მას დომენში შესვლის შემდეგ. ამიტომ, იმ შემთხვევაშიც კი, თუ კომპიუტერი არ ჩართული გაქვთ რამდენიმე თვის განმავლობაში, დომენში ნდობის ურთიერთობა დარჩება და პაროლი შეიცვლება პირველი შესვლისას, როდესაც შეხვალთ დიდი ხნის შესვენების შემდეგ.

ნდობა ირღვევა, როდესაც კომპიუტერი ცდილობს დომენის ავტორიზაციას არასწორი პაროლით. როგორ შეიძლება ეს მოხდეს? უმარტივესი გზაა კომპიუტერის მდგომარეობის უკან დაბრუნება, მაგალითად, სისტემის აღდგენის სტანდარტული პროგრამის გამოყენებით. იგივე ეფექტის მიღწევა შესაძლებელია გამოსახულების, სნეპშოტის (ვირტუალური მანქანებისთვის) აღდგენისას და ა.შ.

კიდევ ერთი ვარიანტია ანგარიშის შეცვლა სხვა კომპიუტერით იმავე სახელით. სიტუაცია საკმაოდ იშვიათია, მაგრამ ზოგჯერ ეს ხდება, მაგალითად, როდესაც სახელის შენახვისას თანამშრომლის კომპიუტერი შეიცვალა, ძველი ამოიღეს დომენიდან, შემდეგ კი ისინი კვლავ შეიყვანეს დომენში, ავიწყდებათ მისი გადარქმევა. ამ შემთხვევაში, როდესაც ძველი კომპიუტერი ხელახლა შეიყვანება დომენში, ის შეცვლის კომპიუტერის ანგარიშის პაროლს და ახალი კომპიუტერი ვეღარ შეძლებს სისტემაში შესვლას, რადგან ის ვერ შეძლებს ნდობის ურთიერთობის დამყარებას.

რა ქმედებები უნდა მიიღოთ, თუ ამ შეცდომას წააწყდებით? უპირველეს ყოვლისა დაადგინეთ ნდობის დარღვევის მიზეზი. თუ ეს იყო უკან დაბრუნება, მაშინ ვის მიერ, როდის და როგორ შესრულდა, თუ პაროლი შეცვალა სხვა კომპიუტერმა, მაშინ კვლავ უნდა გავარკვიოთ, როდის და რა ვითარებაში მოხდა ეს.

მარტივი მაგალითი: ძველ კომპიუტერს დაარქვეს სახელი და გადაეცა სხვა განყოფილებას, რის შემდეგაც ის გაფუჭდა და ავტომატურად დაბრუნდა ბოლო საგუშაგოზე. რის შემდეგაც ეს კომპიუტერი შეეცდება ავთენტიფიკაციას დომენში ძველი სახელით და ბუნებრივია მიიღებს შეცდომას ნდობის ურთიერთობის დამყარებისას. სწორი მოქმედება ამ შემთხვევაში იქნება კომპიუტერის სახელის გადარქმევა, როგორც უნდა ეწოდოს, ახალი გამშვები პუნქტის შექმნა და ძველის წაშლა.

და მხოლოდ მას შემდეგ, რაც დარწმუნდებით, რომ ნდობის დარღვევა გამოწვეული იყო ობიექტურად აუცილებელი ქმედებებით და რომ სწორედ ამ კომპიუტერისთვის შეგიძლიათ დაიწყოთ ნდობის აღდგენა. ამის გაკეთების რამდენიმე გზა არსებობს.

Active Directory მომხმარებლები და კომპიუტერები

ეს არის უმარტივესი, მაგრამ არა ყველაზე სწრაფი და მოსახერხებელი გზა. გახსენით snap-in ნებისმიერ დომენის კონტროლერზე Active Directory მომხმარებლები და კომპიუტერებიიპოვეთ საჭირო კომპიუტერის ანგარიში და მარჯვენა ღილაკით აირჩიეთ ანგარიშის გადატვირთვა.

შემდეგ ჩვენ შევდივართ კომპიუტერზე, რომელმაც დაკარგა ნდობის ურთიერთობა ადგილობრივი ადმინისტრატორიდა ამოიღეთ მანქანა დომენიდან.

შემდეგ ჩვენ შევიყვანთ მას უკან, შეგიძლიათ გამოტოვოთ გადატვირთვა ამ ორ მოქმედებას შორის. დომენში ხელახლა შესვლის შემდეგ, გადატვირთეთ და შედით დომენის ანგარიშის ქვეშ. კომპიუტერის პაროლი შეიცვლება, როდესაც კომპიუტერი კვლავ შეუერთდება დომენს.

ამ მეთოდის მინუსი ის არის, რომ მანქანას დომენიდან გაყვანა სჭირდება, ასევე საჭიროა ორი (ერთი) გადატვირთვა.

Netdom უტილიტა

ეს პროგრამა შედის Windows Server-ში 2008 წლის გამოცემიდან, მისი დაინსტალირება შესაძლებელია მომხმარებლის კომპიუტერებზე, როგორც RSAT (დისტანციური სერვერის ადმინისტრირების ხელსაწყოები). მის გამოსაყენებლად შედით სამიზნე სისტემაში ადგილობრივი ადმინისტრატორიდა გაუშვით ბრძანება:

Netdom resetpwd /სერვერი:DomainController /UserD:Administrator /PasswordD:Password

მოდით შევხედოთ ბრძანების ვარიანტებს:

• სერვერი- ნებისმიერი დომენის კონტროლერის სახელი
• UserD- დომენის ადმინისტრატორის ანგარიშის სახელი
• პაროლიD- დომენის ადმინისტრატორის პაროლი

ბრძანების წარმატებით დასრულების შემდეგ, გადატვირთვა არ არის საჭირო, უბრალოდ გამოდით თქვენი ადგილობრივი ანგარიშიდან და შედით დომენის ანგარიშზე.

PowerShell 3.0 სმდლეტი

Netdom კომუნალური პროგრამისგან განსხვავებით, PowerShell 3.0 შედის სისტემაში Windows 8 / Server 2012-დან დაწყებული, ძველი სისტემებისთვის მისი ხელით ინსტალაცია შესაძლებელია, Windows 7, Server 2008 და Server 2008 R2 მხარდაჭერილია. დამოკიდებულების სახით საჭიროა Net Framework 4.0 ან უფრო ახალი.

ანალოგიურად, შედით სისტემაში, რომლისთვისაც გსურთ ნდობის აღდგენა, როგორც ადგილობრივი ადმინისტრატორი, გაუშვით PowerShell კონსოლი და გაუშვით ბრძანება:

გადაყენება-ComputerMachinePassword-Server DomainController-Credential Domain\Admin

• სერვერი- ნებისმიერი დომენის კონტროლერის სახელი
• რწმუნებათა სიგელები- დომენის სახელი / დომენის ადმინისტრატორის ანგარიში

ამ ბრძანების შესრულებისას გამოჩნდება ავტორიზაციის ფანჯარა, რომელშიც მოგიწევთ შეიყვანოთ პაროლი თქვენს მიერ მითითებული დომენის ადმინისტრატორის ანგარიშისთვის.

cmdlet არ აჩვენებს შეტყობინებას, როდესაც ის წარმატებით დასრულდება, ამიტომ უბრალოდ შეცვალეთ ანგარიში, გადატვირთვა არ არის საჭირო.

როგორც ხედავთ, დომენში ნდობის ურთიერთობის აღდგენა საკმაოდ მარტივია, მთავარია ამ პრობლემის მიზეზის სწორად დადგენა, ვინაიდან სხვადასხვა შემთხვევაში სხვადასხვა მეთოდია საჭირო. ამიტომ, ჩვენ არასდროს ვიღლებით გამეორებით: როდესაც რაიმე პრობლემა ჩნდება, თქვენ ჯერ უნდა დაადგინოთ მიზეზი და მხოლოდ ამის შემდეგ მიიღოთ ზომები მის გამოსასწორებლად, ნაცვლად იმისა, რომ დაუფიქრებლად გაიმეოროთ ქსელში ნაპოვნი პირველი ინსტრუქცია.

ამ სტატიაში ვისაუბრებთ იმაზე, თუ რაზეა აგებული მამაკაცისა და ქალის სერიოზული ურთიერთობა.

მამაკაცებსა და ქალებს შორის სერიოზული ურთიერთობები, რა თქმა უნდა, ნდობაზეა აგებული.

ნდობის გარეშე = სერიოზული ურთიერთობა აპრიორია, პრინციპში, შეუძლებელია!

ნდობა = ეს არის საფუძველი, რომელზედაც შენდება ურთიერთობები. სახლი = საძირკვლის გარეშე (სათანადო საძირკველი) = აშენება შეუძლებელია, დაიშლება, ასეა ქალთან და მამაკაცთან ურთიერთობაშიც.

თუ არ ენდობით თქვენს პარტნიორს = ადრე თუ გვიან = ყველაფერი დაინგრევა (დაინგრევა), რადგან ურთიერთობა შიშით, შფოთვით, შფოთვით, სტრესით, ტკივილით, ჩხუბით და ა.შ. დიდხანს არ გაგრძელდება.

რა არის ნდობა და მისი არარსებობა?

ნდობამ არ იცის ეჭვი, სად იწყება ეჭვი, ნდობა კვდება.

ეს არის პარტნიორისადმი ნდობა (ეჭვების არარსებობა) და ეს არის ნდობის ნაკლებობა (ეჭვების არსებობა). ურთიერთობაში ნდობა სრული და ორმხრივი უნდა იყოს. თუ ეს ასე არ არის, ერთ-ერთ პარტნიორს არ აქვს ნდობა = არსებობს მღელვარე ეჭვები და ა.შ. - არ იქნება სერიოზული ურთიერთობა (ამ პრობლემის გადაჭრის გარეშე), ასეთ ურთიერთობას მომავალი არ ექნება, ის განწირულია. წარუმატებლობა.

მაშ რა არის გამოსავალი ამ სიტუაციაში? ჩემი აზრით, პრობლემის მოგვარების 2 გზა არსებობს:

• 1, შექმენით ნდობა (თუ ის დაიკარგა) თქვენს პარტნიორთან. (რთული, მაგრამ შესაძლებელია, და თუ ღირს (ეს აზრი აქვს, უფრო დეტალურად სტატიაში :) - ეს ნამდვილად უნდა გაკეთდეს, ორივე პარტნიორი, ურთიერთობები სამუშაოა!).
• მე-2, გამოყავით და არ იტანჯოთ. (მარტივი, მარტივი, ვიცი კომენტარები, აქ სათქმელიც კი არაფერია).

ჰკითხეთ საკუთარ თავს, ენდობით თუ არა თქვენს პარტნიორს? თუ არა, შეგიძლიათ კვლავ ენდოთ მას (ჰეი)?

თუ თქვენი პასუხია „არა“, მაშინ ყველაზე სწორი იქნება ამ ურთიერთობის დასრულება და არ გაართულოთ ერთმანეთის ცხოვრება ამ ყველაფერზე ფასდაუდებელი დროის, ენერგიისა და სხვა რესურსების დახარჯვით, რაც ერთმანეთს უფრო უბედურს გახდის.

ურთიერთობის აზრი არის ერთმანეთის გაძლიერება. ამაზე დაწვრილებით სტატიაში ვისაუბრე: თუ ეს ასე არ არის, მაშინ ურთიერთობა უაზროა.

ადრე თუ გვიან = სრული ნდობის გარეშე = დასასრული მაინც მოვა, წყვილები ერთმანეთს შორდებიან, მაშ რატომ კარგავ დროს, მთავარი რესურსი ნებისმიერი ადამიანის ცხოვრებაში? რატომ იტანჯებით, რატომ აბედნიერებთ ერთმანეთს, გადადეთ ეს მომენტი? მყავდა გოგონა, რომლის მიმართაც მისი ხუმრობის შემდეგ ნდობა დავკარგე.

ჯერ კიდევ არ ვიცი ხუმრობა იყო თუ არა (სიყვარული დამაბრმავებელია), მაგრამ ტვინში ჩამებეჭდა = ძალიან, ძალიან ძლიერად, იმ დონემდე, რომ ძალიან გამიჭირდება ხელახლა ნდობის დაწყება.

მაგრამ. თუმცა, ჩემს შემთხვევაში, შესაძლებელი იქნებოდა ყველაფრის გარკვევა და გამოსწორება (მაგრამ არა ზუსტად, არა).

მხოლოდ თქვენ თვითონ იცით პასუხი კითხვაზე – შეიძლება თუ არა ისევ ენდოთ მას, რადგან თითოეული შემთხვევა ინდივიდუალურია და ჩვენ ყველანი, პრინციპში, ინდივიდუალური ინდივიდები ვართ. გესმის?

თუ ეს ნამდვილად "არა", მაშინ მხოლოდ ერთი გამოსავალია, უბრალოდ გააგრძელეთ საკუთარი თავის და პარტნიორის წამების გარეშე.

მაგრამ, თუ თქვენ ჯერ კიდევ გაქვთ ეჭვი და თქვენი პასუხი, შესაძლოა, შეიძლება და ა.შ. = მაშინ, ნდობის განახლებისთვის = ორივე პარტნიორის ყოველდღიური სასურველი მუშაობა ამ მიმართულებით იქნება საჭირო.

ურთიერთობები არის მუდმივი მუშაობა ორ პარტნიორს შორის. ეს არის სამუშაო. Სამუშაო. და კიდევ ერთხელ იმუშავე. ყოველდღიური. და არა მხოლოდ ნდობის კუთხით, არამედ ბევრ სხვა კომპონენტზე, რომლებზეც ახლა არ ვსაუბრობთ...

თუ ეს ნამუშევარი არ არსებობს, მაშინ, სამწუხაროდ, არ იქნება ჰარმონიული, ინტეგრალური, სწორი ურთიერთობები.

პარტნიორის ნდობის დასაბრუნებლად, პირველ რიგში, თქვენ უნდა დაჯდეთ და რაც შეიძლება დეტალურად განიხილოთ ყველაფერი პარტნიორთან, ყველა თქვენი ეჭვი, აზრი, შიში, პრეტენზია და ა.შ. თქვენი პარტნიორის მიმართ გულწრფელად და გულწრფელად. მანერა. მნიშვნელოვანია სრული გულწრფელობა, თავისუფლება და პატიოსნება. ამის გარეშე არაფერი გამოვა.

P.S. ნდობა მჭიდრო კავშირშია პატიოსნებასთან, გულწრფელობასა და მთლიანობასთან.

და უაღრესად მნიშვნელოვანია ამის გაკეთება და არა გვერდის ავლით იმის ფიქრით, რომ ყველაფერი გაივლის/დავიწყდება. არა! რაც უფრო დიდხანს გაჭიანურდება ყველაფერი, მით უფრო დიდხანს ინახება ყველაფერი თავის შიგნით = მეტი "განავალი" გამოდის შემდეგ.

ყველა ეჭვი, შიში, დაუცველობა და ა.შ უნდა უთხრათ თქვენს პარტნიორს. უთხარი მას (ჰეი) რა არ მოგწონს შენს ურთიერთობაში, მასში (მას), უთხარი სად გრძნობ დისკომფორტს, უკმაყოფილებას და ა.შ. თქვენ უნდა განიხილოთ და გამოხატოთ აბსოლუტურად ყველაფერი ერთმანეთთან ყოველთვის, თქვენი ურთიერთობის განვითარების განმავლობაში - და არა "დღესასწაულებზე" (როდესაც ყველაფერი უკვე ადუღდა).

ჩვენს შემთხვევაში, ნდობასთან დაკავშირებით, თქვენ უნდა გაიხსნათ მთლიანად და ჩამოაყალიბოთ ეს ყველაფერი. გრძნობები და ყველა თქვენი ემოცია = მორცხვის გარეშე, შიშის გარეშე, აბსოლუტურად არაფრის შეკავების გარეშე!

ყველა შიში, ქმედება, მოქმედება, პრეტენზია, პრობლემა, სურვილი და ა.შ. ყველაფერი რაც თქვენ გინდათ = განხილვაა საჭირო. ყველაფერი თავიდან ბოლომდე ერთ სხდომაზე. და ამ ყველაფრის შემდეგ ერთად უნდა შევქმნათ ერთობლივი მოქმედების კონკრეტული გეგმა და დავიწყოთ ერთმანეთთან მუშაობა, ერთად დავიწყოთ ნდობის განვითარება, როგორ? => ყველა ამ ეჭვის, შიშის, პრობლემის, პრეტენზიებისა და სხვა კომპონენტების ერთად მოშორება.

ისწავლეთ ერთმანეთის ნდობა, ისწავლეთ შეცდომების აღიარება, ისწავლეთ დადანაშაულება (პასუხისმგებლობა), ჩემი გაგებით, ეს ნიშნავს, რომ მზად უნდა იყოთ გამოასწოროთ ის, რაც მოხდა თქვენი ბრალით, ისწავლოთ პატიება/პატიება, მოინანიოთ. ისწავლეთ კომპრომისების ძიება, ისწავლეთ ერთმანეთთან საუბარი (სად, როგორ, ვისთან, როდის, ზარები/sms, სრული გახსნილობა, სრული წვდომა), თქვენ უნდა იყოთ სრულიად გულწრფელები და გულწრფელები ერთმანეთთან. ყველა "ეს" შენია = ერთობლივი ქმედებები.

რატომ არიან ისინი მნიშვნელოვანი? იმიტომ, რომ როდესაც სამუშაო (მოქმედებები, მოქმედებები) ორგანიზებულად მიმდინარეობს TOGETHER (ერთმანეთთან) = ანგარიში (იგივე კავშირი) ასევე მყარდება (კავშირი მყარდება ერთობლივი ქმედებებით) = რაც ნიშნავს, რომ ასევე დამყარებულია ნდობა. ანგარიში (კომუნიკაცია) = ნდობა. დაიმახსოვრე ეს მამაჩვენივით.

და რა თქმა უნდა, არ დაივიწყოთ გამოთქმა "მოთმინება და შრომა = გახეხვა". თუ თქვენ ორივეს ნამდვილად გსურთ ერთმანეთთან ყოფნა = თუ გინდა = ძლიერი, ბედნიერი, ჰარმონიული, ჰოლისტიკური ურთიერთობა = მაშინ იმუშავეთ ამაზე = ერთმანეთში, ერთად, ყოველ დღე და დაჯილდოვდებით თქვენი დამსახურების მიხედვით. სულ ეს არის ჩემთვის.

მაგრამ ყველაზე კარგი ის არის, რომ თავიდან აიცილოთ ნდობის დაკარგვა პრინციპში, მაშინ არ მოგიწევთ პრობლემის მოგვარება. თუმცა შეცდომებს ყველა უშვებს, ჭორების მიხედვით რობოტებიც კი =) თემა ძალიან ახლოს იყო ჩემთვის დღეს...

გილოცავ, ადმინისტრატორო.

ამ სტატიის მიზანია შექმნას ნაბიჯ-ნაბიჯ ინსტრუქციები გარე ნდობის ურთიერთობები ორ დომენს შორის Windows 2000. როგორც ჩანს, ყველაფერია საჭირო ნდობის ურთიერთობის დასამყარებლად, არის უფლებები, ცნობილია ნდობის შექმნის ინსტრუმენტები, მაგრამ პრაქტიკაში მარტივი ინსტრუქციები ყოველთვის არ მუშაობს. შევეცადოთ ერთად გავარკვიოთ.

თუ მშრალი სიტყვებით ვსაუბრობთ, ეს გვახსოვს სანდო ურთიერთობებიარის ლოგიკური ურთიერთობა დომენებს შორის, რომელიც უზრუნველყოფს ბოლომდე ავთენტიფიკაციას სად სანდო დომენიიღებს ავტორიზაციას, რომელიც შესრულებულია სანდო დომენი. ამ შემთხვევაში, მომხმარებელთა ანგარიშებსა და გლობალურ ჯგუფებს, რომლებიც განსაზღვრულია სანდო დომენში, შეუძლიათ მიიღონ უფლებები და ნებართვები რესურსებზე ნდობის დომენში, მაშინაც კი, როდესაც ეს ანგარიშები არ არსებობს ნდობის დომენის საცნობარო მონაცემთა ბაზაში.

როდის არის საჭირო ნდობის შექმნა? პირველი პასუხი არის ის, რომ ერთი საწარმოს მომხმარებლებმა (დომენი ერთ ტყეში) უნდა გამოიყენონ რესურსები სხვა საწარმოდან (სხვა დომენი სხვა ტყეში) ან პირიქით, მაშინ საჭიროა ნდობის ურთიერთობები უსაფრთხოების ობიექტების ერთი დომენიდან მეორეზე გადატანისას ( მაგალითად, Microsoft-ის ADMT v2 ხელსაწყოს გამოყენებისას) და ბევრ სხვა ცხოვრებისეულ სამუშაო პირობებში.

გარე ნდობა შეიძლება შეიქმნას ცალმხრივი ან ორმხრივი არატრანზიტული ნდობის (ანუ ურთიერთობა მრავალ დომენურ გარემოში, რომელიც შემოიფარგლება მხოლოდ ორი დომენით) ტყის გარეთ დომენებთან. გარე ტრასტები ზოგჯერ გამოიყენება, როდესაც მომხმარებლებს სჭირდებათ წვდომა Windows დომენში, რომელიც მდებარეობს სხვა ტყეში, როგორც ნაჩვენებია სურათზე.

როდესაც ნდობა დამყარებულია კონკრეტულ ტყეში არსებულ დომენსა და ამ ტყის გარეთ არსებულ დომენს შორის, უსაფრთხოების პრინციპებს (რომელიც შეიძლება იყოს მომხმარებელი, ჯგუფი ან კომპიუტერი) გარე დომენში შეუძლიათ წვდომა რესურსებზე შიდა დომენში. ქმნის "გარე უსაფრთხოების ძირითად ობიექტს" შიდა დომენში, რომელიც წარმოადგენს უსაფრთხოების თითოეულ მთავარს გარე სანდო დომენიდან. ეს გარე უსაფრთხოების პრინციპები შეიძლება გახდნენ დომენის ადგილობრივი ჯგუფების წევრები შიდა სანდო დომენში. დომენის ლოკალური ჯგუფები (როგორც წესი, გამოიყენება რესურსებისთვის ნებართვების მინიჭებისთვის) შეიძლება შეიცავდეს უსაფრთხოების პრინციპებს ტყის გარეთ დომენებიდან.

ცნებების განსაზღვრის შემდეგ, მოდით გავაგრძელოთ გარე ცალმხრივი ნდობის ურთიერთობების დამყარება დომენიდან D01 დომენამდე D04-მდე.

სისტემების კონფიგურაცია:

როგორც წესი, ორივე დომენი განლაგებულია სხვადასხვა ქსელში და მათ შორის კომუნიკაცია ხორციელდება კარიბჭეების მეშვეობით. ზოგჯერ, ამ მიზნებისათვის, მეორე ქსელის ბარათი ემატება დომენის კონტროლერებს, რაც მათ მეშვეობით ამყარებს კავშირს გარე ქსელებთან. ამ მაგალითში გამოვიყენე უმარტივესი შემთხვევა, როდესაც ორივე დომენი განლაგებულია იმავე ქვექსელზე. ამ შემთხვევაში, შესაძლებელია ნდობის ურთიერთობების დამყარება უბრალოდ NETBIOS დომენური სახელების მითითებით და მითითებული გამოთვლები არასაჭიროა, თუმცა, რადგან ქსელის სტრუქტურა უფრო რთული ხდება (სხვადასხვა დომენის ქვექსელები, კომუნიკაცია გეითვეიებით და ვირტუალური კერძო ქსელებით), ნდობა შეუძლებელია. დაყენება ასე მარტივად. შემდეგ თქვენ უნდა განახორციელოთ ქვემოთ მოცემული დამატებითი ქსელის პარამეტრები.

მოდით შევადგინოთ სამოქმედო გეგმა სანდო ურთიერთობების შესაქმნელად:

• ორ სერვერს შორის კავშირების შემოწმება
• თითოეული დომენის პარამეტრების შემოწმება
• გარე დომენებისთვის სახელის რეზოლუციის დაყენება
• სანდო დომენის მხრიდან კავშირის შექმნა
• სანდო დომენიდან კავშირის შექმნა
• დამყარებული ცალმხრივი ურთიერთობების შემოწმება
• ორმხრივი ნდობის შექმნა (საჭიროების შემთხვევაში)

ყველაფერი არც ისე რთულია, როგორც ერთი შეხედვით ჩანს. ამ სიაში საკვანძო პუნქტებია პირველი სამი პუნქტი, რომლის სწორი განხორციელება პირდაპირ გავლენას ახდენს საბოლოო შედეგზე. მე ასევე აღვნიშნავ, რომ ყველა მოქმედება შესრულებულია შესაბამისი დომენების ადმინისტრატორის ანგარიშების სახელით, რომლებსაც აქვთ ამისათვის ყველა საჭირო უფლება.

Დავიწყოთ.

პირველი რაც უნდა გააკეთოთ არის თქვენი სისტემის მდგომარეობის სარეზერვო ასლის შექმნა ყველასდომენის კონტროლერები ორივე დომენში (და სისტემის დირექტორიებიც).

და მხოლოდ ამის შემდეგ დაიწყე ცვლილებების შეტანა. ასე რომ, დარწმუნდით, რომ შესაძლებელია კომუნიკაციის დამყარება ორ სერვერს შორის:

• Server01 სერვერიდან ჩვენ დავრწმუნდებით, რომ ის ხელმისაწვდომია Server04 სერვერიდან (192.168.1.4)
  მნიშვნელოვანია დაამყაროთ კავშირები IP მისამართით, რათა თავიდან იქნას აცილებული სახელების გარჩევადობასთან დაკავშირებული შეცდომები.
  ბრძანების სტრიქონში შევდივართ: პინგი 192.168.1.4
  უნდა მიიღოს პასუხები დისტანციური მისამართიდან. თუ პასუხი არ არის, გაანალიზეთ თქვენი ქსელის ინფრასტრუქტურა და მოაგვარეთ პრობლემები.

• Server04 სერვერიდან ჩვენ დავრწმუნდებით, რომ ის ხელმისაწვდომია Server01 სერვერიდან (192.168.1.1)
  ბრძანების სტრიქონში შევდივართ: პინგი 192.168.1.1
  უნდა მიიღოს პასუხები დისტანციური სერვერის მისამართიდან Server01.

თუ ყველაფერი რიგზეა, გადადით შემდეგ ეტაპზე, შეამოწმეთ დომენის პარამეტრები.

ყველა პარამეტრიდან ჩვენ შევამოწმებთ მხოლოდ პირველადი DNS ზონის კონფიგურაციას, რომელიც მხარს უჭერს Active Directory-ის თითოეულ დომენს. რადგან სწორედ ამ ზონის მონაცემები შეიცავს დომენის რესურსის ჩანაწერებს და საშუალებას გაძლევთ განსაზღვროთ შესაბამისი დომენის სერვისების მდებარეობა და მისამართები.

მოდით შევასრულოთ ბრძანებები თითოეულ სერვერზე ipconfig.exe /ყველადა nslookup.exe(ეკრანი 1 და 2).

Ipconfig აჩვენებს TCP/IP პროტოკოლის კონფიგურაციას - IP მისამართებს, კარიბჭის მისამართებს და DNS სერვერებს კონტროლერისთვის. თუ DNS ინფრასტრუქტურა სწორად არის კონფიგურირებული, nslookup აჩვენებს დომენის კონტროლერის IP მისამართების სიას ლოკალური დომენის DNS სახელის მოთხოვნისას. თუ შეუძლებელია ადგილობრივი დომენის კონტროლერის მისამართების მოპოვება, შეამოწმეთ პირველადი DNS სერვერის კონფიგურაცია და DNS სერვერის წინა საძიებო ზონის შინაარსი (სურათი 3).

გთხოვთ გაითვალისწინოთ, რომ სისტემას არ აქვს ინფორმაცია გარე დომენის შესახებ (შეცდომის შეტყობინება დისტანციური დომენის სახელით გადაჭრისას - ეკრანები 1 და 2) და, შესაბამისად, კონტროლერების ძებნა გარე დომენებთან კომუნიკაციის დასამყარებლად ძალიან რთული იქნება . ამ სიტუაციაში, სანდო დომენთან კავშირის შექმნის მცდელობა გამოიწვევს შეცდომის შეტყობინებას (სურათი 4).

ახლა დავიწყოთ ამ სიტუაციის მოგვარება. მოდით დავაკონფიგურიროთ DNS სახელის გარჩევადობა გარე დომენებისთვის თითოეულ სერვერზე.

რა უნდა გაკეთდეს? ჩვენ უნდა მივაღწიოთ სახელის გარჩევადობას და მივიღოთ რესურსის ჩანაწერები გარე დომენისთვის. ეს ყველაფერი შესაძლებელია ლოკალური სერვერის დაყენებით, რათა შეძლოს DNS ზონაში წვდომა, რომელიც მხარს უჭერს გარე დომენს და შეუძლია საჭირო მოთხოვნების გადაჭრა. ნება მომეცით დაუყოვნებლივ აღვნიშნო, რომ ამ პრობლემის გადაჭრის მცდელობა TCP/IP პარამეტრებში ალტერნატივის სახით გარე DNS სერვერის IP მისამართის უბრალოდ დამატებით, განწირულია წარუმატებლობისთვის. მოდით გადავდგათ სწორი ნაბიჯები ამ სიტუაციისთვის.

თითოეულ დომენში ადგილობრივ DNS სერვერზე ჩვენ შევქმნით დამატებით ზონას, რომელიც შეიცავს გარე დომენის პირველადი DNS ზონის ასლს. შედეგად, ამ სერვერს შეუძლია დააბრუნოს პასუხები როგორც ლოკალური დომენის შესახებ შეკითხვებიდან, ასევე ჩანაწერებიდან დამატებითი ზონიდან გარე დომენის შესახებ.

მოვიყვან Server01 სერვერის დამატებითი ზონის შექმნის მაგალითს, მოქმედებების თანმიმდევრობა მსგავსია.

მოდით შევცვალოთ პირველადი DNS ზონის გადარიცხვის პარამეტრები დისტანციურ სერვერზე.

ჩართეთ (Server04), გახსენით DNS snap-in ფანჯარა (დაწყების მენიუს მეშვეობით, შემდეგ პროგრამები და ადმინისტრაციული ინსტრუმენტები).

დააწკაპუნეთ DNS ზონაზე მარჯვენა ღილაკით და აირჩიეთ თვისებები.

ზონის გადარიცხვების ჩანართზე აირჩიეთ ზონის გადარიცხვების ნებადართული ველი.

დაუშვით ზონის გადარიცხვები მხოლოდ გარკვეულ DNS სერვერებზე და აირჩიეთ ვარიანტი მხოლოდ სერვერებზე ამ სიიდან და შემდეგ მიუთითეთ პირველი დომენის DNS სერვერების IP მისამართები (ჩვენს შემთხვევაში ეს იქნება IP Server01 - 192.168.1.1 ეკრანი 5).

ამ შემთხვევაში, შესაძლებელია უფრო მარტივი პარამეტრი, რომელიც საშუალებას აძლევს გადარიცხვას ნებისმიერ სერვერზე, მაგრამ ეს იწვევს უსაფრთხოების შემცირებას. გარდა ამისა, მაგალითად, ბევრად უფრო ეფექტურია ამ IP მისამართის დაყენება მიმდინარე ზონის სახელების სერვერების სიაში.

• მოდით გავააქტიუროთ შეტყობინებები დამატებითი ზონებისთვის სხვა DNS სერვერებზე

დააწკაპუნეთ ღილაკზე Notify ზონის გადარიცხვების ჩანართზე.

დარწმუნდით, რომ არჩეულია ყუთი ავტომატურად შეტყობინებები.

აირჩიეთ მხოლოდ მითითებული სერვერები და დაამატეთ სერვერების IP მისამართები საჭირო შეტყობინებების სიაში.

ამისათვის შეტყობინებების სიაში შეიყვანეთ სერვერის IP მისამართი წინა აბზაციდან (192.168.1.1) IP მისამართის ველში და დააჭირეთ ღილაკს დამატება (ეკრანი 6).

• მოდით შევქმნათ დამატებითი DNS ზონა ლოკალურ სერვერზე.

ჩართეთ (Server01), გახსენით DNS ფანჯარა.

კონსოლის ხეზე დააწკაპუნეთ DNS სერვერზე მარჯვენა ღილაკით და აირჩიეთ New Zone New Zone Wizard-ის გასახსნელად, რაც გვიჩვენებს სურათზე 7.

აირჩიეთ ზონის ტიპი Additional, შეიყვანეთ მისი სახელი (D04. local) და მთავარი სერვერის IP მისამართი (IP 192.168.1.4) IP მისამართის ველში და დააჭირეთ ღილაკს Add.

ზონის შექმნის შემდეგ, პირველადი სერვერიდან მონაცემების მიღებას გარკვეული დრო დასჭირდება (ამ დროს პირველადი ზონები უნდა გამოიყურებოდეს როგორც ნახაზი 8).

• მოდით შევამოწმოთ ახალი DNS სერვერის კონფიგურაცია.

On (Server01) გახსენით ბრძანების ხაზის ფანჯარა, გაუშვით ბრძანება nslookup.exeდა შეიყვანეთ მოთხოვნა გარე დომენის DNS სახელისთვის D04. ლოკალური – და ამ დომენის კონტროლერების IP მისამართების შედეგი (ეკრანი 9).

ეს არის ის, რაც გვინდოდა - ახლა, ნდობის ურთიერთობის შექმნისას, მიმდინარე დომენი შეძლებს განსაზღვროს გარე დომენის საჭირო სერვისის მისამართები.

რა თქმა უნდა, ზემოაღნიშნული გამოთვლები შეიძლება განხორციელდეს ნაგულისხმევი პარამეტრების მქონე დომენებში. თუ თქვენს ქსელს აქვს სპეციალური DNS პარამეტრები, თქვენ უნდა შეცვალოთ ეს ელემენტები თქვენი მოთხოვნების შესაბამისად.

ახლა აუცილებელია გაიმეოროთ წინა ნაბიჯები სხვა კონტროლერზე სანდო დომენში (Server04), რათა ამ კონტროლერმა ასევე შეძლოს სახელის რეზოლუციების მიღება და სერვისების სია პირველი დომენისთვის (ეკრანი 10).

მას შემდეგ, რაც ორივე დომენის სახელი შეიძლება გადაწყდეს DNS სერვერის საშუალებით, ჩვენ შეგვიძლია გავაგრძელოთ სტანდარტული პროცედურა პირდაპირი გარე ცალმხრივი ნდობის ურთიერთობის შესაქმნელად.

• მოდით შევქმნათ კავშირი სანდო დომენის მხრიდან (d01. local)

კონტროლერზე (Server01) გახსენით "Active Directory - Domains and Trusts" snap-in (დაწყების მენიუს მეშვეობით, შემდეგ პროგრამები და ადმინისტრაციული ინსტრუმენტები).

კონსოლის ხეზე დააწკაპუნეთ მაუსის მარჯვენა ღილაკით დომენის კვანძზე, რომლის მართვაც გსურთ (D01.local) და აირჩიეთ თვისებები (სურათი 11).

აირჩიეთ Trusts ჩანართი.

აირჩიეთ დომენები, რომლებსაც ენდობა ამ დომენის და შემდეგ დააწკაპუნეთ დამატება.

შეიყვანეთ დომენის სრული DNS სახელი, ე.ი. D04. ლოკალური (Windows NT დომენისთვის, მხოლოდ სახელი - ეკრანი 12).

შეიყვანეთ თქვენი პაროლი (მაგალითად, 12 W#$რ) მოცემული ნდობის ურთიერთობისთვის. პაროლი უნდა იყოს მოქმედი ორივე დომენში: მთავარ და სანდო დომენში. თავად პაროლი გამოიყენება მხოლოდ ნდობის ურთიერთობის დამყარების ხანგრძლივობისთვის, პაროლი წაიშლება.

უფრო მეტიც, ვინაიდან ორი აუცილებელი კავშირიდან მხოლოდ ერთს ვამყარებთ, შეუძლებელია ნდობის ურთიერთობის დაუყოვნებლივ შემოწმება (ეკრანი 13). თქვენ უნდა შექმნათ მსგავსი, მაგრამ გამოხმაურება სანდო დომენიდან.

ამ რეჟიმში ყოფნისას შეგიძლიათ ნახოთ შექმნილი გამავალი კავშირის თვისებები (ეკრანი 14).

მოდით გავიმეოროთ ეს პროცედურა იმ დომენისთვის, რომელიც ქმნის პირდაპირი ნდობის ურთიერთობის მეორე ნაწილს.

მოდით შევქმნათ კავშირი სანდო დომენის მხრიდან (d04. local)

კონტროლერზე (Server04) გახსენით Active Directory Domains and Trusts snap-in.

კონსოლის ხეზე დააწკაპუნეთ მაუსის მარჯვენა ღილაკით დომენის კვანძზე, რომლის მართვაც გსურთ (D04.local) და აირჩიეთ Properties.

აირჩიეთ Trusts ჩანართი (ეკრანი 15).

აირჩიეთ დომენები, რომლებიც ენდობიან ამ დომენს და შემდეგ დააწკაპუნეთ დამატება.

შეიყვანეთ სრული DNS დომენის სახელი - D01. ადგილობრივი.

შეიყვანეთ ამ ტრასტის პაროლი, რომელიც ადრე მიუთითეთ (12 W#$ r - ეკრანი 16).

იმიტომ რომ თუ ჩვენ დავაკონფიგურირეთ საპირისპირო ურთიერთობა ჩვენი ნდობის ურთიერთობისთვის, უნდა გამოვცადოთ ახალი ურთიერთობა (ეკრანი 17).

ამისათვის თქვენ უნდა მიუთითოთ მომხმარებლის ანგარიში, რომელსაც აქვს უფლება შეცვალოს ნდობის ურთიერთობები საპირისპირო დომენიდან D01. ადგილობრივი, ეს არის დომენის ადმინისტრატორის ჩანაწერი d01 (ეკრანი 18).

თუ რწმუნებათა სიგელები სწორია, ურთიერთობა დაფიქსირდა და ნდობა დამყარდა (სურათი 19).

ახლა მოდით შევხედოთ როგორ შევამოწმოთ გარე ნდობის ურთიერთობები. მაგალითად, შევამოწმოთ ურთიერთობა სანდო დომენიდან (D01.local)

ნდობის ურთიერთობის შესამოწმებლად:

გახსენით Active Directory Domains and Trusts snap-in.

კონსოლის ხეზე დააწკაპუნეთ მაუსის მარჯვენა ღილაკით დომენზე, რომელიც მონაწილეობს ნდობაში, რომლის გადამოწმებაც გსურთ (D01.local) და შემდეგ დააწკაპუნეთ Properties-ზე.

აირჩიეთ Trusts ჩანართი.

Domains Trusted by This Domain სიაში აირჩიეთ ნდობის ურთიერთობა, რომლის შემოწმებაც გსურთ (D04. local) და დააწკაპუნეთ Edit (ეკრანი 20).

დააჭირეთ ღილაკს შემოწმება.

დიალოგურ ფანჯარაში, რომელიც გამოჩნდება, თქვენ უნდა შეიყვანოთ მომხმარებლის რწმუნებათა სიგელები, რომელსაც აქვს უფლება შეცვალოს ნდობის ურთიერთობა, ანუ გარე დომენის ადმინისტრატორის ჩანაწერი d04 და მისი პაროლი (ეკრანი 21).

ისევე, როგორც ადრე, თუ რეგისტრაციის მონაცემები სწორია და ურთიერთობა ფუნქციონირებს, გამოჩნდება დამადასტურებელი შეტყობინება (ეკრანი 22).

შეცდომის შემთხვევაში, შეამოწმეთ თქვენი ქსელის სტრუქტურა (კარიბჭეების, ფეიერვოლების, მარშრუტიზატორების პარამეტრები, დომენის ქვექსელების განცალკევება), DNS ინფრასტრუქტურის პარამეტრები, დომენის კონტროლერებს შორის ფიზიკური კავშირების ფუნქციონირება, ასევე შესაძლო შეცდომები Active Directory დომენებში (Event Logs ანალიზით. დომენის კონტროლერებზე).

მას შემდეგ, რაც სანდო დომენიდან ნდობა დამყარდა, ახლა უკვე შესაძლებელია რესურსების ნახვა სანდო დომენში ავტორიზებული მომხმარებლების (ყველა ჯგუფის სპეციალური ჯგუფის წევრები) ავთენტიფიკაციის გამოყენებით.

მოდით დავრწმუნდეთ, რომ ჩვენ შეგვიძლია გამოვიყენოთ უსაფრთხოების ძირითადი ობიექტები სანდო დომენიდან სანდო დომენიდან (ანგარიშები D04. ლოკალური დომენიდან). ამისათვის ჩვენ შევქმნით საზიარო რესურსს დომენში D01 და ვუზრუნველყოფთ მასზე წვდომას გლობალურ ჯგუფში „დომენის მომხმარებლები“ ​​სანდო დომენიდან D04.

შექმენით D01 დომენში. ადგილობრივი გაზიარებული საქაღალდე დომენის კონტროლერ Server01-ზე.

ამრიგად, სანდო დომენიდან D04 ჩვენ მივიღეთ წვდომა ნდობის დომენის D01 რესურსზე, რაც გვჭირდებოდა.

საჭიროების შემთხვევაში, შესაძლებელია ნდობის ურთიერთობების კონფიგურაცია საპირისპირო მიმართულებით, დომენიდან D04-დან D01-მდე. ანუ დომენი D04 გახდება სანდო დომენი. ადგილობრივი და სანდო დომენი უკვე იქნება D01. ადგილობრივი.