Vi gjenoppretter tilliten til domenet. Det oppstod en systemfeil under kontroll av tillitsforhold - sertifikatløsning på feil med sertifikat
Datamaskiner 

Vi gjenoppretter tilliten til domenet. Det oppstod en systemfeil under kontroll av tillitsforhold - sertifikatløsning på feil med sertifikat

Hver systemadministrator støter på feilen "Et tillitsforhold mellom denne arbeidsstasjonen og det primære domenet kunne ikke etableres" fra tid til annen. Men ikke alle forstår årsakene og mekanismene til prosessene som fører til dens forekomst. For uten å forstå betydningen av aktuelle hendelser, er meningsfull administrasjon umulig, som erstattes av tankeløs utførelse av instruksjoner.

Datakontoer, som brukerkontoer, er domenesikkerhetsprinsipper. Hver sikkerhetsprinsipal blir automatisk tildelt en sikkerhetsidentifikator (SID) på hvilket nivå den kan få tilgang til domeneressurser.

Før du gir en konto tilgang til et domene, må du bekrefte autentisiteten. Hver sikkerhetsdeltaker må ha sin egen konto og passord, og en datamaskinkonto er intet unntak. Når du kobler en datamaskin til Active Directory, opprettes en datamaskinkonto for den og et passord angis. Tillit på dette nivået sikres ved at denne operasjonen utføres av en domeneadministrator eller annen bruker som har eksplisitt autoritet til å gjøre det.

Deretter, hver gang datamaskinen logger på domenet, etablerer den en sikker kanal med domenekontrolleren og gir den sin legitimasjon. Dermed etableres et tillitsforhold mellom datamaskinen og domenet og videre interaksjon skjer i samsvar med sikkerhetspolicyene og tilgangsrettighetene satt av administratoren.

Passordet til datamaskinkontoen er gyldig i 30 dager og endres automatisk deretter. Det er viktig å forstå at passordendringen initieres av datamaskinen. Dette ligner på prosessen med å endre et brukerpassord. Etter å ha oppdaget at gjeldende passord er utløpt, vil datamaskinen erstatte det neste gang du logger på domenet. Selv om du ikke har slått på datamaskinen på flere måneder, vil derfor tillitsforholdet i domenet forbli, og passordet endres første gang du logger på etter en lang pause.

Tillit brytes når en datamaskin forsøker å autentisere til et domene med et ugyldig passord. Hvordan kan dette skje? Den enkleste måten er å rulle tilbake tilstanden til datamaskinen, for eksempel ved å bruke et standard systemgjenopprettingsverktøy. Den samme effekten kan oppnås når du gjenoppretter fra et bilde, et øyeblikksbilde (for virtuelle maskiner), etc.

Et annet alternativ er å endre kontoen med en annen datamaskin med samme navn. Situasjonen er ganske sjelden, men noen ganger skjer det, for eksempel når en ansatts PC ble endret mens navnet ble lagret, den gamle ble fjernet fra domenet, og deretter ble de gjeninnført til domenet, og glemte å gi det nytt navn. I dette tilfellet, når den gamle PC-en legges inn på domenet på nytt, vil den endre passordet til datamaskinens konto og den nye PC-en vil ikke lenger kunne logge på, siden den ikke vil kunne etablere et tillitsforhold.

Hvilke handlinger bør du ta hvis du støter på denne feilen? Først av alt, fastslå årsaken til brudd på tillit. Hvis det var en tilbakeføring, så av hvem, når og hvordan det ble utført hvis passordet ble endret av en annen datamaskin, må vi igjen finne ut når og under hvilke omstendigheter dette skjedde.

Et enkelt eksempel: en gammel datamaskin ble omdøpt og gitt til en annen avdeling, hvoretter den krasjet og automatisk rullet tilbake til siste sjekkpunkt. Deretter vil denne PC-en prøve å autentisere i domenet under det gamle navnet og vil naturlig nok motta en feilmelding om å etablere et tillitsforhold. Den riktige handlingen i dette tilfellet vil være å gi nytt navn til datamaskinen som den skal kalles, opprette et nytt sjekkpunkt og slette de gamle.

Og først etter å ha forsikret deg om at bruddet på tillit var forårsaket av objektivt nødvendige handlinger, og at det er for denne datamaskinen du kan begynne å gjenopprette tilliten. Det er flere måter å gjøre dette på.

Active Directory-brukere og datamaskiner

Dette er den enkleste, men ikke den raskeste og mest praktiske måten. Åpne snapin-modulen på en hvilken som helst domenekontroller Active Directory-brukere og datamaskiner, finn den nødvendige datamaskinkontoen og velg ved å høyreklikke Tilbakestill konto.

Da logger vi inn på datamaskinen som har mistet tillitsforholdet under lokal administrator og fjern maskinen fra domenet.

Så legger vi det inn igjen, du kan hoppe over omstart mellom disse to handlingene. Etter å ha angitt domenet på nytt, start på nytt og logg på under en domenekonto. Datamaskinens passord vil bli endret når datamaskinen kobles til domenet igjen.

Ulempen med denne metoden er at maskinen må tas ut av domenet, samt behovet for to (én) omstart.

Netdom-verktøyet

Dette verktøyet har vært inkludert i Windows Server siden 2008-utgaven, det kan installeres på bruker-PCer som en del av RSAT-pakken (Remote Server Administration Tools). For å bruke det, logg inn på målsystemet lokal administrator og kjør kommandoen:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

La oss se på kommandoalternativene:

  • Server- navn på enhver domenekontroller
  • BrukerD- domeneadministratorkontonavn
  • PassordD- domeneadministratorpassord

Når kommandoen er fullført, er ingen omstart nødvendig, bare logg ut av din lokale konto og logg på domenekontoen din.

PowerShell 3.0 cmdlet

I motsetning til Netdom-verktøyet, er PowerShell 3.0 inkludert i systemet fra Windows 8 / Server 2012, for eldre systemer kan det installeres manuelt, Windows 7, Server 2008 og Server 2008 R2 støttes. Net Framework 4.0 eller nyere kreves som en avhengighet.

På samme måte logger du på systemet du vil gjenopprette tilliten for som lokal administrator, start PowerShell-konsollen og kjør kommandoen:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server- navn på enhver domenekontroller
  • Legitimasjon- domenenavn / domeneadministratorkonto

Når du utfører denne kommandoen, vises et autorisasjonsvindu der du må angi passordet for domeneadministratorkontoen du spesifiserte.

Cmdleten viser ingen melding når den er fullført, så bare bytt konto, ingen omstart er nødvendig.

Som du kan se, er det ganske enkelt å gjenopprette tillitsforhold i et domene, det viktigste er å bestemme årsaken til dette problemet, siden forskjellige tilfeller vil kreve forskjellige metoder. Derfor blir vi aldri lei av å gjenta: Når et problem oppstår, må du først identifisere årsaken, og først deretter iverksette tiltak for å korrigere den, i stedet for tankeløst å gjenta den første instruksjonen som ble funnet på nettverket.

I denne artikkelen skal vi snakke om hva et seriøst forhold mellom en mann og en kvinne er bygget på.

Seriøse forhold mellom menn og kvinner bygger selvfølgelig på tillit.

Uten tillit = et seriøst forhold er a priori, i prinsippet umulig!

Tillit = dette er grunnlaget som relasjoner bygges på. Hus = uten fundament (riktig fundament) = umulig å bygge, det vil falle fra hverandre, det samme gjelder i forhold til en mann og en kvinne.

Hvis du ikke stoler på partneren din = før eller siden = vil alt falle fra hverandre (ødelegge), fordi forhold med frykt, angst, bekymringer, stress, smerte, krangler osv. ikke vil vare lenge.

Hva er tillit og dens fravær?

Tillit kjenner ingen tvil der tvilen begynner, dør tilliten.

Dette er hva tillit til en partner er (fravær av tvil) og dette er hva mangelen på tillit er (tilstedeværelsen av tvil). Tillit i et forhold må være fullstendig og gjensidig. Hvis dette ikke er tilfelle, har ikke en av partnerne tillit = det er nagende tvil osv. - det blir ikke noe seriøst forhold (uten å løse dette problemet), et slikt forhold vil ikke ha noen fremtid, det vil være dømt til å feil.

Så hva er løsningen i denne situasjonen? Etter min mening er det 2 måter å løse problemet på:

  • 1. Bygg tillit (hvis den har gått tapt) med partneren din. (vanskelig, men mulig, og hvis det er verdt det (det er fornuftig, flere detaljer i artikkelen:) - det må virkelig gjøres, begge partnere, relasjoner er arbeid!).
  • For det andre, skille deg og ikke lide. (enkel, enkel, vet kommentarer, ingenting å si her engang).

Spør deg selv, stoler du på partneren din? Hvis ikke, kan du stole på ham(hei) igjen?

Hvis svaret ditt er "nei", så ville det mest korrekte å gjøre å avslutte dette forholdet og ikke komplisere hverandres liv ved å kaste bort uvurderlig tid, energi og andre ressurser på alt dette, og gjøre hverandre mer ulykkelige.

Poenget med et forhold er å gjøre hverandre sterkere. Jeg snakket mer om dette i artikkelen: Hvis dette ikke er tilfelle, så er forholdet meningsløst.

Før eller senere = uten fullstendig tillit = slutten kommer uansett, par skilles, så hvorfor kaste bort tid, hovedressursen i livet til enhver person? Hvorfor lide, gjøre hverandre mer ulykkelige, utsette dette øyeblikket? Jeg hadde en jente som jeg mistet tilliten til etter spøken hennes.

Jeg vet fortsatt ikke om det var en spøk eller ikke (kjærlighet er blendende), men det ble prentet inn i hjernen min = veldig, veldig sterkt, til det punktet at det ville være veldig vanskelig for meg å begynne å stole på hei igjen.

Men. Men i mitt tilfelle ville det være mulig å prøve å finne ut alt og fikse det (men ikke akkurat, nei).

Bare du selv vet svaret på spørsmålet - om du kan stole på ham igjen eller ikke, for hvert tilfelle er individuelt og vi er alle i prinsippet individuelle individer. Forstå?

Hvis det definitivt er "nei", så er det bare én vei ut, bare gå videre uten å torturere deg selv og partneren din.

Men hvis du fortsatt er i tvil, og svaret ditt, kanskje, kanskje osv. = så, for å fornye tilliten = vil det daglige ønsket arbeid fra begge partnere i denne retningen være nødvendig.

Relasjoner er konstant arbeid mellom to partnere. Dette er arbeid. Jobb. Og jobb igjen. Daglig. Og ikke bare når det gjelder tillit, men også mange andre komponenter som vi ikke snakker om nå...

Hvis dette arbeidet ikke eksisterer, så vil det dessverre ikke være harmoniske, integrerte, korrekte forhold.

For å prøve å gjenvinne partnerens tillit, må du først og fremst sette deg ned og diskutere alt med partneren din så detaljert som mulig, alle dine tvil, tanker, frykt, klager osv. overfor partneren din på en oppriktig og ærlig måte. måte. Fullstendig oppriktighet, frihet og ærlighet er viktig. Uten dette vil ingenting fungere.

P.S. Tillit er nært knyttet til ærlighet, oppriktighet og integritet.

Og det er ekstremt viktig å gjøre dette, og ikke unngå det, med tanke på at alt går over/blir glemt. Nei! Jo lenger alt trekker ut, jo lenger holdes alt inne = jo mer "avføring" kommer ut.

All tvil, frykt, usikkerhet osv. må fortelles til partneren din. Fortell ham (hei) hva du ikke liker i forholdet ditt, i henne (ham), fortell ham hvor du føler ubehag, misnøye og så videre. Dere må diskutere og uttrykke absolutt alt til hverandre til enhver tid, gjennom hele forholdet deres - og ikke på "ferier" (når ting allerede har kokt over).

I vårt tilfelle, når det gjelder tillit, må du åpne deg fullstendig og legge ut alt. Følelser og alle dine følelser = uten å være sjenert, uten frykt, uten å holde tilbake ABSOLUT NOE!

All frykt, handlinger, handlinger, påstander, problemer, ønsker osv. osv. alt du ønsker = må diskuteres. Alt fra start til slutt på én gang. Og etter alt dette må vi lage en konkret plan for felles handling sammen og begynne å jobbe med hverandre, sammen, begynne å utvikle tillit, hvordan? => bli kvitt alle disse tvilene, fryktene, problemene, påstandene og andre komponentene sammen.

Lær å stole på hverandre, lær å innrømme dine feil, lær å ta skyld (ansvar), etter min forståelse betyr dette at du må være klar til å rette opp det som skjedde på grunn av din feil, lære å tilgi/be om tilgivelse, omvende deg, lær å søke kompromisser , lær å snakke (kommunisere) med hverandre (hvor, hvordan, med hvem, når, ringer/sms, fullstendig åpenhet, full tilgang), dere må være helt oppriktige og ærlige med hverandre. Alt "dette" er ditt = felles handlinger.

Hvorfor er de viktige? For når arbeid (handlinger, handlinger) foregår på en organisert måte SAMMEN (med hverandre) = er rapporten (den samme forbindelsen) også etablert (forbindelsen etableres gjennom felles handlinger) = som betyr at tillit også etableres. Rapport (kommunikasjon) = tillit. Husk dette som faren vår.

Og selvfølgelig, ikke glem uttrykket "tålmodighet og arbeid = grind." Hvis dere virkelig begge vil være sammen med hverandre = hvis dere vil = et sterkt, lykkelig, harmonisk, helhetlig forhold = så jobb på det = med hverandre, sammen, hver eneste dag og dere vil bli belønnet etter dine fortjenester. Det var alt for meg.

Men det beste er å forhindre tap av tillit i prinsippet, da slipper du å løse problemet. Men alle gjør feil, ifølge ryktene til og med Robots =) temaet var veldig nært meg i dag...

Gratulerer, administrator.

Hensikten med denne artikkelen er å gi trinnvise instruksjoner for å lage eksterne tillitsforhold mellom to domener Windows 2000. Det ser ut til at alt som er nødvendig for å etablere et tillitsforhold er der, det er rettigheter, verktøyene for å skape tillit er kjent, men i praksis fungerer ikke alltid enkle instruksjoner. La oss prøve å finne ut av det sammen.

Hvis vi snakker i tørre ordelag, husker vi det tillitsfulle relasjoner er et logisk forhold mellom domener som gir ende-til-ende autentisering hvor tillitsfull domene godtar autentisering utført i pålitelig domene. I dette tilfellet kan brukerkontoer og globale grupper definert i det klarerte domenet få rettigheter og tillatelser til ressurser i trustordomenet selv når disse kontoene ikke finnes i trustordomenets referansedatabase.

Når er det nødvendig å skape tillit? Det første svaret er at brukere av en virksomhet (et domene i en skog) trenger å bruke ressurser fra en annen virksomhet (et annet domene i en annen skog) eller omvendt, da kreves tillitsrelasjoner ved migrering av sikkerhetsobjekter fra ett domene til et annet ( for eksempel ved bruk av ADMT v2-verktøyet fra Microsoft) og i mange andre livsarbeidsforhold.

En ekstern tillit kan opprettes for å danne en enveis eller toveis intransitiv tillit (det vil si et forhold i et multidomenemiljø begrenset til kun to domener) med domener utenfor skogen. Eksterne truster brukes noen ganger når brukere trenger tilgang til ressurser som ligger i et Windows-domene som ligger inne i en annen skog, som vist i figuren.

Når det etableres tillit mellom et domene i en bestemt skog og et domene utenfor den skogen, kan sikkerhetsprinsipper (som kan være en bruker, gruppe eller datamaskin) i det ytre domenet få tilgang til ressurser i det indre domenet. oppretter et "eksternt sikkerhetshovedobjekt" i det interne domenet for å representere hver sikkerhetsprinsipp fra det eksterne klarerte domenet. Disse eksterne sikkerhetsprinsippene kan bli medlemmer av lokale domenegrupper i det interne tillitsdomenet. Lokale domenegrupper (vanligvis brukt til å tildele tillatelser til ressurser) kan inkludere sikkerhetsprinsipper fra domener utenfor skogen.

Etter å ha definert konseptene, la oss fortsette med å etablere eksterne enveis tillitsrelasjoner fra domene D01 til domene D04.

Systemkonfigurasjon:

Vanligvis er begge domenene distribuert på forskjellige nettverk og kommunikasjon mellom dem utføres gjennom gatewayer. Noen ganger, for disse formålene, legges et andre nettverkskort til domenekontrollere, som etablerer en tilkobling til eksterne nettverk gjennom dem. I dette eksemplet brukte jeg det enkleste tilfellet der begge domenene er plassert på samme subnett. I dette tilfellet er det mulig å etablere tillitsrelasjoner ganske enkelt ved å spesifisere NETBIOS-domenenavn, og de spesifiserte beregningene er unødvendige, men ettersom nettverksstrukturen blir mer kompleks (forskjellige domeneundernett, kommunikasjon gjennom gatewayer og virtuelle private nettverk), kan tillit ikke være sette opp så enkelt. Deretter bør du implementere de ekstra nettverksinnstillingene gitt nedenfor.

La oss utarbeide en handlingsplan for å skape tillitsfulle relasjoner:

  • sjekke tilkoblinger mellom to servere
  • kontrollere innstillingene for hvert domene
  • sette opp navneoppløsning for eksterne domener
  • opprette en tilkobling fra det tillitsfulle domenet
  • opprette en tilkobling fra et klarert domene
  • verifisering av etablerte enveisrelasjoner
  • skape toveis tillit (om nødvendig)

Alt er ikke så komplisert som det kan virke. Nøkkelpunktene i denne listen er de tre første punktene, hvis korrekte implementering påvirker det endelige resultatet direkte. Jeg legger også merke til at alle handlinger utføres på vegne av administratorkontoene til de tilsvarende domenene, som har alle nødvendige rettigheter for dette.


La oss komme i gang.

Det første du må gjøre er å sikkerhetskopiere systemtilstanden din alle domenekontrollere i begge domener (og systemkataloger også).

Og først da begynne å gjøre endringer. Så sørg for at kommunikasjon kan etableres mellom de to serverne:

  • Fra Server01-serveren vil vi sørge for at den er tilgjengelig fra Server04-serveren (192.168.1.4)
    Det er viktig å etablere tilkoblinger etter IP-adresse for å unngå feil knyttet til navneoppløsning.
    På kommandolinjen skriver vi inn: ping 192.168.1.4
    Skal motta svar fra den eksterne adressen. Hvis svaret er nei, analyser nettverksinfrastrukturen og løs problemene.
  • Fra Server04-serveren vil vi sørge for at den er tilgjengelig fra Server01-serveren (192.168.1.1)
    På kommandolinjen skriver vi inn: ping 192.168.1.1
    Skal motta svar fra den eksterne serveradressen Server01.

Hvis alt er i orden, gå videre til neste trinn, sjekk domeneinnstillingene.

Av alle innstillingene vil vi kun sjekke konfigurasjonen av den primære DNS-sonen som støtter hvert Active Directory-domene. Fordi det er dataene fra denne sonen som inneholder domeneressursposter og lar deg bestemme plasseringen og adressene til de tilsvarende domenetjenestene.

La oss utføre kommandoer på hver server ipconfig.exe /alle Og nsoppslag.exe(skjermbilde 1 og 2).

Ipconfig viser TCP/IP-protokollkonfigurasjonen – IP-adresser, gateway-adresser og DNS-servere for kontrolleren. Hvis DNS-infrastrukturen er riktig konfigurert, viser nslookup en liste over IP-adresser for domenekontrolleren når du spør etter DNS-navnet til det lokale domenet. Hvis det ikke er mulig å få kontrolleradresser for det lokale domenet, kontroller konfigurasjonen av den primære DNS-serveren og innholdet i DNS-serverens videre oppslagssone (Figur 3).

Vær oppmerksom på at systemet ikke har noen informasjon om det eksterne domenet (feilmelding når du prøver å løse med navnet på et eksternt domene - skjermbilde 1 og 2), og derfor vil det være ekstremt vanskelig å søke etter kontrollere for å etablere kommunikasjon med eksterne domener . I denne situasjonen vil forsøk på å opprette en tilkobling til et klarert domene resultere i en feilmelding (figur 4).


La oss nå begynne å løse denne situasjonen. La oss konfigurere DNS-navneoppløsning for eksterne domener på hver server.

Hva må gjøres? Vi må oppnå navneløsning og skaffe ressursposter for det eksterne domenet. Alt dette er mulig ved å sette opp den lokale serveren for å kunne få tilgang til en DNS-sone som støtter det eksterne domenet og er i stand til å løse de nødvendige spørsmålene. Jeg vil med en gang merke at et forsøk på å løse dette problemet ved å legge til IP-adressen til en ekstern DNS-server som et alternativ i TCP/IP-innstillingene er dømt til å mislykkes. La oss ta de riktige skrittene for denne situasjonen.

På den lokale DNS-serveren i hvert domene vil vi opprette en ekstra sone som inneholder en kopi av den primære DNS-sonen til det eksterne domenet. Som et resultat kan denne serveren returnere svar fra både forespørsler om det lokale domenet og poster fra tilleggssonen om et eksternt domene.

Jeg vil gi et eksempel på å lage en ekstra sone for Server01-serveren på Server04, sekvensen av handlinger er lik.

La oss endre parametrene for de primære DNS-soneoverføringene på den eksterne serveren.

På (Server04), åpne DNS-snap-in-vinduet (via Start-menyen, deretter Programmer og administrasjonsverktøy).

Høyreklikk på DNS-sonen og velg Egenskaper.

I kategorien Soneoverføringer merker du av for Tillat soneoverføringer.

Tillat soneoverføringer kun til visse DNS-servere og velg alternativet kun til servere fra denne listen, og spesifiser deretter IP-adressene til DNS-serverne til det første domenet (i vårt tilfelle vil dette være IP Server01 - 192.168.1.1 skjerm 5).

I dette tilfellet er en enklere innstilling mulig, som tillater overføringer til enhver server, men dette fører til en reduksjon i sikkerheten. I tillegg er det for eksempel mye mer effektivt å sette denne IP-adressen i listen over navnetjenere for gjeldende sone.

  • La oss aktivere varsler for flere soner på andre DNS-servere

Klikk på Varsle-knappen på Zone Transfers-fanen.

Sørg for at det er merket av for Automatisk varsling.

Velg alternativet Bare spesifiserte servere og legg til servernes IP-adresser til den nødvendige varslingslisten.

For å gjøre dette, i varslingslisten, skriv inn serverens IP-adresse fra forrige avsnitt (192.168.1.1) i IP-adressefeltet og klikk på Legg til-knappen (skjerm 6).

  • La oss lage en ekstra DNS-sone på den lokale serveren.

På (Server01), åpne DNS-vinduet.

Høyreklikk på DNS-serveren i konsolltreet og velg New Zone for å åpne New Zone Wizard (Figur 7).

Velg sonetypen Ekstra, skriv inn navnet (D04. lokal) og IP-adressen til hovedserveren (IP 192.168.1.4) i IP-adressefeltet og klikk på Legg til-knappen.

Når sonen er opprettet, vil det ta litt tid å motta data fra primærserveren (da bør primærsonene se ut som figur 8).

  • La oss sjekke den nye DNS-serverkonfigurasjonen.

På (Server01) åpne et ledetekstvindu, kjør kommandoen nsoppslag.exe og skriv inn en spørring for DNS-navnet til det eksterne domenet D04. lokal – og resultatet av IP-adressene til denne domenekontrolleren (skjerm 9).

Dette er hva vi ønsket - nå, når du oppretter et tillitsforhold, vil det gjeldende domenet kunne bestemme de nødvendige tjenesteadressene til det eksterne domenet.

Selvfølgelig kan beregningene ovenfor implementeres i domener med standardinnstillinger. Hvis nettverket ditt har spesielle DNS-innstillinger, bør du endre disse elementene for å passe dine behov.

Nå er det nødvendig å gjenta de foregående trinnene på en annen kontroller i et klarert domene (Server04), slik at denne kontrolleren også kan få navneforklaringer og få en liste over tjenester for det første domenet (skjerm 10).


Når begge domenenavnene kan løses gjennom DNS-serveren, kan vi fortsette med standardprosedyren for å opprette et direkte eksternt enveis tillitsforhold.

  • La oss opprette en forbindelse fra den tillitsfulle domenesiden (d01. lokal)

På kontrolleren (Server01), åpne snapin-modulen "Active Directory - Domains and Trusts" (via Start-menyen, deretter Programmer og Administrative verktøy).

Høyreklikk på domenenoden du vil administrere (D01.local) i konsolltreet og velg Egenskaper (Figur 11).

Velg kategorien Trusts.

Velg Domener dette domenet stoler på, og klikk deretter på Legg til.

Skriv inn hele DNS-navnet til domenet, dvs. D04. lokal (for et Windows NT-domene, bare navnet - skjermbilde 12).

Skriv inn passordet ditt (f.eks. 12 W#$r) for et gitt tillitsforhold. Passordet må være gyldig i begge domenene: hoveddomenet og det klarerte domenet. Selve passordet brukes bare under etableringen av et tillitsforhold etter at det er etablert, vil passordet bli slettet.

Siden vi kun etablerer en av de to nødvendige forbindelsene, er det dessuten umulig å umiddelbart sjekke tillitsforholdet (skjermbilde 13). Du bør lage en lignende, men tilbakemelding fra det pålitelige domenet.

Mens du er i denne modusen, kan du se egenskapene til den opprettede utgående tilkoblingen (skjermbilde 14).

La oss gjenta denne prosedyren for domenet som utgjør den andre delen av det direkte tillitsforholdet.


La oss opprette en tilkobling fra siden av det klarerte domenet (d04. lokal)

Åpne snapin-modulen Active Directory Domains and Trusts på kontrolleren (Server04).

Høyreklikk på domenenoden du vil administrere (D04.local) i konsolltreet og velg Egenskaper.

Velg Trusts-fanen (skjermbilde 15).

Velg Domener som stoler på dette domenet, og klikk deretter på Legg til.

Skriv inn hele DNS-domenenavnet - D01. lokale.

Skriv inn passordet for denne tilliten som du spesifiserte tidligere (12 W#$ r - skjermbilde 16).

Fordi Hvis vi har konfigurert det motsatte forholdet for tillitsforholdet vårt, må vi teste det nye forholdet (skjerm 17).

For å gjøre dette må du spesifisere en brukerkonto som har rett til å endre tillitsforhold fra det motsatte domenet D01. lokal, disse er domeneadministratorposten d01 (skjerm 18).

Hvis legitimasjonen er korrekt, pinges forholdet og tilliten etableres (Figur 19).

La oss nå se på hvordan du sjekker eksterne tillitsforhold. La oss for eksempel sjekke forholdet fra det tillitsfulle domenet (D01.local)

For å teste tillitsforholdet:

Åpne Active Directory Domains and Trusts.

I konsolltreet høyreklikker du domenet som deltar i tilliten du vil bekrefte (D01.local), og klikker deretter Egenskaper.

Velg kategorien Trusts.

I listen Domains Trusted by This Domain velger du tillitsforholdet du vil sjekke (D04. local) og klikker på Rediger (skjermbilde 20).

Klikk på Sjekk-knappen.


I dialogboksen som kommer opp, må du skrive inn legitimasjonen til brukeren som har rett til å endre tillitsforholdet, det vil si External Domain Administrator record d04 og hans passord (skjermbilde 21).

Akkurat som før, hvis registreringsdataene er korrekte og forholdet er operativt, vises en bekreftelsesmelding (skjerm 22).

I tilfelle feil, sjekk nettverksstrukturen (innstillinger for gatewayer, brannmurer, rutere, separering av domeneundernett), DNS-infrastrukturinnstillinger, funksjonaliteten til fysiske tilkoblinger mellom domenekontrollere, samt mulige feil innenfor Active Directory-domener (ved å analysere hendelseslogger) på domenekontrollere).

Når tillit er etablert fra et klarert domene, er det nå mulig å se ressurser i det tillitsfulle domenet ved å bruke autentiseringen til autentiserte brukere (de medlemmene av spesialgruppen ALL-gruppen).

La oss sørge for at vi kan bruke hovedsikkerhetsobjekter fra det klarerte domenet i trustordomenet (kontoer fra det lokale D04-domenet). For å gjøre dette vil vi opprette en delt ressurs i domene D01 og gi tilgang til den til den globale gruppen "Domenebrukere" fra det klarerte domenet D04.

Opprett D01 i domene. lokal delt mappe på domenekontrolleren Server01.

Fra det klarerte domenet D04 fikk vi dermed tilgang til en ressurs i trustordomenet D01, som er det vi trengte.

Om nødvendig er det mulig å konfigurere tillitsforhold i motsatt retning, fra domene D04 til D01. Det vil si at domenet D04 blir det tillitsfulle domenet. lokalt, og det klarerte domenet vil allerede være D01. lokale.

visninger


Kan hende du også liker

Tjenester for å søke etter rabatter i App Store - hvem er best?

Tjenester for å søke etter rabatter i App Store - hvem er best?

0
Velge et kult lydkort

Velge et kult lydkort

0
Hvordan koble til eller fra ubegrenset Internett på Tele2

Hvordan koble til eller fra ubegrenset Internett på Tele2

0