Care este parola pentru calculator în AD și de ce este nevoie?
«Relația de încredere între această stație de lucru și nu a reușit domeniul principal» - probabil mulți administratori au întâmpinat această eroare, dar nu toată lumea poate explica ce înseamnă. Astăzi voi vorbi despre ce o parolă de calculator în AD, de ce este nevoie, și modul în care să corecteze această greșeală nefericită.
Nu este un secret faptul că într-un mediu de domeniu, toate calculatoarele de domeniu într-un fel interacționează cu controlere de domeniu (în continuare - CD). Dacă luăm în considerare procesul de interacțiune mai în detaliu, putem spune că fiecare computer pentru a comunica cu CD-ul stabilește un canal securizat de comunicare (canal securizat, în continuare - Schannel). Simplificând, acest canal este o sesiune între CD-ul și calculatorul. Că această sesiune a fost în condiții de siguranță, acesta este criptat cu o cheie cunoscută doar pentru CD-ul, și calculatorul în sine. Ca aceasta acționează ca o cheie parola contului de calculator în domeniu (nu parola de domeniu).
Când încercați să comunice cu CD-ul, CD-ul verifică mai întâi dacă se potrivește cu parola, care prevede calculator pentru Schannel de instalare, astfel încât să fie stocată în baza de date Active Directory. Dacă parola coincide - canal este stabilită și comunicarea în continuare are loc între calculator și CD-ul (de exemplu, de conectare). În cazul în care, în cazul în care parolele nu se potrivesc, există greșeala noastră nefericită: «Relația de încredere între această stație de lucru și domeniul principal eșuat».
În mod implicit, din motive de securitate uchetki parola de calculator se schimbă automat la fiecare 30 de zile. inițiază schimbarea parolei de calculator, cu condiția să existe o legătură cu CD-ul, ca și pentru instalarea Schannel în continuare cu succes, parola trebuie schimbată, nu numai pe mașina locală, dar, de asemenea, pe controler. În cazul în care conexiunea cu CD-ul nu este prezent, atunci schimbarea parolei este amânată până la apariția acesteia. Rețineți că acest comportament începe cu Windows Vista, în versiunile anterioare ale parolei pot fi înlocuite fără a ține seama CD-ul, ceea ce a dus la eroarea de mai sus. Pentru a evita această situație, a fost un mecanism (care este păstrat în versiunile curente de Windows), care a menținut parola veche. Astfel, atunci când se încearcă să se autentifice, în cazul în care Schannel nu poate fi stabilită cu noua parolă, aparatul încearcă întotdeauna să folosească pentru a instala sohranny parola veche, și, uneori, ajută la evitarea problemelor.
Din cele de mai sus rezultă, de asemenea, o concluzie importantă: dacă faci o copie de rezervă de Active Directory, apoi încercați să-l facă cel puțin 30 de zile. Având în vedere că aparatul își amintește ultima parolă - o perioadă maximă garantată în care toate mașinile vor putea să intre în domeniul (vechi sau noua parolă) după recuperare. Cu fiecare zi, numărul de astfel de vehicule vor fi reduse, până la punctul că, la 61 de zile, domeniul nu va fi capabil de a intra în orice mașină.
Ce faci dacă toate la fel am avut o astfel de greșeală? Așa cum este acum clar - trebuie să schimbați parolele computerului uchetki la nivel local și pe controlerul de domeniu pentru a se potrivi. Puteți face acest lucru câteva moduri:
1. PowerShell. Cel mai simplu mod.
Primul cmdlet vă va arăta Schannel starea în acest moment (adevărat - totul este în regulă, fals - toate rele), al doilea cmdlet-ului pentru a reseta parola. Vă rugăm să rețineți că trebuie să introduceți acreditările de domeniu, fără ele nimic nu ar veni pentru această operațiune. Serverul este opțională, dar dacă nu specificați un CD iese.
2. Linie de comandă
La fel ca și în primul caz. Testare și schimbare. Testul va arăta «NERR_Success» în caz de succes, dacă vedeți cuvântul «EROARE» - ceva nu merge bine.