Shërbimet kriptografike CryptoPro përdoren në shumë programe të krijuara nga zhvilluesit rusë. Qëllimi i tyre është të nënshkruajnë dokumente të ndryshme elektronike, të organizojnë PKI, të manipulojnë certifikatat. Në këtë artikull, ne do të shikojmë gabimin që shfaqet si rezultat i punës me një certifikatë - "Ndodhi një gabim sistemi gjatë verifikimit të marrëdhënieve të besimit".
Arsyeja e gabimit në CryptoPro
Shfaqja e një mesazhi gabimi të sistemit shoqërohet shpesh me versione kontradiktore të Windows dhe CryptoPro. Është e zakonshme që përdoruesit të njihen shpejt me kërkesat e sistemit të softuerit, vetitë dhe aftësitë e tij. Kjo është arsyeja pse ju duhet të studioni më në detaje udhëzimet dhe forumet vetëm pasi të ketë ndodhur një dështim.
Shpesh vetë softueri instalohet në sistem me gabime. Ka shumë arsye për këtë:
- Probleme në regjistrin e Windows;
- Hard disku është plot me mbeturina që parandalojnë funksionimin e duhur të programeve të tjera;
- Prania e viruseve në sistem dhe kështu me radhë.
Zgjidhja e gabimit me certifikatën
Ndodhi një gabim sistemi në produktin e softuerit CryptoPro "Ndodhi një gabim sistemi gjatë kontrollit të marrëdhënieve të besimit." Le të përpiqemi ta zgjidhim këtë problem. Në disa raste, programi mund të shfaqë një mesazh në ekran nëse sistemi nuk ka përditësimet e duhura. Ju gjithashtu mund të merrni një gabim nëse përdorni versionin 3.6 CryptoPro në sistemin operativ Windows 8.1. Për këtë OS, duhet të përdoret versioni 4 dhe më lart. Por për të instaluar një të ri, duhet të çinstaloni versionin e vjetër.
Të gjitha të dhënat e rëndësishme nga versioni i mëparshëm duhet të kopjohen në media të lëvizshme ose në një dosje të veçantë të Windows.
Pastaj duhet të vizitoni faqen zyrtare të internetit dhe të shkarkoni versionin më të fundit të paketës së shërbimeve, t'i shkarkoni dhe instaloni në kompjuterin tuaj. Shkoni në adresën - https://www.cryptopro.ru/downloads. Kur instaloni përkohësisht, çaktivizoni murin e zjarrit të Windows dhe programet e tjera ose antiviruset që mund të bllokojnë punën e CryptoPro.
Ju mund të instaloni një produkt të ri duke përdorur llogarinë tuaj personale në sit. Për ta bërë këtë, duhet të identifikoheni dhe të identifikoheni.
- Pastaj shkoni në LC;
- Hapni skedën në krye "Menaxhimi i Shërbimit";
- Shkoni te seksioni "Stacioni i punës";
- Më pas gjeni artikullin "Plugins dhe shtesa" dhe klikoni në një nga versionet e CryptoPro.
Instalimi i një certifikate personale
Më pas, duhet të instaloni certifikatën në programin CryptoPro për të rregulluar dështimin e certifikatës - verifikimi i marrëdhënies së besimit dështoi. Drejtoni softuerin si administrator. Mënyra më e mirë për ta bërë këtë është nga menyja Start.
Metoda të tjera për zgjidhjen e problemeve të një gabimi të verifikimit të besimit
Nëse po përdorni versionin 4 të CryptoPro dhe gabimi ende shfaqet, provoni thjesht të riinstaloni programin. Në shumë raste, këto veprime ndihmuan përdoruesit. Është gjithashtu e mundur që hard disku juaj të jetë plot me skedarë të panevojshëm dhe ato duhet të fshihen. Shërbimet standarde të Windows do të na ndihmojnë me këtë.
- Hapni Explorer (WIN + E) dhe zgjidhni një nga disqet lokale RMB;
- Klikoni në "Properties";
- Nën imazhin e hapësirës së diskut të përdorur, gjeni dhe klikoni butonin "Pastro";
- Pastaj do të shfaqet një dritare ku duhet të zgjidhni skedarët që do të fshihen;
- Mund të zgjidhni të gjithë artikujt dhe të klikoni OK.
Ky udhëzim duhet të ndiqet për të gjitha disqet lokale në kompjuterin tuaj. Më pas, ekzekutoni udhëzimin e mëposhtëm për të kontrolluar skedarët e Windows
- Hapni menunë Start;
- Futni "Command Prompt" në shiritin e kërkimit;
- Zgjidhni këtë rresht me RMB dhe zgjidhni artikullin "Në emër të administratorit" me miun;
- Fusni komandën në këtë dritare për të ekzekutuar skanimin "sfc /scannow";
- Shtypni tastin ENTER.
Prisni që ky proces të përfundojë. Nëse programi gjen probleme në sistemin e skedarëve, do ta shihni këtë në mesazhin përfundimtar. Mbyllni të gjitha dritaret dhe provoni të nisni programin CryptoPro për t'u siguruar që gabimi "Ndodhi një gabim i certifikatës gjatë verifikimit të marrëdhënieve të besimit" është zgjidhur tashmë. Për raste të veçanta, ekziston një numër i mbështetjes teknike të softuerit - 8 800 555 02 75.
Qëllimi i këtij artikulli është të ofrojë udhëzime hap pas hapi për krijimin e një marrëdhëniet e jashtme të besimit midis dy fushave Windows 2000. Duket se ka gjithçka që është e nevojshme për të krijuar një marrëdhënie besimi, ka të drejta, mjetet për krijimin e besimit janë të njohura, por në praktikë, udhëzimet e thjeshta nuk funksionojnë gjithmonë. Le të përpiqemi ta kuptojmë së bashku.
Duke folur me terma të thatë, ne e kujtojmë atë marrëdhënie besimi i referohet një marrëdhënieje logjike ndërmjet domeneve që siguron vërtetim kalimi, në të cilin domeni i besimit pranon vërtetimin e kryer në domen i besuar. Në këtë rast, llogaritë e përdoruesve dhe grupet globale të përcaktuara në domenin e besuar mund të fitojnë të drejta dhe leje mbi burimet në domenin e besuar edhe nëse ato llogari nuk ekzistojnë në bazën e të dhënave referuese të domenit të besuar.
Kur është e nevojshme të ndërtohet besimi? Përgjigja e parë është se përdoruesit në një ndërmarrje (domain në një pyll) duhet të përdorin burime nga një ndërmarrje tjetër (një domen tjetër në një pyll tjetër) ose anasjelltas, atëherë kërkohen marrëdhënie besimi kur migrojnë objektet e sigurisë nga një domen në tjetrin (për shembull , kur përdorni mjetin ADMT v2 nga Microsoft) dhe në shumë mjedise të tjera pune.
Një besim i jashtëm mund të krijohet për të formuar një besim jo-kalimtar të njëanshëm ose të dyanshëm (d.m.th., një marrëdhënie në një mjedis me shumë domene të kufizuar në vetëm dy domene) me domene jashtë pyllit. Trustet e jashtme përdoren ndonjëherë kur përdoruesit duhet të aksesojnë burimet e vendosura në një domen të Windows të vendosur brenda një pylli tjetër, siç tregohet në figurë.
Kur krijohet një besim midis një domeni në një pyll të caktuar dhe një domeni jashtë atij pylli, parimet e sigurisë (ky mund të jetë një përdorues, grup ose kompjuter) nga domeni i jashtëm fitojnë akses në burimet në domenin e brendshëm. krijon një "objekt kryesor të sigurisë së jashtme" në domenin e brendshëm për të përfaqësuar çdo kryesor sigurie nga domeni i jashtëm i besuar. Këta drejtues të huaj sigurie mund të bëhen anëtarë të grupeve lokale të domenit në domenin e brendshëm të besueshëm. Grupet lokale të domenit (zakonisht përdoren për të caktuar të drejtat e aksesit në burime) mund të përfshijnë parime sigurie nga domenet jashtë pyllit.
Pasi të kemi përcaktuar konceptet, le të vazhdojmë me krijimin e marrëdhënieve të jashtme të besimit njëkahëshe të domenit D01 me domenin D04.
Konfigurimi i sistemeve:
Zakonisht, të dy domenet vendosen në rrjete të ndryshme dhe komunikimi ndërmjet tyre bëhet përmes portave. Ndonjëherë, për këto qëllime, një kartë e dytë e rrjetit u shtohet kontrolluesve të domenit, duke krijuar një lidhje me rrjetet e jashtme nëpërmjet tyre. Në këtë shembull, kam përdorur rastin më të thjeshtë ku të dy domenet janë në të njëjtin nënrrjet. Në të njëjtën kohë, është e mundur të krijohen marrëdhënie besimi thjesht duke specifikuar emrat e domeneve NETBIOS dhe këto llogaritje janë të tepërta, megjithatë, me kompleksitetin e strukturës së rrjetit (nënrrjetet e ndryshme të domeneve, komunikimi përmes portave dhe rrjeteve private virtuale), është nuk është aq e lehtë për të krijuar besim. Pastaj duhet të zbatoni cilësime shtesë në rrjetin më poshtë.
Le të hartojmë një plan veprimi për të krijuar një marrëdhënie besimi:
- kontrollimi i lidhjeve midis dy serverëve
- duke kontrolluar cilësimet e çdo domeni
- konfigurimi i rezolucionit të emrit për domenet e jashtme
- duke krijuar një marrëdhënie nga domeni i besimit
- duke krijuar një marrëdhënie nga një domen i besuar
- verifikimi i marrëdhënieve të vendosura njëkahëshe
- krijimi i një besimi të dyanshëm (nëse është e nevojshme)
Gjithçka nuk është aq e vështirë sa mund të duket. Ato kryesore në këtë listë janë tre pikat e para, zbatimi i saktë i të cilave ndikon drejtpërdrejt në rezultatin përfundimtar. Gjithashtu vërej se të gjitha veprimet kryhen në emër të llogarive të administratorëve të domeneve përkatëse, të cilët kanë të gjitha të drejtat e nevojshme për këtë.
Le të fillojmë.
Gjëja e parë që duhet të bëni është të bëni kopje rezervë të gjendjes së sistemit të gjitha kontrollorët e domenit në të dy domenet (dhe drejtoritë e sistemit gjithashtu).
Dhe vetëm atëherë filloni të bëni ndryshime. Pra, sigurohuni që komunikimi midis dy serverëve të jetë i mundur:
- Nga serveri Server01, sigurohuni që ai të jetë i disponueshëm me serverin Server04 (192.168.1.4)
Është e rëndësishme të lidheni me adresë IP për të shmangur gabimet në zgjidhjen e emrit.
Në vijën e komandës, shkruani: ping 192.168.1.4
Duhet të marrë përgjigje nga adresa e largët. Nëse përgjigja është jo, analizoni infrastrukturën e rrjetit tuaj dhe rregulloni problemet.
- Nga serveri Server04, sigurohuni që ai të jetë i disponueshëm me serverin Server01 (192.168.1.1)
Në vijën e komandës, shkruani: ping 192.168.1.1
Duhet të marrë përgjigje nga adresa e largët e Server01.
Nëse gjithçka është në rregull, shkoni në hapin tjetër, duke kontrolluar cilësimet e domenit.
Nga të gjitha cilësimet, ne do të kontrollojmë vetëm konfigurimin e zonës kryesore DNS që mbështet çdo domen të Active Directory. Meqenëse janë të dhënat nga kjo zonë që përmbajnë të dhënat e burimeve të domenit dhe ju lejojnë të përcaktoni vendndodhjen dhe adresat e shërbimeve përkatëse të domenit.
Ekzekutoni komanda në çdo server ipconfig.exe /të gjitha dhe nslookup.exe(ekrani 1 dhe 2).
Ipconfig shfaq konfigurimin e protokollit TCP/IP - adresat IP, adresat e portës dhe serverit DNS për kontrolluesin. Nëse infrastruktura DNS është konfiguruar saktë, nslookup liston adresat IP të kontrolluesve të domenit kur kërkon emrin DNS të domenit lokal. Nëse nuk mund të merrni adresat e kontrolluesit për domenin lokal, kontrolloni konfigurimin e serverit primar DNS dhe përmbajtjen e zonës së kërkimit përpara të serverit DNS (Figura 3).
Ju lutemi vini re se sistemi nuk ka asnjë informacion për domenin e jashtëm (një mesazh gabimi kur përpiqeni të zgjidhni me emrin e domenit të largët - ekrani 1 dhe 2), dhe për këtë arsye gjetja e kontrolluesve për të vendosur komunikim me domenet e jashtme do të jetë jashtëzakonisht e vështirë . Në këtë skenar, përpjekja për t'u lidhur me një domen të besuar do të rezultojë në një mesazh gabimi (Figura 4).
Tani le të kalojmë në zgjidhjen e kësaj situate. Le të konfigurojmë rezolucionin e emrit DNS për domenet e jashtme në secilin server.
Çfarë duhet bërë? Ju duhet të arrini rezolucionin e emrit dhe të merrni të dhëna burimesh për domenin e jashtëm. E gjithë kjo është e mundur nëse vendosni që serveri lokal të jetë në gjendje të hyjë në një zonë DNS që mbështet domenin e jashtëm dhe është në gjendje të zgjidhë pyetjet e kërkuara. Menjëherë do të vërej se një përpjekje për të zgjidhur këtë problem - thjesht duke shtuar adresën IP të një serveri të jashtëm DNS si një alternativë në cilësimet TCP / IP, është e dënuar të dështojë. Le të marrim hapat e duhur për këtë situatë.
Në serverin lokal DNS në çdo domen, ne do të krijojmë një zonë shtesë që përmban një kopje të zonës kryesore DNS të domenit të jashtëm. Si rezultat, ky server mund të kthejë përgjigje si për pyetjet në lidhje me domenin lokal ashtu edhe për regjistrimet nga zona shtesë për domenin e jashtëm.
Unë do të jap një shembull të krijimit të një zone shtesë për serverin Server01; në Server04, sekuenca e veprimeve është e ngjashme.
Le të ndryshojmë cilësimet e transferimit për zonën kryesore DNS në serverin e largët.
Në (Server04), hapni dritaren snap-in DNS (përmes menysë Start, më pas Programet dhe Mjetet Administrative).
Klikoni me të djathtën në zonën DNS dhe zgjidhni Properties.
Në skedën "Transferimet e zonës", zgjidhni kutinë "Lejo transferimet e zonës".
Lejoni transferimet e zonave vetëm në disa serverë DNS dhe zgjidhni opsionin vetëm për serverët nga kjo listë dhe më pas specifikoni adresat IP të serverëve DNS të domenit të parë (në rastin tonë do të jetë ekrani IP Server01 - 192.168.1.1 5).
Kjo mund të konfigurohet më lehtë për të lejuar transmetime në çdo server, por kjo rezulton në më pak siguri. Përveç kësaj, për shembull, është shumë më efikase të vendosni këtë adresë IP në listën e serverëve të emrave për zonën aktuale.
- Aktivizo njoftimet për zona shtesë në serverë të tjerë DNS
Klikoni butonin Njoftoni në skedën Transferet e Zonës.
Sigurohuni që të jetë zgjedhur kutia e kontrollit "Njoftimi automatik".
Zgjidhni opsionin "Vetëm serverët e specifikuar" dhe shtoni adresat IP të serverit në listën e kërkuar të njoftimeve.
Për ta bërë këtë, në listën e njoftimeve, futni adresën IP të serverit nga paragrafi i mëparshëm (192.168.1.1) në fushën e adresës IP dhe klikoni butonin Shto (ekrani 6).
- Le të krijojmë një zonë DNS shtesë në serverin lokal.
Në (Server01), hapni dritaren DNS.
Në pemën e konsolës, kliko me të djathtën në serverin DNS dhe zgjidh Create Zone për të hapur Create Zone Wizard (Figura 7).
Zgjidhni llojin e zonës shtesë, vendosni emrin e saj (D04.local) dhe adresën IP të serverit kryesor (IP 192.168.1.4) në fushën e adresës IP dhe klikoni butonin Shto.
Pasi të përfundojë krijimi i zonës, duhet pak kohë që të dhënat të merren nga serveri primar (pas së cilës zonat primare duhet të duken si Figura 8).
- Le të kontrollojmë konfigurimin e ri të serverit DNS.
Në (Server01), hapni një dritare të vijës së komandës, ekzekutoni komandën nslookup.exe dhe shkruani një pyetje për emrin DNS të domenit të jashtëm D04. lokale - dhe rezultati i adresës IP të kontrolluesve të domenit në këtë domen (Figura 9).
Ja çfarë po përpiqeshim të arrinim - tani, kur krijoni një marrëdhënie besimi, domeni aktual do të jetë në gjendje të përcaktojë adresat e nevojshme të shërbimit të domenit të jashtëm.
Sigurisht, llogaritjet e dhëna janë të mundshme për t'u zbatuar në domene me cilësime të paracaktuara. Nëse rrjeti juaj ka të konfiguruara cilësime speciale DNS, duhet t'i ndryshoni këto artikuj sipas kërkesave tuaja.
Tani duhet të përsërisni hapat e mëparshëm në një kontrollues tjetër në domenin e besuar (Server04) në mënyrë që ky kontrollues të mund të marrë gjithashtu rezolucione emri dhe të marrë një listë shërbimesh për domenin e parë (ekrani 10).
Pasi emrat e të dy domeneve të mund të zgjidhen përmes serverëve DNS, ne mund të vazhdojmë me procedurën standarde për krijimin e një marrëdhënieje të drejtpërdrejtë të jashtme besimi njëkahëshe.
- Le të krijojmë një lidhje nga ana e domenit të besuar (d01.local)
Në kontrolluesin (Server01), hapni snap-in e Active Directory Domains and Trusts (përmes menysë Start, më pas Programet dhe Mjetet Administrative).
Në pemën e konsolës, kliko me të djathtën në nyjen e domenit që dëshironi të menaxhoni (D01.local) dhe zgjidhni Properties (Figura 11).
Zgjidhni skedën Trust.
Zgjidhni Domenet që i beson ky domen dhe më pas klikoni Shto.
Futni emrin plotësisht të kualifikuar DNS të domenit, d.m.th. D04. lokale (për një domen të Windows NT, vetëm emri është ekrani 12).
Futni një fjalëkalim (për shembull, 12 W#$r) për këtë marrëdhënie besimi. Fjalëkalimi duhet të jetë i vlefshëm në të dy domenet: domenin e besuar dhe domenin e besuar. Vetë fjalëkalimi përdoret vetëm për kohëzgjatjen e krijimit të marrëdhënieve të besimit, pasi ato të vendosen, fjalëkalimi do të fshihet.
Në të njëjtën kohë, meqenëse vendosim vetëm njërën nga dy marrëdhëniet e nevojshme, është e pamundur të kontrollohet menjëherë marrëdhënia e besimit (ekrani 13). Duhet të krijohet një reagim i ngjashëm, por i besueshëm për domenin.
Duke qenë në këtë modalitet, mund të shikoni vetitë e lidhjes dalëse të krijuar (ekrani 14).
Le ta përsërisim këtë procedurë për domenin që përbën pjesën tjetër të marrëdhënies së besimit të drejtpërdrejtë.
Le të krijojmë një lidhje nga domeni i besuar (d04.local)
Në kontrolluesin (Server04), hapni snap-in e Active Directory Domains and Trusts.
Në pemën e konsolës, kliko me të djathtën në nyjen e domenit që dëshironi të menaxhoni (D04.local) dhe zgjidhni "Properties".
Zgjidhni skedën Trusts (ekrani 15).
Zgjidhni Domenet që i besojnë këtij domeni dhe më pas klikoni Shto.
Futni emrin plotësisht të kualifikuar DNS të domenit - D01. lokal.
Futni fjalëkalimin për këtë besim që specifikuat më parë (12 W#$ r - Ekrani 16).
Sepse Meqenëse kemi krijuar një marrëdhënie të kundërt për marrëdhënien tonë të besimit, duhet të testojmë marrëdhënien e re (Ekrani 17).
Për ta bërë këtë, duhet të specifikoni një llogari përdoruesi që ka të drejtë të ndryshojë marrëdhëniet e besimit nga domeni i kundërt D01. lokale, ato janë hyrja e Domain Admin d01 (ekrani 18).
Nëse kredencialet janë të sakta, marrëdhënia kontrollohet dhe besimi krijohet (ekrani 19).
Tani le të shohim se si të kryejmë verifikimin e jashtëm të besimit. Për shembull, le të kontrollojmë marrëdhënien nga domeni i besueshëm (D01.local)
Për të testuar një marrëdhënie besimi:
Hapni snap-in Domains dhe Trusts të Active Directory.
Në pemën e konsolës, kliko me të djathtën në domenin që merr pjesë në besimin që dëshiron të verifikosh (D01.local) dhe zgjidh "Properties".
Zgjidhni skedën Trust.
Në listën Domains të besuar nga ky domen, zgjidhni besimin që dëshironi të kontrolloni (D04.local) dhe klikoni Edit (ekrani 20).
Klikoni butonin Kontrollo.
Në kutinë e dialogut që shfaqet, duhet të futni kredencialet e përdoruesit që ka të drejtë të ndryshojë marrëdhëniet e besimit, d.m.th. hyrjen e Administratorit të domenit të jashtëm d04 dhe fjalëkalimin e tij (ekrani 21).
Si më parë, nëse kredencialet janë të sakta dhe marrëdhënia është e shëndetshme, shfaqet një mesazh konfirmimi (ekrani 22).
Në rast gabimesh, kontrolloni strukturën e rrjetit tuaj (cilësimet e portave, muret e zjarrit, ruterat që ndajnë nënrrjetat e domenit), cilësimet e infrastrukturës DNS, shëndetin e lidhjeve fizike midis kontrolluesve të domenit dhe gabimet e mundshme brenda domeneve të Active Directory (duke analizuar Regjistrimet e ngjarjeve në kontrollorët e domenit ).
Pas vendosjes së një marrëdhënie besimi nga një domen i besuar, tani është e mundur të shikohen burimet në domenin e besuar duke përdorur përdorues të vërtetuar të vërtetuar (ata anëtarë të grupit special të grupit ALL).
Le të sigurohemi që mund të përdorim objektet kryesore të sigurisë nga domeni i besuar (llogaritë nga domeni D04.local) në domenin e besuar. Për ta bërë këtë, ne do të krijojmë një burim të përbashkët në domenin D01 dhe do të ofrojmë akses në të për grupin global të përdoruesve të domenit nga domeni i besuar D04.
Krijo në domenin D01. ndarja e skedarit lokal në kontrolluesin e domenit Server01.
Kështu, nga domeni i besuar D04, ne morëm akses në një burim në domenin e D01 kryesore, që është ajo që na duhej.
Nëse është e nevojshme, është e mundur të krijohen marrëdhënie besimi në drejtim të kundërt, nga domeni D04 në D01. Kjo do të thotë, domeni D04 do të bëhet domeni i besueshëm. lokale, dhe domeni i besuar tashmë do të jetë D01. lokal.
Çdo administrator i sistemit duhet të përballet herë pas here me gabimin "Dështoi të krijojë një marrëdhënie besimi midis këtij stacioni pune dhe domenit kryesor". Por jo të gjithë i kuptojnë shkaqet dhe mekanizmat e proceseve që çojnë në shfaqjen e tij. Sepse pa kuptuar kuptimin e ngjarjeve në vazhdim, administrimi kuptimplotë është i pamundur, i cili zëvendësohet nga ekzekutimi i pamenduar i udhëzimeve.
Llogaritë kompjuterike, si llogaritë e përdoruesve, janë anëtarë të sigurisë së një domeni. Secilit kryesor sigurie i caktohet automatikisht një identifikues sigurie (SID) në nivelin në të cilin aksesohen burimet e domenit.
Përpara se t'i jepni një llogarie akses në një domen, duhet të verifikoni vërtetësinë e tij. Çdo drejtues sigurie duhet të ketë llogarinë dhe fjalëkalimin e vet, dhe llogaria e kompjuterit nuk bën përjashtim. Kur një kompjuter bashkohet me Active Directory, krijohet një llogari kompjuterike e tipit "Computer" për të dhe vendoset një fjalëkalim. Besimi në këtë nivel sigurohet nga fakti se ky operacion kryhet nga një administrator domeni ose një përdorues tjetër që ka autoritet të qartë për ta bërë këtë.
Më pas, sa herë që kompjuteri futet në domen, ai krijon një kanal të sigurt me kontrolluesin e domenit dhe i tregon atij kredencialet e tij. Kështu, krijohet një marrëdhënie besimi midis kompjuterit dhe domenit, dhe ndërveprimi i mëtejshëm ndodh në përputhje me politikat e sigurisë dhe të drejtat e aksesit të përcaktuara nga administratori.
Fjalëkalimi i llogarisë së kompjuterit është i vlefshëm për 30 ditë dhe ndryshohet automatikisht më pas. Është e rëndësishme të kuptohet se ndryshimi i fjalëkalimit është iniciuar nga kompjuteri. Kjo është e ngjashme me procesin e ndryshimit të fjalëkalimit të një përdoruesi. Nëse kompjuteri zbulon se fjalëkalimi aktual ka skaduar, ai do ta zëvendësojë atë herën tjetër që të futet në domen. Prandaj, edhe nëse nuk e keni ndezur kompjuterin për disa muaj, marrëdhënia e besimit në domen do të ruhet dhe fjalëkalimi do të ndryshohet në hyrjen e parë pas një pushimi të gjatë.
Marrëdhënia e besimit prishet nëse një kompjuter përpiqet të vërtetojë në një domen me një fjalëkalim të pavlefshëm. Si mund të ndodhë kjo? Mënyra më e lehtë është të rivendosni gjendjen e kompjuterit, për shembull, me një mjet standard të rivendosjes së sistemit. I njëjti efekt mund të arrihet kur rivendosni nga një imazh, fotografi (për makinat virtuale), etj.
Një tjetër mundësi është të ndryshoni llogarinë nga një kompjuter tjetër me të njëjtin emër. Situata është mjaft e rrallë, por ndonjëherë ndodh, për shembull, kur kompjuteri i një punonjësi është ndryshuar duke ruajtur emrin, duke hequr të vjetrën nga domeni dhe më pas e rifutet në domen, duke harruar ta riemërojë. Në këtë rast, kompjuteri i vjetër, kur të rifutet në domen, do të ndryshojë fjalëkalimin e llogarisë së kompjuterit dhe kompjuteri i ri nuk do të jetë më në gjendje të identifikohet, pasi nuk do të jetë në gjendje të krijojë një marrëdhënie besimi.
Çfarë veprimi duhet të ndërmerret kur përballeni me këtë gabim? Para së gjithash, përcaktoni shkakun e shkeljes së besimit. Nëse ishte një rikthim, atëherë nga kush, kur dhe si u bë, nëse fjalëkalimi u ndryshua nga një kompjuter tjetër, atëherë përsëri duhet të zbulojmë se kur dhe në çfarë rrethanash ndodhi kjo.
Një shembull i thjeshtë: një kompjuter i vjetër u riemërua dhe iu dha një departamenti tjetër, pas së cilës u rrëzua dhe u kthye automatikisht në pikën e fundit të kontrollit. Pas kësaj, ky PC do të përpiqet të vërtetojë në domenin me emrin e vjetër dhe natyrisht do të marrë një gabim në krijimin e marrëdhënieve të besimit. Veprimi i duhur në këtë rast do të ishte riemërtimi i kompjuterit siç duhet të quhet, krijimi i një pikë kontrolli të ri dhe fshirja e të vjetrave.
Dhe vetëm pasi të siguroheni që shkelja e besimit është shkaktuar nga veprime objektivisht të nevojshme dhe është për këtë kompjuter që mund të filloni të rivendosni besimin. Kjo mund të bëhet në disa mënyra.
Përdoruesit dhe Kompjuterët e Directory Active
Kjo është mënyra më e lehtë, por jo më e shpejtë dhe më e përshtatshme. Hap snap-in në çdo kontrollues domeni Përdoruesit dhe Kompjuterët e Directory Active, gjeni llogarinë e kërkuar të kompjuterit dhe, duke klikuar me të djathtën, zgjidhni Riinstaloni llogarinë.
Pastaj hyjmë në kompjuterin që ka humbur besimin administratori lokal dhe hiqni makinën nga domeni.
Pastaj e fusim përsëri, mund të kaloni rindezjen midis këtyre dy veprimeve. Pas rihyrjes në domen, ne rindizemi dhe hyjmë në llogarinë e domenit. Fjalëkalimi i kompjuterit do të ndryshohet kur kompjuteri të ribashkohet në domen.
Disavantazhi i kësaj metode është se makina duhet të hiqet nga domeni, si dhe nevoja për dy (një) rindezje.
Shërbimi Netdom
Ky mjet është i përfshirë me Windows Server që nga botimi 2008, ai mund të instalohet në PC-të e përdoruesve nga paketa RSAT (Remote Server Administration Tools). Për ta përdorur atë, hyni në sistemin e synuar administratori lokal dhe ekzekutoni komandën:
Rivendosja e rrjetitpwd /Server:DomainController /PërdoruesiD:Administrator /FjalëkalimiD:Fjalëkalimi
Le të shohim opsionet e komandës:
- server- emri i çdo kontrolluesi të domenit
- Përdoruesi D- Emri i llogarisë së administratorit të domenit
- FjalëkalimiD- fjalëkalimi i administratorit të domenit
Pas ekzekutimit të suksesshëm të komandës, nuk kërkohet një rindezje, thjesht dilni nga llogaria lokale dhe hyni në llogarinë e domenit.
PowerShell 3.0 cmdlet
Ndryshe nga programi Netdom, PowerShell 3.0 është përfshirë që nga Windows 8 / Server 2012, për sistemet e vjetra mund të instalohet manualisht, Windows 7, Server 2008 dhe Server 2008 R2 mbështeten. Net Framework 4.0 ose më i lartë kërkohet si një varësi.
Në të njëjtën mënyrë, hyni në sistemin për të cilin dëshironi të rivendosni besimin si administrator lokal, filloni tastierën PowerShell dhe ekzekutoni komandën:
Rivendos-Fjalëkalimi i kompjuterit të makinës -Kontrolluesi i domenit të serverit - domeni kredencial\Admin
- server- emri i çdo kontrolluesi të domenit
- Kredencialet- emri i domenit / llogaria e administratorit të domenit
Kur të ekzekutohet kjo komandë, do të shfaqet një dritare autorizimi në të cilën do t'ju duhet të vendosni fjalëkalimin për llogarinë e administratorit të domenit që keni specifikuar.
cmdlet nuk shfaq asnjë mesazh për sukses, kështu që thjesht ndryshoni llogarinë tuaj, nuk kërkohet rindezje.
Siç mund ta shihni, rivendosja e besimit në një domen është mjaft e thjeshtë, gjëja kryesore është të përcaktohet saktë shkaku i këtij problemi, pasi në raste të ndryshme do të kërkohen metoda të ndryshme. Prandaj, nuk lodhemi duke përsëritur: nëse shfaqet ndonjë problem, së pari duhet të identifikoni shkakun dhe vetëm më pas të merrni masa për ta korrigjuar atë, në vend që të përsërisni pa mendje udhëzimin e parë të gjetur në rrjet.