Поиск:     Расширенный поиск

При работе с УЦ может возникнуть ситуация, при которой потеряно доверие между УЦ и контроллером домена

ID статьи: 76
Последнее обновление: 06 Oct, 2015
Ревизия: 1
Добавить комментарий
Просмотры: 6317
Комментарии: 0

Версия ПО: JMS  всех версий, MS CA

Токены: Любые

Проблема: 

Нет связи между УЦ MSCA и контроллером домена. Обычно сопровождается ошибкой вида:

"База данных диспетчера учётных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией".
 

Причина:

              Как и учётные записи пользователей, учётные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых "доверительных отношений" между рабочей станцией и доменом.  Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

             Домен хранит текущий пароль компьютера, а также предыдущий. Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например, компьютер был восстановлен из резервной копии, на нём была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удаётся установить доверительные отношения с доменом.

сообщение о потери доверия между компьютером и доменом

Решение:

 

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Открываем оснастку "Active Directory Users and Computers" и находим в ней нужный компьютер. Кликаем на нём правой клавишей мыши и в контекстном меню выбираем пункт "Reset Account". Затем заходим на компьютер под локальной учётной записью и заново вводим его в домен.

сброс учетной записи компьютера

Примечание. Кое-где встречаются рекомендации по удалению компьютераиз домена и его повторного заведения. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учётная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учётные данные пользователя и жмём OK. Пароль сброшен, и теперь можно зайти на компьютер под доменной учётной записью. Перезагрузка при этом не требуется.

Сброс пароля компьютера с помощью Netdom

Что интересно, в рекомендациях  по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Ещё с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Или сбросить учётную запись компьютера:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

где WKS1 — рабочая станция, которой сбрасываем учётку.

сброс безопасного подключения с помощью Netdom

Способ достаточно быстрый и действенный, однако есть одно "но": по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удалённого администрирования Remote Server Administration Tools (RSAT).

Способ третий

Ещё одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query проверить безопасное соединение с доменом;

Nltest /sc_reset:Contoso.comсбросить учётную запись компьютера в домене;

Nltest /sc_change_pwd:Contoso.comизменить пароль компьютера.

сброс учетной записи компьютера с помощью nltest

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учётных данных, Nltest работает в контексте запустившего её пользователя. Соответственно, зайдя на компьютер под локальной учётной записью и попытавшись выполнить команду, можем получить ошибку доступа.

Способ четвёртый

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищённого канала — True или False.

Для сброса учётной записи компьютера и защищённого канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

сброс безопасного соединения с помощью PowerShell

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

сброс пароля компьютера в домене с помощью PowerShell

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился  в PowerShell 3.0. Без этого параметра командлет, запущенный из-под локального пользователя, выдает ошибку доступа. Получается, что данный метод можно использовать только на  Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.

Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к её решению с другой стороны.

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом.

Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учётной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options. Нас интересуют следующие параметры:

Disable machine account password change — отключает на локальной машине запрос на изменение пароля;

Maximum machine account password age — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

Refuse machine account password changes — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

настройка политик изменения пароля компьютера в домене

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters есть два параметра :

DisablePasswordChange — если равен 1, то запрос на обновление пароля компьютера отключен, 0 — включен.

MaximumPasswordAge — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней !!!

настройки смены пароля компьютера через реестр

И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, только у контролеров домена, параметр:

RefusePasswordChange — если равен 1, то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

изменение параметров смены пароля компьютера в реестре

Статья взята с ресурса windowsnotes.ru. Исходный вариант данной статьи находится по ссылке в нижней части.

Эта статья была:  
Теги
пароль MS CA УЦ Доверие MSCA

Внешние ссылки
http://windowsnotes.ru/activedirectory/vosstanavlivaem-doverie-v-domene/

Также опубликовано в
folder JaCarta Management System -> JMS 1.х
folder JaCarta Management System -> JMS 2.x

Пред.   След.
KB0074 Не работает отзыв ключевого носителя и объектов на нём через...     KB0077 Выпуск ключевого носителя через JMS в связке с УЦ КриптоПро 1.5...