Došlo je do sistemske greške 221 prilikom izvođenja kontrola. Postavljanje odnosa povjerenja u Windowsu. Rješavanje greške certifikata

Svaki administrator sistema s vremena na vrijeme naiđe na grešku „Odnos povjerenja između ove radne stanice i primarne domene nije mogao biti uspostavljen“. Ali ne razumiju svi uzroke i mehanizme procesa koji dovode do njegovog nastanka. Jer bez razumijevanja značenja aktuelnih događaja, nemoguća je smislena administracija, koju zamjenjuje bezumno izvršavanje instrukcija.

Računalni nalozi, kao i korisnički nalozi, su principi bezbednosti domena. Svakom principu sigurnosti se automatski dodjeljuje sigurnosni identifikator (SID) na kojem nivou može pristupiti resursima domene.

Prije nego što odobrite pristup računu domeni, morate provjeriti njenu autentičnost. Svaki učesnik u bezbednosti mora imati svoj nalog i lozinku, a kompjuterski nalog nije izuzetak. Kada priključite računar na Active Directory, za njega se kreira račun računara i postavlja lozinka. Povjerenje na ovom nivou osigurano je činjenicom da ovu operaciju izvodi administrator domene ili drugi korisnik koji za to ima izričita ovlaštenja.

Nakon toga, svaki put kada se računar prijavljuje na domen, uspostavlja siguran kanal sa kontrolerom domena i daje mu svoje akreditive. Tako se uspostavlja odnos poverenja između računara i domena i dalja interakcija se odvija u skladu sa bezbednosnim politikama i pravima pristupa koje postavlja administrator.

Lozinka računa računala vrijedi 30 dana i nakon toga se automatski mijenja. Važno je razumjeti da promjenu lozinke pokreće računar. Ovo je slično procesu promjene korisničke lozinke. Nakon što otkrije da je trenutna lozinka istekla, računar će je zamijeniti sljedeći put kada se prijavite na domenu. Stoga, čak i ako niste uključili računar nekoliko mjeseci, odnos povjerenja u domeni će ostati, a lozinka će se promijeniti kada se prvi put prijavite nakon duže pauze.

Povjerenje je narušeno kada računar pokuša da se autentifikuje na domenu sa nevažećom lozinkom. Kako se ovo može dogoditi? Najlakši način je da vratite stanje računara, na primjer, pomoću standardnog uslužnog programa za vraćanje sistema. Isti efekat se može postići prilikom vraćanja sa slike, snimka (za virtuelne mašine) itd.

Druga opcija je da promenite nalog sa drugim računarom sa istim imenom. Situacija je prilično rijetka, ali ponekad se dešava, na primjer, kada je zaposleniku promijenjen PC dok je ime sačuvano, stari je uklonjen iz domene, a zatim su ponovo uvedeni u domenu, zaboravljajući da ga preimenuju. U tom slučaju, kada se stari PC ponovo unese u domenu, promijenit će se lozinka računa računala i novi PC se više neće moći prijaviti, jer neće moći uspostaviti odnos povjerenja.

Koje radnje trebate poduzeti ako naiđete na ovu grešku? Prije svega utvrdite razlog narušavanja povjerenja. Ako je to bio rollback, onda od koga, kada i kako je to izvedeno; ako je lozinku promijenio drugi računar, onda opet moramo saznati kada i pod kojim okolnostima se to dogodilo.

Jednostavan primjer: stari kompjuter je preimenovan i dat drugom odjelu, nakon čega se srušio i automatski se vratio na posljednju kontrolnu tačku. Nakon toga će ovaj PC pokušati da se autentifikuje u domenu pod starim imenom i prirodno će dobiti grešku u uspostavljanju odnosa povjerenja. Ispravna radnja u ovom slučaju bi bila da se preimenuje računar kako bi trebalo da se zove, da se kreira nova kontrolna tačka i izbrišu stare.

I tek nakon što se uvjerite da je povreda povjerenja uzrokovana objektivno potrebnim radnjama i da za ovaj računar možete početi vraćati povjerenje. Postoji nekoliko načina da to učinite.

Korisnici i računari Active Directory

Ovo je najjednostavniji, ali ne najbrži i najpovoljniji način. Otvorite dodatak na bilo kojem kontroleru domene Korisnici i računari Active Directory, pronađite traženi račun računara i desnim klikom odaberite Resetujte nalog.

Zatim se prijavljujemo na računar koji je izgubio odnos povjerenja lokalni administrator i uklonite mašinu iz domene.

Zatim ga vraćamo; možete preskočiti ponovno pokretanje između ove dvije akcije. Nakon ponovnog ulaska u domenu, ponovo pokrenite sistem i prijavite se pod nalogom domene. Lozinka računara će se promeniti kada se računar ponovo pridruži domeni.

Nedostatak ove metode je što mašinu treba izbaciti iz domena, kao i potreba za dva (jednom) restartovanja.

Netdom uslužni program

Ovaj uslužni program je uključen u Windows Server od izdanja iz 2008; može se instalirati na korisničke računare kao deo RSAT (Alati za udaljenu administraciju servera) paketa. Da biste ga koristili, prijavite se na ciljni sistem lokalni administrator i pokrenite naredbu:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Pogledajmo opcije komandi:

  • Server- naziv bilo kojeg kontrolora domene
  • UserD- ime naloga administratora domene
  • PasswordD- lozinka administratora domene

Kada se naredba uspješno završi, nije potrebno ponovno pokretanje, samo se odjavite sa svog lokalnog računa i prijavite se na račun svoje domene.

PowerShell 3.0 cmdlet

Za razliku od uslužnog programa Netdom, PowerShell 3.0 je uključen u sistem počevši od Windows 8 / Server 2012, za starije sisteme se može instalirati ručno, podržani su Windows 7, Server 2008 i Server 2008 R2. Net Framework 4.0 ili noviji je potreban kao zavisnost.

Slično, prijavite se na sistem za koji želite da vratite povjerenje kao lokalni administrator, pokrenite PowerShell konzolu i pokrenite naredbu:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server- naziv bilo kojeg kontrolora domene
  • Credential- naziv domene / nalog administratora domene

Kada izvršite ovu naredbu, pojavit će se prozor za autorizaciju u kojem ćete morati unijeti lozinku za nalog administratora domene koji ste naveli.

Cmdlet ne prikazuje nikakvu poruku kada se uspješno završi, stoga samo promijenite račun, nije potrebno ponovno pokretanje.

Kao što vidite, vraćanje odnosa povjerenja u domeni je prilično jednostavno; glavna stvar je ispravno odrediti uzrok ovog problema, jer će različiti slučajevi zahtijevati različite metode. Stoga se ne umaramo ponavljati: kada se pojavi bilo kakav problem, prvo morate identificirati uzrok, a tek onda poduzeti mjere da ga ispravite, umjesto da bezumno ponavljate prvu instrukciju pronađenu na mreži.

U ovom članku ćemo govoriti o tome na čemu se gradi ozbiljan odnos između muškarca i žene.

Ozbiljni odnosi između muškaraca i žena grade se, naravno, na povjerenju.

Bez povjerenja = ozbiljna veza je a priori, u principu, nemoguća!

Poverenje = ovo je temelj na kojem se grade odnosi. Kuća = bez temelja (odgovarajućeg temelja) = nemoguće izgraditi, raspasti će se, isto je i u odnosima sa muškarcem i ženom.

Ako ne vjerujete svom partneru = prije ili kasnije = sve će se raspasti (uništeti), jer odnosi sa strahom, anksioznošću, brigama, stresom, bolom, svađama itd. neće dugo trajati.

Šta je povjerenje i njegovo odsustvo?

Poverenje ne poznaje sumnju; tamo gde sumnja počinje, poverenje umire.

To je ono što je povjerenje u partnera (odsustvo sumnje), a to je ono što je nedostatak povjerenja (prisustvo sumnje). Povjerenje u vezi mora biti potpuno i obostrano. Ako to nije slučaj, jedan od partnera nema povjerenje = postoje mučne sumnje, itd. - neće biti ozbiljne veze (bez rješavanja ovog problema), takva veza neće imati budućnost, bit će osuđena na neuspjeh.

Dakle, koje je rješenje u ovoj situaciji? Po mom mišljenju, postoje 2 načina za rješavanje problema:

  • Prvo, izgradite povjerenje (ako je izgubljeno) sa svojim partnerom. (teško, ali moguće, i ako se isplati (ima smisla, pročitajte više u članku: „Vrijedi li čuvati vezu“) - to zaista treba učiniti, oba partnera, veze su posao!).
  • 2., odvojite se i ne patite. (lako, jednostavno, zna komentare, ovdje nema šta ni reći).

Zapitajte se da li verujete svom partneru? Ako ne, možete li mu (hej) opet vjerovati?

Ako je vaš odgovor “ne”, onda bi najispravnije bilo da prekinete ovu vezu i ne komplikujete jedno drugome živote trošeći neprocjenjivo vrijeme, energiju i druge resurse na sve to, čineći jedno drugo nesretnijim.

Smisao veze je da jedno drugo učinimo jačim. O tome sam detaljnije govorio u članku: “Značenje odnosa između muškarca i žene”. Ako to nije slučaj, onda je odnos besmislen.

Prije ili kasnije = bez potpunog povjerenja = kraj će ionako doći, parovi se razilaze, pa zašto gubiti vrijeme, glavni resurs u životu svake osobe? Zašto patiti, činiti jedno drugo nesrećnijim, odlagati ovaj trenutak? Imao sam djevojku u koju sam izgubio povjerenje nakon njene šale.

Još ne znam da li je to bila šala ili ne (ljubav je zasljepljujuća), ali utisnula mi se u mozak = vrlo, vrlo snažno, do te mjere da bi mi bilo jako teško ponovo početi vjerovati hej.

Ali. Međutim, u mom slučaju bi bilo moguće pokušati sve shvatiti i popraviti (ali ne baš, ne).

Samo vi sami znate odgovor na pitanje - da li mu možete ponovo vjerovati ili ne, jer je svaki slučaj individualan i svi smo, u principu, individualci. Razumiješ?

Ako je definitivno „ne“, onda postoji samo jedan izlaz, samo nastavite dalje bez mučenja sebe i partnera.

Ali, ako i dalje sumnjate, a vaš odgovor, možda, možda itd. = tada će, da bi se obnovilo povjerenje = biti potreban svakodnevni željeni rad oba partnera u ovom pravcu.

Odnosi su stalni rad između dva partnera. Ovo je posao. Posao. I još jednom rad. Dnevno. I ne samo u smislu povjerenja, već i mnogih drugih komponenti o kojima sada ne govorimo...

Ako ovaj rad ne postoji, onda, nažalost, neće biti harmoničnih, integralnih, korektnih odnosa.

Da biste pokušali povratiti partnerovo povjerenje, prije svega potrebno je sjesti i što detaljnije razgovarati o svemu sa partnerom, o svim svojim sumnjama, razmišljanjima, strahovima, pritužbama itd. prema partneru na iskren i iskren način. način. Važna je potpuna iskrenost, sloboda i poštenje. Bez ovoga ništa neće raditi.

P.S. Poverenje je usko povezano sa poštenjem, iskrenošću i integritetom.

I izuzetno je važno to učiniti, a ne izbjegavati, misleći da će sve proći/biti zaboravljeno. Ne! Što se sve duže odugovlači, duže se sve zadržava u sebi = više "fekalija" onda izlazi.

Sve sumnje, strahove, nesigurnosti itd. morate reći svom partneru. Recite mu (hej) šta vam se ne sviđa u vašoj vezi, u njoj (njemu), recite mu gdje osjećate nelagodu, nezadovoljstvo i tako dalje. Morate razgovarati i izražavati jedno drugom apsolutno sve u svakom trenutku, tokom razvoja vaše veze - a ne na "praznicima" (kada su stvari već uzavrele).

U našem slučaju, što se tiče povjerenja, morate se potpuno otvoriti i sve izložiti. Osjećaji i sve vaše emocije = bez stidljivosti, bez straha, bez suzdržavanja APSOLUTNO NIŠTA!

Svi strahovi, akcije, radnje, tvrdnje, problemi, želje itd, itd. sve što želite = treba prodiskutovati. Sve od početka do kraja u jednom dahu. I nakon svega ovoga, treba da zajedno napravimo konkretan plan zajedničkog djelovanja i počnemo raditi jedni s drugima, zajedno, početi razvijati povjerenje, kako? => otklanjanje svih ovih sumnji, strahova, problema, tvrdnji i ostalih komponenti zajedno.

Naučite da vjerujete jedni drugima, naučite da priznate svoje greške, naučite da preuzmete krivicu (odgovornost), po mom razumijevanju, to znači da morate biti spremni da ispravite ono što se dogodilo svojom krivnjom, naučite oprostiti/tražiti oprost, pokajati se, naučite da tražite kompromise, naučite da razgovarate (komunicirate) jedni s drugima (gdje, kako, s kim, kada, pozivi/sms, potpuna otvorenost, pun pristup), morate biti potpuno iskreni i iskreni jedni prema drugima. Sve "ovo" je vaše = zajedničke akcije.

Zašto su važni? Jer kada se rad (radnje, radnje) odvija organizovano ZAJEDNO (međusobno) = uspostavlja se i izvještaj (ta ista veza) (veza se uspostavlja kroz zajedničke akcije) = što znači da se uspostavlja i povjerenje. Izvještaj (komunikacija) = povjerenje. Zapamtite ovo kao naš otac.

I naravno, ne zaboravite na izraz „strpljenje i rad = mljevenje“. Ako oboje zaista želite da budete jedno sa drugim = ako želite = jak, sretan, harmoničan, holistički odnos = onda radite na tome = jedno sa drugim, zajedno, svaki dan i bićete nagrađeni prema svojim zaslugama. To je sve za mene.

Ali najbolje je spriječiti gubitak povjerenja u principu, tada nećete morati rješavati problem. Međutim, svi griješe, po pričanju čak i roboti =) tema mi je danas bila jako bliska...

Čestitam, administratore.

Kriptografski uslužni programi CryptoPro se koriste u mnogim programima koje su kreirali ruski programeri. Njihova svrha je potpisivanje raznih elektronskih dokumenata, organiziranje PKI-ja i manipulacija certifikatima. U ovom članku ćemo pogledati grešku koja se pojavljuje kao rezultat rada sa certifikatom - "Došlo je do sistemske greške prilikom provjere odnosa povjerenja."

Razlog za grešku u CryptoPro

Pojava sistemske poruke o grešci često je povezana sa konfliktnim verzijama Windows-a i CryptoPro-a. Korisnici imaju tendenciju da se brzo upoznaju sa sistemskim zahtjevima softvera, njegovim svojstvima i mogućnostima. Zato morate detaljnije proučiti upute i forume tek nakon što dođe do kvara.

Često se sam softver instalira na sistem sa greškama. Za to postoji mnogo razloga:

  • Problemi u Windows sistemskom registru;
  • Tvrdi disk je pun smeća koje sprečava drugi softver da radi ispravno;
  • Prisustvo virusa u sistemu i tako dalje.

Rješavanje greške certifikata

Došlo je do kvara sistema u softverskom proizvodu CryptoPro: “Došlo je do sistemske greške prilikom provjere odnosa povjerenja.” Hajde da pokušamo da rešimo ovaj problem. U nekim slučajevima, program može prikazati poruku na ekranu ako sistem nema odgovarajuća ažuriranja. Takođe možete dobiti grešku ako koristite CryptoPro verziju 3.6 na Windows 8.1 operativnom sistemu. Za ovaj OS morate koristiti verziju 4 ili noviju. Ali da biste instalirali novu, morate deinstalirati staru verziju.

Svi važni podaci iz prethodne verzije moraju se kopirati na prenosivi medij ili poseban Windows folder.


Zatim morate posjetiti službenu web stranicu i preuzeti najnoviju verziju uslužnog paketa, preuzeti ih i instalirati na svoje računalo. Idite na adresu - https://www.cryptopro.ru/downloads. Prilikom instaliranja, privremeno onemogućite Windows zaštitni zid i druge programe ili antivirusne programe koji mogu blokirati rad CryptoPro-a.

Možete instalirati novi proizvod koristeći svoj lični račun na web stranici. Da biste to uradili, potrebno je da se prijavite i prijavite.

  1. Zatim idite na svoj lični račun;
  2. Otvorite karticu „Upravljanje uslugama“ na vrhu;
  3. Idite na odjeljak „Automatizirano radno mjesto“;
  4. Zatim pronađite stavku “Dodaci i dodaci” i kliknite na jednu od verzija CryptoPro-a.

Instaliranje ličnog sertifikata

Zatim morate instalirati certifikat u uslužni program CryptoPro da biste riješili grešku certifikata - došlo je do greške prilikom provjere odnosa povjerenja. Pokrenite softver kao administrator. Najbolji način da to uradite je iz menija Start.


Druge metode za rješavanje greške prilikom provjere odnosa povjerenja

Ako koristite CryptoPro verziju 4, ali se greška i dalje pojavljuje, pokušajte jednostavno ponovo instalirati program. U mnogim slučajevima, ove akcije su pomogle korisnicima. Također je moguće da je vaš tvrdi disk pun nepotrebnih datoteka i da ga je potrebno izbrisati. Standardni Windows uslužni programi će nam pomoći u tome.

  1. Otvorite Explorer (WIN+E) i odaberite jedan od lokalnih diskova sa RMB;
  2. Kliknite na “Properties”;
  3. Ispod slike iskorišćenog prostora na disku pronađite i kliknite na dugme „Očisti“;
  4. Zatim će se pojaviti prozor u kojem trebate odabrati datoteke koje želite izbrisati;
  5. Možete odabrati sve stavke i kliknuti na “OK”.

Ovo uputstvo se mora pratiti za sve lokalne diskove na vašem računaru. Zatim slijedite sljedeća uputstva da provjerite Windows datoteke

  1. Otvorite meni Start;
  2. Unesite “Command Prompt” u traku za pretraživanje;
  3. Odaberite ovu liniju pomoću RMB-a i koristite miša da pokažete na “U ime administratora”;
  4. Unesite naredbu u ovaj prozor da započnete skeniranje “sfc /scannow”;
  5. Pritisnite ENTER.

Sačekajte da se ovaj proces završi. Ako uslužni program pronađe probleme sa sistemom datoteka, to ćete vidjeti u završnoj poruci. Zatvorite sve prozore i pokušajte pokrenuti program CryptoPro kako biste bili sigurni da je greška „Došlo je do greške u certifikatu prilikom provjere odnosa povjerenja“ već riješena. Za posebne slučajeve postoji broj softverske tehničke podrške - 8 800 555 02 75.

Svrha ovog članka je da pruži uputstva korak po korak za kreiranje eksterni odnosi povjerenja između dva domena Windows 2000. Čini se da sve što je potrebno za uspostavljanje odnosa povjerenja postoji, postoje prava, poznati su alati za stvaranje povjerenja, ali u praksi jednostavne upute ne funkcioniraju uvijek. Pokušajmo zajedno to shvatiti.

Ako govorimo suhoparno, zapamtićemo to odnose poverenja je logički odnos između domena koji pruža autentifikaciju s kraja na kraj gdje pouzdana domena prihvata autentifikaciju izvršenu u pouzdana domena. U ovom slučaju, korisnički nalozi i globalne grupe definisane u pouzdanoj domeni mogu dobiti prava i dozvole za resurse u domeni poverenika čak i kada ti nalozi ne postoje u referentnoj bazi podataka domena poverenika.

Kada je potrebno stvoriti povjerenje? Prvi odgovor je da korisnici jednog preduzeća (domena u jednoj šumi) treba da koriste resurse iz drugog preduzeća (druga domena u drugoj šumi) ili obrnuto, tada su potrebni odnosi poverenja kada se migriraju bezbednosni objekti sa jedne domene na drugu ( na primjer, kada koristite alatku ADMT v2 iz Microsofta) iu mnogim drugim životnim uslovima rada.

Eksterno povjerenje se može kreirati kako bi se formiralo jednosmjerno ili dvosmjerno intranzitivno povjerenje (tj. odnos u okruženju sa više domena ograničen na samo dva domena) sa domenima izvan šume. Eksterna povjerenja se ponekad koriste kada korisnici trebaju pristupiti resursima koji se nalaze u Windows domeni koja se nalazi unutar druge šume, kao što je prikazano na slici.

Kada se uspostavi povjerenje između domene u određenoj šumi i domene izvan te šume, principali sigurnosti (koji mogu biti korisnik, grupa ili računar) u vanjskoj domeni mogu pristupiti resursima u unutrašnjem domenu. kreira "objek eksternog principala sigurnosti" u internoj domeni da predstavlja svakog principala sigurnosti iz vanjske pouzdane domene. Ovi vanjski principali sigurnosti mogu postati članovi lokalnih grupa domene u internoj domeni od povjerenja. Lokalne grupe domena (obično se koriste za dodjelu dozvola resursima) mogu uključivati ​​principe sigurnosti iz domena izvan šume.

Nakon što smo definisali koncepte, pređimo na uspostavljanje eksternih jednosmjernih odnosa povjerenja od domene D01 do domene D04.

Konfiguracija sistema:

Obično su obje domene raspoređene na različitim mrežama i komunikacija između njih se odvija preko gateway-a. Ponekad se u ove svrhe dodaje druga mrežna kartica na kontrolere domena, uspostavljajući vezu s vanjskim mrežama preko njih. U ovom primjeru koristio sam najjednostavniji slučaj gdje se oba domena nalaze na istoj podmreži. U ovom slučaju, moguće je uspostaviti odnose povjerenja jednostavnim specificiranjem NETBIOS imena domena i navedeni proračuni su nepotrebni, međutim, kako struktura mreže postaje složenija (različite podmreže domena, komunikacija preko gateway-a i virtualnih privatnih mreža), povjerenje se ne može postići. tako lako postaviti. Tada biste trebali implementirati dodatne mrežne postavke navedene u nastavku.

Hajde da napravimo akcioni plan za stvaranje odnosa poverenja:

  • provjera veza između dva servera
  • provjera postavki svake domene
  • postavljanje rezolucije imena za vanjske domene
  • stvaranje veze na dijelu domene od povjerenja
  • kreiranje veze sa pouzdane domene
  • provjera uspostavljenih jednosmjernih odnosa
  • stvaranje dvosmjernog povjerenja (ako je potrebno)

Nije sve tako komplikovano kao što se čini. Ključne tačke na ovoj listi su prve tri tačke, čija pravilna implementacija direktno utiče na konačni rezultat. Također napominjem da se sve radnje obavljaju u ime administratorskih naloga odgovarajućih domena, koji imaju sva potrebna prava za to.


Hajde da počnemo.

Prva stvar koju treba učiniti je sigurnosna kopija stanja vašeg sistema svima kontrolere domena u oba domena (i sistemskim direktorijumima takođe).

I tek tada počnite sa promjenama. Dakle, provjerite može li se uspostaviti komunikacija između dva servera:

  • Sa servera Server01 ćemo se pobrinuti da mu se pristupi sa servera Server04 (192.168.1.4)
    Važno je uspostaviti veze po IP adresi kako bi se izbjegle greške vezane za razlučivanje imena.
    U komandnoj liniji unosimo: ping 192.168.1.4
    Trebali bi primati odgovore sa udaljene adrese. Ako je odgovor ne, analizirajte svoju mrežnu infrastrukturu i riješite probleme.
  • Sa servera Server04 ćemo se pobrinuti da mu se pristupi sa servera Server01 (192.168.1.1)
    U komandnoj liniji unosimo: ping 192.168.1.1
    Treba da prima odgovore sa adrese udaljenog servera Server01.

Ako je sve u redu, prijeđite na sljedeći korak, provjeru postavki domene.

Od svih postavki, provjerit ćemo samo konfiguraciju primarne DNS zone koja podržava svaki Active Directory domen. Jer upravo podaci iz ove zone sadrže zapise resursa domene i omogućavaju vam da odredite lokaciju i adrese odgovarajućih domenskih usluga.

Izvršimo komande na svakom serveru ipconfig.exe /sve I nslookup.exe(ekran 1 i 2).

Ipconfig prikazuje konfiguraciju TCP/IP protokola – IP adrese, adrese gatewaya i DNS servere za kontroler. Ako je DNS infrastruktura ispravno konfigurisana, nslookup prikazuje listu IP adresa kontrolera domena kada postavlja upit za DNS ime lokalne domene. Ako nije moguće dobiti adrese kontrolera za lokalnu domenu, provjerite konfiguraciju primarnog DNS servera i sadržaj zone za prosljeđivanje DNS servera (slika 3).

Napominjemo da sistem nema nikakve informacije o vanjskoj domeni (poruka o grešci pri pokušaju rješavanja po imenu udaljene domene - ekrani 1 i 2), te će stoga traženje kontrolera za uspostavljanje komunikacije sa vanjskim domenima biti izuzetno teško . U ovoj situaciji, pokušaj stvaranja veze s pouzdanom domenom rezultirat će porukom o grešci (slika 4).


Sada počnimo rješavati ovu situaciju. Hajde da konfigurišemo rezoluciju DNS imena za eksterne domene na svakom serveru.

Šta treba učiniti? Moramo postići rezoluciju imena i nabaviti zapise resursa za vanjski domen. Sve je to moguće postavljanjem lokalnog servera da može pristupiti DNS zoni koja podržava vanjsku domenu i koja je sposobna rješavati tražene upite. Odmah želim napomenuti da je pokušaj rješavanja ovog problema jednostavnim dodavanjem IP adrese vanjskog DNS servera kao alternative u TCP/IP postavkama osuđen na neuspjeh. Preduzmimo prave korake za ovu situaciju.

Na lokalnom DNS serveru u svakoj domeni kreiraćemo dodatnu zonu koja sadrži kopiju primarne DNS zone eksterne domene. Kao rezultat, ovaj server može vratiti odgovore iz oba upita o lokalnoj domeni i zapise iz dodatne zone o vanjskoj domeni.

Navest ću primjer kreiranja dodatne zone za server Server01; na Server04 slijed radnji je sličan.

Promenimo parametre prenosa primarne DNS zone na udaljenom serveru.

Na (Server04), otvorite prozor DNS snap-in (preko menija Start, zatim Programi i administrativni alati).

Kliknite desnim tasterom miša na DNS zonu i izaberite Svojstva.

Na kartici Prijenos zona potvrdite izbor u polju za potvrdu Dozvoli prijenos zona.

Dozvoli prenos zona samo na određene DNS servere i izaberite opciju samo na servere sa ove liste, a zatim navedite IP adrese DNS servera prvog domena (u našem slučaju to će biti IP Server01 - 192.168.1.1 ekran 5).

U ovom slučaju moguća je jednostavnija postavka koja omogućava transfere na bilo koji server, ali to dovodi do smanjenja sigurnosti. Osim toga, na primjer, mnogo je efikasnije postaviti ovu IP adresu na listu servera imena za trenutnu zonu.

  • Hajde da omogućimo obaveštenja za dodatne zone na drugim DNS serverima

Kliknite na dugme Obavesti na kartici Zone Transfers.

Provjerite je li odabran okvir Automatski obavijesti.

Odaberite opciju Samo specificirani serveri i dodajte IP adrese servera na potrebnu listu obavijesti.

Da biste to uradili, u listu obaveštenja unesite IP adresu servera iz prethodnog paragrafa (192.168.1.1) u polje IP adresa i kliknite na dugme Dodaj (ekran 6).

  • Kreirajmo dodatnu DNS zonu na lokalnom serveru.

Uključeno (Server01), otvorite DNS prozor.

U stablu konzole kliknite desnim tasterom miša na DNS server i izaberite Nova zona da biste otvorili čarobnjak za novu zonu (slika 7).

Izaberite tip zone Dodatna, unesite njen naziv (D04. lokalna) i IP adresu glavnog servera (IP 192.168.1.4) u polje IP adresa i kliknite na dugme Dodaj.

Kada se zona kreira, biće potrebno neko vreme da primi podatke sa primarnog servera (u tom trenutku bi primarne zone trebalo da izgledaju kao na slici 8).

  • Provjerimo novu konfiguraciju DNS servera.

Na (Server01) otvorite prozor komandne linije, pokrenite komandu nslookup.exe i unesite upit za DNS ime eksternog domena D04. lokalni – i rezultat IP adresa kontrolera ovog domena (Ekran 9).

To je ono što smo željeli - sada, prilikom kreiranja odnosa povjerenja, trenutni domen će moći odrediti potrebne servisne adrese eksternog domena.

Naravno, gore navedene kalkulacije mogu se implementirati u domene sa zadanim postavkama. Ako vaša mreža ima posebne DNS postavke, trebali biste promijeniti ove stavke da odgovaraju vašim zahtjevima.

Sada je potrebno ponoviti prethodne korake na drugom kontroleru u pouzdanoj domeni (Server04) kako bi i ovaj kontroler mogao dobiti rezolucije imena i dobiti listu usluga za prvi domen (Ekran 10).


Kada se oba imena domena mogu riješiti preko DNS servera, možemo nastaviti sa standardnom procedurom kreiranja direktnog eksternog jednosmjernog odnosa povjerenja.

  • Kreirajmo vezu sa strane domene od povjerenja (d01. lokalno)

Na kontroleru (Server01) otvorite dodatak “Active Directory - Domains and Trusts” (preko menija Start, zatim Programi i administrativni alati).

U stablu konzole kliknite desnim tasterom miša na čvor domene kojim želite da upravljate (D01.local) i izaberite Svojstva (Slika 11).

Odaberite karticu Povjerenja.

Odaberite Domene kojima ova domena vjeruje, a zatim kliknite Dodaj.

Unesite puno DNS ime domene, tj. D04. lokalni (za Windows NT domen, samo ime - ekran 12).

Unesite svoju lozinku (npr. 12 W#$r) za dati odnos povjerenja. Lozinka mora biti važeća u obje domene: glavnoj domeni i pouzdanoj domeni. Sama lozinka se koristi samo za vrijeme trajanja uspostavljanja odnosa povjerenja; nakon što se ona uspostavi, lozinka će biti izbrisana.

Štaviše, budući da uspostavljamo samo jednu od dvije potrebne veze, nemoguće je odmah provjeriti odnos povjerenja (ekran 13). Trebali biste kreirati sličnu, ali povratnu informaciju od pouzdane domene.

Dok ste u ovom režimu, možete videti svojstva kreirane odlazne veze (Ekran 14).

Ponovimo ovu proceduru za domenu koja čini drugi dio direktnog odnosa povjerenja.


Kreirajmo vezu sa strane domene od povjerenja (d04. local)

Na kontroleru (Server04) otvorite dodatak Active Directory Domains and Trusts.

U stablu konzole kliknite desnim tasterom miša na čvor domene kojim želite da upravljate (D04.local) i izaberite Svojstva.

Odaberite karticu Trusts (Ekran 15).

Odaberite Domene koje vjeruju ovoj domeni, a zatim kliknite Dodaj.

Unesite puno ime DNS domene - D01. lokalni.

Unesite lozinku za ovo povjerenje koje ste ranije naveli (12 W#$ r - ekran 16).

Jer Ako smo konfigurirali suprotan odnos za naš odnos povjerenja, moramo testirati novi odnos (Ekran 17).

Da biste to učinili, morate navesti korisnički račun koji ima pravo mijenjati odnose povjerenja sa suprotne domene D01. lokalni, to su zapis administratora domene d01 (Ekran 18).

Ako su vjerodajnice ispravne, veza se pinguje i povjerenje se uspostavlja (Slika 19).

Pogledajmo sada kako provjeriti eksterne odnose povjerenja. Na primjer, provjerimo odnos s domene od povjerenja (D01.local)

Da biste testirali odnos povjerenja:

Otvorite Active Directory domene i povjerenja.

U stablu konzole kliknite desnim tasterom miša na domenu koja učestvuje u poverenju koje želite da potvrdite (D01.local), a zatim kliknite na Svojstva.

Odaberite karticu Povjerenja.

Na listi Domene kojima ova domena vjeruje, odaberite odnos povjerenja koji želite provjeriti (D04. lokalni) i kliknite Uredi (Ekran 20).

Kliknite na dugme Proveri.


U dijaloškom okviru koji se pojavi morate unijeti akreditive korisnika koji ima pravo na promjenu odnosa povjerenja, odnosno zapis External Domain Administrator d04 i njegovu lozinku (ekran 21).

Kao i prije, ako su podaci o registraciji ispravni i veza je operativna, prikazuje se poruka potvrde (Ekran 22).

U slučaju grešaka provjerite svoju mrežnu strukturu (postavke gateway-a, firewall-a, rutera, odvojene domenske podmreže), postavke DNS infrastrukture, funkcionalnost fizičkih veza između kontrolera domena, kao i moguće greške unutar Active Directory domena (analizom Event Logs-a). na kontrolerima domena).

Jednom kada se uspostavi povjerenje iz pouzdane domene, sada je moguće vidjeti resurse u domeni od povjerenja koristeći provjeru autentičnosti provjerenih korisnika (ti članovi posebne grupe SVE grupe).

Uvjerimo se da možemo koristiti objekte principala sigurnosti iz pouzdane domene u domeni povjerenika (nalozi iz D04. lokalne domene). Da bismo to uradili, kreiraćemo zajednički resurs u domenu D01 i omogućiti pristup njemu globalnoj grupi „Korisnici domena“ sa domena od poverenja D04.

Kreirajte D01 u domeni. lokalni dijeljeni folder na kontroleru domene Server01.

Tako smo sa pouzdanog domena D04 dobili pristup resursu u domenu povjerenja D01, što nam je i bilo potrebno.

Ako je potrebno, moguće je konfigurirati odnose povjerenja u suprotnom smjeru, od domene D04 do D01. To jest, domena D04 će postati domen od povjerenja. lokalni, a domen od povjerenja će već biti D01. lokalni.

POVEZANI ČLANCI