모든 시스템 관리자는 때때로 "이 워크스테이션과 기본 도메인 간의 신뢰 관계를 설정할 수 없습니다."라는 오류가 발생합니다. 그러나 모든 사람이 그 발생으로 이어지는 프로세스의 원인과 메커니즘을 이해하는 것은 아닙니다. 시사의 의미를 이해하지 못하면 의미 있는 행정이 불가능하고, 이는 무의미한 지시의 실행으로 대체되기 때문입니다.

사용자 계정과 마찬가지로 컴퓨터 계정도 도메인 보안 주체입니다. 각 보안 주체에는 도메인 리소스에 액세스할 수 있는 수준의 SID(보안 식별자)가 자동으로 할당됩니다.

도메인에 대한 계정 액세스 권한을 부여하기 전에 도메인의 신뢰성을 확인해야 합니다. 각 보안 참가자는 자신의 계정과 비밀번호를 가지고 있어야 하며, 컴퓨터 계정도 예외는 아닙니다. 컴퓨터를 Active Directory에 가입시키면 컴퓨터 계정이 생성되고 암호가 설정됩니다. 이 수준의 신뢰는 도메인 관리자나 해당 작업을 수행할 수 있는 명시적인 권한이 있는 다른 사용자가 이 작업을 수행한다는 사실로 보장됩니다.

이후 컴퓨터는 도메인에 로그인할 때마다 도메인 컨트롤러와 보안 채널을 설정하고 자격 증명을 제공합니다. 따라서 컴퓨터와 도메인 간에 신뢰 관계가 설정되고 관리자가 설정한 보안 정책 및 접근 권한에 따라 추가 상호 작용이 발생합니다.

컴퓨터 계정 비밀번호는 30일 동안 유효하며 그 이후에는 자동으로 변경됩니다. 비밀번호 변경은 컴퓨터에서 시작된다는 점을 이해하는 것이 중요합니다. 이는 사용자 비밀번호를 변경하는 과정과 유사합니다. 현재 비밀번호가 만료된 것을 발견하면 다음에 도메인에 로그인할 때 컴퓨터가 해당 비밀번호를 대체합니다. 따라서 몇 달 동안 컴퓨터를 켜지 않은 경우에도 도메인 내의 신뢰 관계는 그대로 유지되며 오랜 휴식 후 처음 로그인할 때 비밀번호가 변경됩니다.

컴퓨터가 잘못된 비밀번호를 사용하여 도메인에 인증을 시도하면 신뢰가 깨집니다. 어떻게 이런 일이 일어날 수 있습니까? 가장 쉬운 방법은 예를 들어 표준 시스템 복원 유틸리티를 사용하여 컴퓨터 상태를 롤백하는 것입니다. 이미지, 스냅샷(가상 머신의 경우) 등에서 복원할 때도 동일한 효과를 얻을 수 있습니다.

또 다른 옵션은 동일한 이름을 가진 다른 컴퓨터로 계정을 변경하는 것입니다. 상황은 매우 드물지만 이름을 저장하는 동안 직원의 PC가 변경된 경우 이전 PC가 도메인에서 제거된 후 이름을 바꾸는 것을 잊어버린 채 도메인에 다시 도입되는 경우가 있습니다. 이 경우, 기존 PC가 도메인에 재접속되면 해당 컴퓨터 계정의 비밀번호가 변경되며, 새 PC는 신뢰 관계를 맺을 수 없기 때문에 더 이상 로그인할 수 없게 됩니다.

이 오류가 발생하면 어떤 조치를 취해야 합니까? 우선, 신뢰 위반의 원인을 규명하십시오. 롤백이었다면 누가, 언제, 어떻게 수행했는지, 다른 컴퓨터에서 비밀번호를 변경했다면 언제, 어떤 상황에서 이런 일이 발생했는지 다시 알아내야 합니다.

간단한 예: 오래된 컴퓨터의 이름이 바뀌고 다른 부서에 넘겨진 후 충돌이 발생하고 자동으로 마지막 체크포인트로 롤백되었습니다. 그 후 이 PC는 이전 이름으로 도메인에서 인증을 시도하고 자연스럽게 신뢰 관계를 설정하는 오류를 받게 됩니다. 이 경우 올바른 조치는 컴퓨터를 호출해야 하는 대로 이름을 바꾸고, 새 검사점을 만들고, 이전 검사점을 삭제하는 것입니다.

그리고 객관적으로 필요한 조치로 인해 신뢰 위반이 발생했는지 확인한 후에야 신뢰 복원을 시작할 수 있습니다. 이를 수행하는 방법에는 여러 가지가 있습니다.

Active Directory 사용자 및 컴퓨터

이것은 가장 간단하지만 가장 빠르고 편리한 방법은 아닙니다. 도메인 컨트롤러에서 스냅인을 엽니다. Active Directory 사용자 및 컴퓨터, 필요한 컴퓨터 계정을 찾은 다음 마우스 오른쪽 버튼을 클릭하여 선택합니다. 계정 재설정.

그런 다음 신뢰 관계가 상실된 컴퓨터에 로그인합니다. 로컬 관리자도메인에서 머신을 제거합니다.

그런 다음 다시 입력하면 이 두 작업 사이에 재부팅을 건너뛸 수 있습니다. 도메인 재진입 후 재부팅 후 해당 도메인 계정으로 로그인하세요. 컴퓨터가 도메인에 다시 가입되면 컴퓨터의 비밀번호가 변경됩니다.

이 방법의 단점은 컴퓨터를 도메인 외부로 가져와야 하고 두 번(한 번) 재부팅해야 한다는 것입니다.

Netdom 유틸리티

이 유틸리티는 2008 버전부터 Windows Server에 포함되었으며 RSAT(원격 서버 관리 도구) 패키지의 일부로 사용자 PC에 설치할 수 있습니다. 사용하려면 대상 시스템에 로그인하세요. 로컬 관리자그리고 다음 명령을 실행하세요:

Netdom 재설정pwd /서버:DomainController /UserD:관리자 /PasswordD:비밀번호

명령 옵션을 살펴보겠습니다.

• 섬기는 사람- 도메인 컨트롤러의 이름
• 사용자D- 도메인 관리자 계정 이름
• 비밀번호 D- 도메인 관리자 비밀번호

명령이 성공적으로 완료되면 재부팅이 필요하지 않습니다. 로컬 계정에서 로그아웃하고 도메인 계정에 로그인하면 됩니다.

파워셸 3.0 cmdlet

Netdom 유틸리티와 달리 PowerShell 3.0은 Windows 8/Server 2012부터 시스템에 포함되어 있으며 이전 시스템의 경우 수동으로 설치할 수 있으며 Windows 7, Server 2008 및 Server 2008 R2가 지원됩니다. Net Framework 4.0 이상이 종속성으로 필요합니다.

마찬가지로 신뢰를 복원하려는 시스템에 로컬 관리자로 로그온하고 PowerShell 콘솔을 시작한 후 다음 명령을 실행합니다.

Reset-ComputerMachinePassword -Server DomainController -자격 증명 도메인\관리자

• 섬기는 사람- 도메인 컨트롤러의 이름
• 신임장- 도메인 이름 / 도메인 관리자 계정

이 명령을 실행하면 지정한 도메인 관리자 계정의 비밀번호를 입력해야 하는 인증 창이 나타납니다.

cmdlet은 성공적으로 완료될 때 어떤 메시지도 표시하지 않으므로 계정을 변경하기만 하면 됩니다. 재부팅이 필요하지 않습니다.

보시다시피 도메인에서 신뢰 관계를 복원하는 것은 매우 간단합니다. 경우에 따라 다른 방법이 필요하기 때문에 가장 중요한 것은 이 문제의 원인을 올바르게 확인하는 것입니다. 따라서 우리는 반복하는 데 지치지 않습니다. 문제가 발생하면 먼저 원인을 식별한 다음 네트워크에서 발견된 첫 번째 명령을 무심코 반복하는 대신 문제를 해결하기 위한 조치를 취해야 합니다.

이 글에서 우리는 남자와 여자 사이의 진지한 관계가 무엇을 기반으로 하는지에 대해 이야기할 것이다.

물론 남성과 여성 사이의 진지한 관계는 신뢰를 바탕으로 구축됩니다.

신뢰가 없으면 진지한 관계는 선험적으로 원칙적으로 불가능합니다!

신뢰 = 이것이 관계가 구축되는 기초입니다. 집 = 기초가 없으면 (올바른 기초) = 짓는 것이 불가능하고 무너질 것입니다. 남자와 여자의 관계에서도 마찬가지입니다.

파트너를 신뢰하지 않으면 = 조만간 = 모든 것이 무너질 것입니다(파괴). 두려움, 불안, 걱정, 스트레스, 고통, 다툼 등이 있는 관계는 오래 지속되지 않기 때문입니다.

신뢰와 그 부재는 무엇입니까?

신뢰는 의심의 여지가 없으며, 의심이 시작되는 곳에서 신뢰는 죽습니다.

이것이 바로 파트너에 대한 신뢰(의심의 부재)이고, 이것이 바로 신뢰의 부족(의심의 존재)이다. 관계에 대한 신뢰는 완전하고 상호적이어야 합니다. 그렇지 않은 경우 파트너 중 한 명이 신뢰를 갖지 않습니다 = 잔소리하는 의심 등이 있습니다. - 진지한 관계가 없을 것이며 (이 문제를 해결하지 않으면) 그러한 관계에는 미래가 없으며 운명에 처하게 될 것입니다. 실패.

그렇다면 이런 상황에서 해결책은 무엇인가? 제 생각에는 문제를 해결하는 방법에는 두 가지가 있습니다.

• 첫째, 파트너와 신뢰를 구축하십시오(잃어버린 경우). (어렵지만 가능하며 그만한 가치가 있다면 (이것이 합리적이라면 "관계를 구할 가치가 있습니까?"라는 기사에서 자세히 읽어보십시오.) - 실제로 완료해야합니다. 두 파트너, 관계 모두 작업입니다!).
• 둘째, 헤어지고 괴로워하지 말라. (쉽고, 간단하며, 댓글을 알 수 있으며 여기서는 말할 것도 없습니다).

스스로에게 물어보세요. 당신은 당신의 파트너를 신뢰합니까? 그렇지 않다면 그 사람을 다시 믿을 수 있나요?

당신의 대답이 "아니오"라면, 가장 올바른 일은 이 관계를 끝내고 이 모든 것에 귀중한 시간, 에너지, 기타 자원을 낭비하여 서로를 더 불행하게 만들어 서로의 삶을 복잡하게 만들지 않는 것입니다.

관계의 핵심은 서로를 더욱 강하게 만드는 것입니다. 나는 "남자와 여자의 관계의 의미"라는 기사에서 이에 대해 더 자세히 이야기했습니다. 그렇지 않다면 그 관계는 의미가 없습니다.

조만간 = 완전한 신뢰 없이 = 어쨌든 끝은 올 것입니다. 부부는 헤어지는데 왜 어떤 사람의 삶의 주요 자원인 시간을 낭비합니까? 왜 고통받고, 서로를 더 불행하게 만들고, 이 순간을 미루나요? 농담을 한 후 신뢰를 잃은 소녀가있었습니다.

농담인지 아닌지는 아직 모르겠지만 (사랑은 눈이 멀었다) 내 뇌에 각인됐다 = 아주, 아주 강하게, 내가 다시 믿기 시작하기가 매우 어려울 정도로.

하지만. 하지만 제 경우에는 모든 것을 파악하고 고치려고 노력하는 것이 가능할 것입니다(정확히는 아니지만, 아니오).

각 사례는 개인이고 우리 모두는 원칙적으로 개인이기 때문에 그를 다시 신뢰할 수 있는지 여부에 대한 답은 귀하 자신 만이 알고 있습니다. 이해하다?

확실히 "아니요"라면 탈출구는 단 하나뿐입니다. 자신과 파트너를 고문하지 않고 계속 나아가는 것입니다.

그러나 여전히 의구심이 있고 대답이 아마도 아마도 등인 경우 = 그러면 신뢰를 갱신하기 위해서는 = 이 방향에서 두 파트너가 매일 원하는 작업이 필요할 것입니다.

관계는 두 파트너 간의 지속적인 작업입니다. 이것은 일이다. 직업. 그리고 다시 한 번 일하십시오. 일일. 그리고 신뢰의 측면뿐만 아니라 지금 우리가 이야기하지 않는 다른 많은 구성 요소도 있습니다.

이 작업이 존재하지 않는다면 아쉽게도 조화롭고 통합적이며 올바른 관계는 없을 것입니다.

파트너의 신뢰를 되찾기 위해서는 먼저 파트너와 함께 앉아서 파트너에 대한 모든 의심, 생각, 두려움, 불만 등 모든 것을 가능한 한 자세히 논의해야합니다. 방법. 완전한 성실함, 자유로움, 정직함이 중요합니다. 이것이 없으면 아무것도 작동하지 않습니다.

추신 신뢰는 정직, 성실, 진실성과 밀접한 관련이 있습니다.

그리고 모든 것이 지나가거나 잊혀질 것이라고 생각하면서 이것을 피하지 않고 하는 것이 매우 중요합니다. 아니요! 모든 것이 더 오래 끌릴수록 모든 것이 내부에 더 오래 보관될수록 더 많은 "배설물"이 나옵니다.

모든 의심, 두려움, 불안감 등을 파트너에게 말해야 합니다. 당신의 관계, 그녀 (그)의 마음에 들지 않는 점을 그에게 말하고, 불편 함, 불만 등을 느끼는 부분을 그에게 말하십시오. "휴일"(일이 이미 끝난 경우)이 아닌 관계가 발전하는 동안 항상 서로에게 모든 것을 절대적으로 논의하고 표현해야합니다.

우리의 경우 신뢰에 관해서는 완전히 마음을 열고 모든 것을 펼쳐 놓아야 합니다. 감정과 모든 감정 = 부끄러워하지 않고, 두려움 없이, 주저하지 않고 모든 것!

모든 두려움, 행동, 행동, 주장, 문제, 욕구 등 당신이 원하는 모든 것 = 논의가 필요합니다. 처음부터 끝까지 모든 것이 한 번에 이루어집니다. 그리고 결국 우리는 함께 공동 행동에 대한 구체적인 계획을 세우고 서로 협력하여 신뢰를 쌓기 시작해야 합니다. 어떻게 해야 할까요? => 이러한 모든 의심, 두려움, 문제, 주장 및 기타 구성 요소를 함께 제거합니다.

서로를 신뢰하는 법을 배우고, 자신의 실수를 인정하는 법을 배우고, 비난(책임)하는 법을 배우십시오. 제가 이해하기로는 이는 자신의 잘못으로 인해 일어난 일을 바로잡을 준비가 되어 있어야 하고, 용서/용서를 구하는 법을 배우고, 회개하는 법을 배워야 함을 의미합니다. 타협을 찾는 법을 배우고, 서로 대화(의사소통)하는 법을 배우십시오(어디서, 어떻게, 누구와 언제, 전화/SMS, 완전한 개방성, 완전한 액세스). 서로에게 완전히 진실하고 정직해야 합니다. 모든 "이것"은 당신의 것입니다 = 공동 행동.

왜 중요한가요? 왜냐하면 일(행동, 행위)이 체계적으로 이루어지면 함께(서로) = 보고(동일한 연결)도 성립되기 때문입니다(공동 행동을 통해 연결이 성립됨) = 신뢰도 성립된다는 의미입니다. 보고(소통) = 신뢰. 우리 아버지처럼 이것을 기억하십시오.

그리고 물론 “인내와 노력 = 노력”이라는 표현도 잊지 마세요. 만약 당신이 정말로 서로 함께하고 싶다면 = 당신이 원한다면 = 강하고, 행복하고, 조화롭고, 전체적인 관계 = 그런 다음 그것을 위해 노력하십시오 = 서로, 함께, 매일 그리고 당신은 당신의 장점에 따라 보상을 받을 것입니다. 그게 전부입니다.

하지만 가장 좋은 것은 원칙적으로 신뢰 상실을 방지하는 것입니다. 그러면 문제를 해결할 필요가 없습니다. 그런데 사람은 누구나 실수를 한다고 합니다. 로봇도 마찬가지라는 소문이 있습니다 =) 오늘 주제가 너무 와닿았어요...

축하드립니다, 관리자님.

암호화 유틸리티 CryptoPro는 러시아 개발자가 만든 많은 프로그램에서 사용됩니다. 그들의 목적은 다양한 전자 문서에 서명하고, PKI를 구성하고, 인증서를 조작하는 것입니다. 이 기사에서는 인증서 작업 결과 나타나는 오류인 "신뢰 관계를 확인하는 동안 시스템 오류가 발생했습니다."를 살펴보겠습니다.

CryptoPro 오류의 원인

시스템 오류 메시지의 출현은 종종 Windows 및 CryptoPro 버전 충돌과 관련이 있습니다. 사용자는 소프트웨어의 시스템 요구 사항, 해당 속성 및 기능에 빠르게 익숙해지는 경향이 있습니다. 그렇기 때문에 실패가 발생한 후에만 지침과 포럼을 더 자세히 연구해야 합니다.

종종 소프트웨어 자체가 오류와 함께 시스템에 설치됩니다. 이에 대한 이유는 많습니다:

• Windows 시스템 레지스트리의 문제;
• 하드 드라이브는 다른 소프트웨어가 제대로 작동하는 것을 방해하는 정크로 가득 차 있습니다.
• 시스템 등에 바이러스가 존재합니다.

인증서 오류 해결

CryptoPro 소프트웨어 제품에서 시스템 오류가 발생했습니다. "신뢰 관계를 확인하는 동안 시스템 오류가 발생했습니다." 이 문제를 해결해 봅시다. 어떤 경우에는 시스템에 적절한 업데이트가 없으면 프로그램이 화면에 메시지를 표시할 수 있습니다. Windows 8.1 운영 체제에서 CryptoPro 버전 3.6을 사용하는 경우 오류가 나타날 수도 있습니다. 이 OS의 경우 버전 4 이상을 사용해야 합니다. 하지만 새 버전을 설치하려면 이전 버전을 제거해야 합니다.

이전 버전의 중요한 데이터는 모두 이동식 미디어나 별도의 Windows 폴더에 복사해야 합니다.

그런 다음 공식 웹사이트를 방문하여 최신 버전의 유틸리티 패키지를 다운로드하고 컴퓨터에 설치해야 합니다. 주소로 이동하십시오 - https://www.cryptopro.ru/downloads. 설치 시 CryptoPro의 작동을 차단할 수 있는 Windows 방화벽 및 기타 프로그램이나 바이러스 백신을 일시적으로 비활성화하십시오.

웹사이트의 개인 계정을 사용하여 새 제품을 설치할 수 있습니다. 이렇게 하려면 로그인하고 로그인해야 합니다.

1. 그런 다음 개인 계정으로 이동하세요.
2. 상단의 "서비스 관리" 탭을 엽니다.
3. "자동화된 업무 공간" 섹션으로 이동하세요.
4. 그런 다음 "플러그인 및 추가 기능" 항목을 찾아 CryptoPro 버전 중 하나를 클릭합니다.

개인 인증서 설치

다음으로 인증서 오류를 해결하려면 CryptoPro 유틸리티에 인증서를 설치해야 합니다. 신뢰 관계를 확인할 때 오류가 발생했습니다. 소프트웨어를 관리자로 실행하십시오. 가장 좋은 방법은 시작 메뉴를 이용하는 것입니다.

신뢰 관계를 확인할 때 오류를 해결하는 다른 방법

CryptoPro 버전 4를 사용 중인데도 오류가 계속 나타나는 경우 간단히 프로그램을 다시 설치해 보세요. 대부분의 경우 이러한 조치는 사용자에게 도움이 되었습니다. 하드 드라이브에 불필요한 파일이 가득 차서 삭제해야 할 수도 있습니다. 표준 Windows 유틸리티가 이에 도움이 될 것입니다.

1. 탐색기를 열고(WIN+E) RMB를 사용하여 로컬 드라이브 중 하나를 선택합니다.
2. "속성"을 클릭하세요.
3. 사용된 디스크 공간 이미지 아래에서 "청소" 버튼을 찾아 클릭하세요.
4. 그러면 삭제할 파일을 선택해야 하는 창이 나타납니다.
5. 모든 항목을 선택하고 "확인"을 클릭할 수 있습니다.

컴퓨터의 모든 로컬 드라이브에 대해 이 지침을 따라야 합니다. 그런 다음 다음 지침에 따라 Windows 파일을 확인하세요.

1. 시작 메뉴를 엽니다.
2. 검색창에 "명령 프롬프트"를 입력하세요.
3. RMB를 사용하여 이 줄을 선택하고 마우스를 사용하여 "관리자 대신"을 가리킵니다.
4. "sfc /scannow" 스캔을 시작하려면 이 창에 명령을 입력하십시오.
5. 엔터 키를 치시오.

이 프로세스가 완료될 때까지 기다리십시오. 유틸리티가 파일 시스템에서 문제를 발견하면 최종 메시지에 이 내용이 표시됩니다. 모든 창을 닫고 CryptoPro 프로그램을 실행하여 "신뢰 관계를 확인하는 동안 인증서 오류가 발생했습니다"라는 오류가 이미 해결되었는지 확인하십시오. 특별한 경우에는 소프트웨어 기술 지원 번호(8 800 555 02 75)가 있습니다.

이 문서의 목적은 생성을 위한 단계별 지침을 제공하는 것입니다. 두 도메인 간의 외부 신뢰 관계윈도우 2000. 신뢰 관계를 설정하는 데 필요한 모든 것이 있고 권리가 있으며 신뢰를 구축하기 위한 도구가 알려져 있는 것처럼 보이지만 실제로는 간단한 지침이 항상 작동하는 것은 아닙니다. 함께 알아 내려고 노력합시다.

건조한 말로 말하면 우리는 다음을 기억합니다. 신뢰 관계종단 간 인증을 제공하는 도메인 간의 논리적 관계입니다. 신뢰하는 도메인다음에서 수행된 인증을 수락합니다. 신뢰할 수 있는 도메인. 이 경우 트러스트된 도메인에 정의된 사용자 계정 및 글로벌 그룹은 해당 계정이 트러스트 도메인의 참조 데이터베이스에 존재하지 않는 경우에도 트러스트 도메인의 리소스에 대한 권한 및 사용 권한을 얻을 수 있습니다.

언제 신뢰를 구축해야 합니까? 첫 번째 대답은 한 기업(한 포리스트의 도메인)의 사용자가 다른 기업(다른 포리스트의 다른 도메인)의 리소스를 사용해야 하거나 그 반대의 경우도 마찬가지이므로 보안 개체를 한 도메인에서 다른 도메인으로 마이그레이션할 때 신뢰 관계가 필요하다는 것입니다( 예를 들어 Microsoft의 ADMT v2 도구를 사용하는 경우) 및 기타 다양한 생활 작업 조건에서 사용됩니다.

포리스트 외부의 도메인과 단방향 또는 양방향 비이행적 트러스트(즉, 두 도메인으로만 제한된 다중 도메인 환경의 관계)를 형성하기 위해 외부 트러스트를 만들 수 있습니다. 그림에 표시된 것처럼 사용자가 다른 포리스트 내부에 있는 Windows 도메인에 있는 리소스에 액세스해야 할 때 외부 트러스트가 사용되는 경우가 있습니다.

특정 포리스트의 도메인과 해당 포리스트 외부의 도메인 간에 신뢰가 설정되면 외부 도메인의 보안 주체(사용자, 그룹 또는 컴퓨터일 수 있음)가 내부 도메인의 리소스에 액세스할 수 있습니다. 신뢰할 수 있는 외부 도메인의 각 보안 주체를 나타내기 위해 내부 도메인에 "외부 보안 주체 개체"를 만듭니다. 이러한 외부 보안 주체는 내부 트러스팅 도메인의 도메인 로컬 그룹 구성원이 될 수 있습니다. 일반적으로 리소스에 사용 권한을 할당하는 데 사용되는 도메인 로컬 그룹에는 포리스트 외부 도메인의 보안 주체가 포함될 수 있습니다.

개념을 정의한 후 도메인 D01에서 도메인 D04까지 외부 단방향 트러스트 관계를 설정해 보겠습니다.

시스템 구성:

일반적으로 두 도메인은 서로 다른 네트워크에 배포되며 이들 간의 통신은 게이트웨이를 통해 수행됩니다. 때로는 이러한 목적으로 두 번째 네트워크 카드가 도메인 컨트롤러에 추가되어 이를 통해 외부 네트워크에 대한 연결을 설정합니다. 이 예에서는 두 도메인이 동일한 서브넷에 있는 가장 간단한 경우를 사용했습니다. 이 경우 NETBIOS 도메인 이름을 지정하는 것만으로 신뢰 관계를 설정할 수 있으며 지정된 계산이 필요하지 않습니다. 그러나 네트워크 구조가 복잡해짐(다른 도메인 서브넷, 게이트웨이 및 가상 사설망을 통한 통신)으로 인해 신뢰를 구축할 수 없습니다. 너무 쉽게 설정하세요. 그런 다음 아래에 제공된 추가 네트워크 설정을 구현해야 합니다.

신뢰 관계를 구축하기 위한 실행 계획을 작성해 보겠습니다.

• 두 서버 간의 연결 확인
• 각 도메인의 설정 확인
• 외부 도메인에 대한 이름 확인 설정
• 트러스팅 도메인 측에서 연결 만들기
• 신뢰할 수 있는 도메인에서 연결 만들기
• 확립된 단방향 관계의 검증
• 양방향 신뢰 생성(필요한 경우)

보이는 것만큼 모든 것이 복잡하지 않습니다. 이 목록의 핵심 사항은 처음 세 가지 사항이며, 올바른 구현은 최종 결과에 직접적인 영향을 미칩니다. 또한 모든 작업은 이에 필요한 모든 권한을 가진 해당 도메인의 관리자 계정을 대신하여 수행됩니다.

시작하자.

가장 먼저 해야 할 일은 시스템 상태를 백업하는 것입니다. 모든 사람두 도메인(및 시스템 디렉터리)의 도메인 컨트롤러.

그런 다음 변경을 시작하십시오. 따라서 두 서버 간에 통신이 설정될 수 있는지 확인하십시오.

• Server01 서버에서는 Server04 서버(192.168.1.4)에서 액세스할 수 있는지 확인합니다.
  이름 확인과 관련된 오류를 방지하려면 IP 주소로 연결을 설정하는 것이 중요합니다.
  명령줄에 다음을 입력합니다. 핑 192.168.1.4
  원격 주소로부터 응답을 받아야 합니다. 대답이 '아니요'인 경우 네트워크 인프라를 분석하고 문제를 해결하십시오.

• Server04 서버에서는 Server01 서버(192.168.1.1)에서 액세스할 수 있는지 확인합니다.
  명령줄에 다음을 입력합니다. 핑 192.168.1.1
  원격 서버 주소 Server01로부터 응답을 받아야 합니다.

모든 것이 정상이면 다음 단계로 넘어가 도메인 설정을 확인하세요.

모든 설정 중에서 각 Active Directory 도메인을 지원하는 기본 DNS 영역의 구성만 확인합니다. 도메인 리소스 레코드를 포함하고 해당 도메인 서비스의 위치와 주소를 확인할 수 있는 것은 이 영역의 데이터이기 때문입니다.

각 서버에서 명령을 실행해보자 ipconfig.exe /모두그리고 nslookup.exe(화면 1과 2).

Ipconfig는 TCP/IP 프로토콜 구성(컨트롤러의 IP 주소, 게이트웨이 주소 및 DNS 서버)을 표시합니다. DNS 인프라가 올바르게 구성된 경우 nslookup은 로컬 도메인의 DNS 이름을 쿼리할 때 도메인 컨트롤러 IP 주소 목록을 표시합니다. 로컬 도메인에 대한 컨트롤러 주소를 얻을 수 없는 경우 기본 DNS 서버 구성과 DNS 서버 정방향 조회 영역의 내용을 확인합니다(그림 3).

시스템에는 외부 도메인에 대한 정보가 없으므로(원격 도메인 이름으로 확인하려고 할 때 오류 메시지 - 화면 1 및 2) 외부 도메인과 통신을 설정하기 위해 컨트롤러를 검색하는 것은 매우 어렵습니다. . 이 상황에서 신뢰할 수 있는 도메인에 대한 연결을 만들려고 하면 오류 메시지가 표시됩니다(그림 4).

이제 이 상황을 해결해 보겠습니다. 각 서버의 외부 도메인에 대한 DNS 이름 확인을 구성해 보겠습니다.

무엇을 해야 합니까? 이름 확인을 수행하고 외부 도메인에 대한 리소스 레코드를 얻어야 합니다. 이 모든 것은 외부 도메인을 지원하고 필요한 쿼리를 해결할 수 있는 DNS 영역에 액세스할 수 있도록 로컬 서버를 설정함으로써 가능합니다. 단순히 TCP/IP 설정에 외부 DNS 서버의 IP 주소를 대안으로 추가하여 이 문제를 해결하려는 시도는 실패할 수밖에 없다는 점을 바로 지적하고 싶습니다. 이 상황에 대해 올바른 조치를 취합시다.

각 도메인의 로컬 DNS 서버에서 외부 도메인의 기본 DNS 영역 복사본을 포함하는 추가 영역을 만듭니다. 결과적으로 이 서버는 로컬 도메인에 대한 쿼리와 외부 도메인에 대한 추가 영역의 레코드 모두에서 응답을 반환할 수 있습니다.

Server01 서버에 대한 추가 영역을 생성하는 예를 들어 보겠습니다. Server04의 작업 순서는 비슷합니다.

원격 서버에서 기본 DNS 영역 전송의 매개변수를 변경해 보겠습니다.

(Server04)에서 DNS 스냅인 창을 엽니다(시작 메뉴, 프로그램 및 관리 도구를 통해).

DNS 영역을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

영역 전송 탭에서 영역 전송 허용 확인란을 선택합니다.

특정 DNS 서버에만 영역 전송을 허용하고 이 목록에서 서버에만 옵션을 선택한 다음 첫 번째 도메인의 DNS 서버의 IP 주소를 지정합니다(이 경우 IP Server01 - 192.168.1.1 화면 5).

이 경우 어떤 서버로도 전송이 가능하도록 보다 간단한 설정이 가능하지만 이로 인해 보안성이 저하됩니다. 또한 예를 들어 현재 영역의 이름 서버 목록에 이 IP 주소를 설정하는 것이 훨씬 더 효율적입니다.

• 다른 DNS 서버의 추가 영역에 대한 알림을 활성화해 보겠습니다.

영역 전송 탭에서 알림 버튼을 클릭하세요.

자동 알림 상자가 선택되어 있는지 확인하세요.

지정된 서버만 옵션을 선택하고 필수 알림 목록에 서버의 IP 주소를 추가합니다.

이렇게 하려면 알림 목록에서 IP 주소 필드에 이전 단락의 서버 IP 주소(192.168.1.1)를 입력하고 추가 버튼을 클릭합니다(화면 6).

• 로컬 서버에 추가 DNS 영역을 만들어 보겠습니다.

(Server01)에서 DNS 창을 엽니다.

콘솔 트리에서 DNS 서버를 마우스 오른쪽 버튼으로 클릭하고 New Zone을 선택하여 New Zone Wizard(그림 7)를 엽니다.

영역 유형 추가를 선택하고 IP 주소 필드에 해당 이름(D04.local)과 주 서버의 IP 주소(IP 192.168.1.4)를 입력한 후 추가 버튼을 클릭합니다.

영역이 생성되면 기본 서버에서 데이터를 수신하는 데 약간의 시간이 걸립니다(이 시점에서 기본 영역은 그림 8과 같아야 합니다).

• 새로운 DNS 서버 구성을 확인해 보겠습니다.

(Server01)에서 명령 프롬프트 창을 열고 다음 명령을 실행합니다. nslookup.exe외부 도메인 D04의 DNS 이름에 대한 쿼리를 입력합니다. local – 그리고 이 도메인 컨트롤러의 IP 주소 결과(화면 9).

이것이 우리가 원했던 것입니다. 이제 신뢰 관계를 생성할 때 현재 도메인은 외부 도메인의 필요한 서비스 주소를 결정할 수 있습니다.

물론 위의 계산은 기본 설정이 있는 도메인에서 구현될 수 있습니다. 네트워크에 특별한 DNS 설정이 있는 경우 요구 사항에 맞게 이러한 항목을 변경해야 합니다.

이제 이 컨트롤러가 이름 확인을 얻고 첫 번째 도메인에 대한 서비스 목록을 얻을 수 있도록 신뢰할 수 있는 도메인(Server04)의 다른 컨트롤러에서 이전 단계를 반복해야 합니다(화면 10).

DNS 서버를 통해 두 도메인 이름이 모두 확인되면 직접적인 외부 단방향 신뢰 관계를 생성하는 표준 절차를 진행할 수 있습니다.

• 신뢰하는 도메인 측(d01.local)에서 연결을 생성해 보겠습니다.

컨트롤러(Server01)에서 "Active Directory - 도메인 및 트러스트" 스냅인을 엽니다(시작 메뉴, 프로그램 및 관리 도구를 통해).

콘솔 트리에서 관리하려는 도메인 노드(D01.local)를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다(그림 11).

트러스트 탭을 선택합니다.

이 도메인이 신뢰하는 도메인을 선택한 다음 추가를 클릭합니다.

도메인의 전체 DNS 이름(예: D04. local(Windows NT 도메인의 경우 이름만 표시 - 화면 12)

비밀번호를 입력하세요(예: 12 승#$아르 자형) 주어진 신뢰 관계에 대해. 암호는 주 도메인과 트러스트된 도메인 모두에서 유효해야 합니다. 비밀번호 자체는 신뢰관계가 성립되는 동안에만 사용되며, 신뢰관계가 성립된 후에는 삭제됩니다.

게다가 필요한 두 연결 중 하나만 설정하고 있기 때문에 신뢰 관계를 즉시 확인하는 것은 불가능합니다(화면 13). 유사하지만 신뢰할 수 있는 도메인으로부터 피드백을 생성해야 합니다.

이 모드에서는 생성된 나가는 연결의 속성을 볼 수 있습니다(화면 14).

직접 신뢰 관계의 다른 부분을 구성하는 도메인에 대해 이 절차를 반복해 보겠습니다.

신뢰할 수 있는 도메인(d04.local) 측에서 연결을 만들어 보겠습니다.

컨트롤러(Server04)에서 Active Directory 도메인 및 트러스트 스냅인을 엽니다.

콘솔 트리에서 관리하려는 도메인 노드(D04.local)를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

Trusts 탭을 선택합니다(화면 15).

이 도메인을 신뢰하는 도메인을 선택한 다음 추가를 클릭합니다.

전체 DNS 도메인 이름(D01)을 입력하세요. 현지의.

이전에 지정한 이 신뢰에 대한 비밀번호를 입력하십시오(12 W#$ r - 화면 16).

왜냐하면 신뢰 관계에 대해 반대 관계를 구성한 경우 새 관계를 테스트해야 합니다(화면 17).

이렇게 하려면 반대 도메인 D01에서 신뢰 관계를 변경할 수 있는 권한이 있는 사용자 계정을 지정해야 합니다. local의 경우 도메인 관리자 레코드 d01(화면 18)입니다.

자격 증명이 정확하면 관계가 ping되고 신뢰가 설정됩니다(그림 19).

이제 외부 신뢰 관계를 확인하는 방법을 살펴보겠습니다. 예를 들어 신뢰하는 도메인(D01.local)과의 관계를 확인해 보겠습니다.

신뢰 관계를 테스트하려면 다음을 수행하십시오.

Active Directory 도메인 및 트러스트를 엽니다.

콘솔 트리에서 확인하려는 트러스트에 참여하는 도메인(D01.local)을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

트러스트 탭을 선택합니다.

이 도메인이 신뢰하는 도메인 목록에서 확인하려는 신뢰 관계(D04.local)를 선택하고 편집(화면 20)을 클릭합니다.

확인 버튼을 클릭하세요.

나타나는 대화 상자에서 신뢰 관계를 변경할 수 있는 권한이 있는 사용자의 자격 증명, 즉 외부 도메인 관리자 레코드 d04와 해당 비밀번호를 입력해야 합니다(화면 21).

이전과 마찬가지로 등록 데이터가 올바르고 관계가 작동 중이면 확인 메시지가 표시됩니다(화면 22).

오류가 발생한 경우 네트워크 구조(게이트웨이, 방화벽, 라우터 설정, 도메인 서브넷 분리), DNS 인프라 설정, 도메인 컨트롤러 간의 물리적 연결 기능 및 Active Directory 도메인 내에서 발생할 수 있는 오류를 확인합니다(이벤트 로그 분석을 통해). 도메인 컨트롤러에서).

신뢰할 수 있는 도메인에서 신뢰가 설정되면 이제 인증된 사용자(ALL 그룹 특수 그룹의 구성원)의 인증을 사용하여 신뢰하는 도메인의 리소스를 볼 수 있습니다.

신뢰자 도메인(D04. 로컬 도메인의 계정)에서 신뢰할 수 있는 도메인의 보안 주체 개체를 사용할 수 있는지 확인하겠습니다. 이를 위해 도메인 D01에 공유 리소스를 생성하고 신뢰할 수 있는 도메인 D04의 글로벌 그룹 "도메인 사용자"에게 이에 대한 액세스를 제공합니다.

도메인에 D01을 만듭니다. 도메인 컨트롤러 Server01의 로컬 공유 폴더.

따라서 신뢰할 수 있는 도메인 D04에서 우리에게 필요한 트러스트 도메인 D01의 리소스에 대한 액세스 권한을 얻었습니다.

필요한 경우 도메인 D04에서 D01까지 반대 방향으로 신뢰 관계를 구성할 수 있습니다. 즉, 도메인 D04가 트러스팅 도메인이 됩니다. local이고 신뢰할 수 있는 도메인은 이미 D01입니다. 현지의.