Katrs sistēmas administrators laiku pa laikam saskaras ar kļūdu “Nevarēja izveidot uzticamības attiecības starp šo darbstaciju un primāro domēnu”. Bet ne visi saprot to procesu cēloņus un mehānismus, kas noved pie tā rašanās. Jo bez aktuālo notikumu jēgas izpratnes nav iespējama jēgpilna administrēšana, ko nomaina bezprātīga instrukciju izpilde.

Datoru konti, tāpat kā lietotāju konti, ir domēna drošības principi. Katram drošības principam automātiski tiek piešķirts drošības identifikators (SID), kurā līmenī tas var piekļūt domēna resursiem.

Pirms piešķirat kontam piekļuvi domēnam, jums ir jāpārbauda tā autentiskums. Katram drošības dalībniekam ir jābūt savam kontam un parolei, un datora konts nav izņēmums. Kad datoru pievienojat Active Directory, tam tiek izveidots datora konts un iestatīta parole. Uzticību šajā līmenī nodrošina fakts, ka šo darbību veic domēna administrators vai cits lietotājs, kuram ir noteiktas pilnvaras to darīt.

Pēc tam katru reizi, kad dators piesakās domēnā, tas izveido drošu kanālu ar domēna kontrolleri un nodrošina tam savus akreditācijas datus. Tādējādi starp datoru un domēnu tiek izveidotas uzticamības attiecības un notiek turpmāka mijiedarbība saskaņā ar administratora noteiktajām drošības politikām un piekļuves tiesībām.

Datora konta parole ir derīga 30 dienas un pēc tam tiek automātiski mainīta. Ir svarīgi saprast, ka paroles maiņu iniciē dators. Tas ir līdzīgs lietotāja paroles maiņas procesam. Atklājot, ka pašreizējās paroles derīguma termiņš ir beidzies, dators to aizstās nākamreiz, kad pieteiksieties domēnā. Līdz ar to, pat ja neesat ieslēdzis datoru vairākus mēnešus, uzticības attiecības domēnā saglabāsies, un parole tiks nomainīta pirmajā pieteikšanās reizē pēc ilgāka pārtraukuma.

Uzticēšanās tiek pārtraukta, kad dators mēģina autentificēties domēnā ar nederīgu paroli. Kā tas var notikt? Vienkāršākais veids ir atgriezt datora stāvokli, piemēram, izmantojot standarta sistēmas atjaunošanas utilītu. To pašu efektu var panākt, atjaunojot no attēla, momentuzņēmuma (virtuālajām mašīnām) utt.

Vēl viena iespēja ir mainīt kontu ar citu datoru ar tādu pašu nosaukumu. Situācija ir diezgan reta, bet dažreiz tas notiek, piemēram, kad darbinieka personālais dators tika mainīts, kamēr tika saglabāts vārds, vecais tika noņemts no domēna un pēc tam tika atkārtoti ievadīts domēnā, aizmirstot to pārdēvēt. Šajā gadījumā, kad vecais dators tiek atkārtoti ievadīts domēnā, tas nomainīs datora konta paroli un jaunais dators vairs nevarēs pieteikties, jo nevarēs izveidot uzticības attiecības.

Kādi pasākumi jāveic, ja rodas šī kļūda? Pirmkārt, noskaidrojiet uzticības pārkāpuma iemeslu. Ja tā bija atcelšana, tad kurš, kad un kā to veica; ja paroli mainīja cits dators, tad atkal jānoskaidro, kad un kādos apstākļos tas notika.

Vienkāršs piemērs: vecs dators tika pārdēvēts un nodots citai nodaļai, pēc tam tas avarēja un automātiski atgriezās pēdējā kontrolpunktā. Pēc tam šis dators mēģinās autentificēties domēnā ar veco nosaukumu un, protams, saņems kļūdu, izveidojot uzticības attiecības. Pareizā darbība šajā gadījumā būtu datora pārdēvēšana tā, kā tas ir jānosauc, izveidot jaunu kontrolpunktu un dzēst vecos.

Un tikai pārliecinoties, ka uzticības pārkāpumu izraisījušas objektīvi nepieciešamas darbības un ka tieši šim datoram var sākt uzticības atjaunošanu. Ir vairāki veidi, kā to izdarīt.

Active Directory lietotāji un datori

Tas ir vienkāršākais, bet ne ātrākais un ērtākais veids. Atveriet papildprogrammu jebkurā domēna kontrollerī Active Directory lietotāji un datori, atrodiet vajadzīgo datora kontu un, ar peles labo pogu noklikšķinot, atlasiet Atiestatīt kontu.

Pēc tam mēs piesakāmies datorā, kurā ir zaudētas uzticības attiecības vietējais administrators un noņemiet iekārtu no domēna.

Pēc tam mēs to ievadām atpakaļ; jūs varat izlaist atsāknēšanu starp šīm divām darbībām. Pēc domēna atkārtotas ievadīšanas restartējiet un piesakieties domēna kontā. Datora parole tiks mainīta, kad dators tiks atkārtoti pievienots domēnam.

Šīs metodes trūkums ir tāds, ka mašīna ir jāizņem no domēna, kā arī nepieciešamība pēc divām (vienas) pārstartēšanas.

Netdom utilīta

Šī utilīta ir iekļauta sistēmā Windows Server kopš 2008. gada izdevuma; to var instalēt lietotāju datoros kā daļu no RSAT (attālās servera administrēšanas rīku) pakotnes. Lai to izmantotu, piesakieties mērķa sistēmā vietējais administrators un palaidiet komandu:

Netdom resetpwd /Serveris:DomainController /Lietotāja D:Administrators /ParoleD:Parole

Apskatīsim komandu opcijas:

• Serveris- jebkura domēna kontrollera nosaukums
• LietotājsD- domēna administratora konta nosaukums
• ParoleD- domēna administratora parole

Kad komanda ir veiksmīgi izpildīta, atsāknēšana nav nepieciešama, vienkārši izrakstieties no vietējā konta un piesakieties savā domēna kontā.

PowerShell 3.0 cmdlet

Atšķirībā no utilīta Netdom, PowerShell 3.0 ir iekļauts sistēmā, sākot no Windows 8 / Server 2012, vecākām sistēmām to var instalēt manuāli, tiek atbalstītas Windows 7, Server 2008 un Server 2008 R2. Net Framework 4.0 vai jaunāka versija ir nepieciešama kā atkarība.

Līdzīgi piesakieties sistēmā, kurai vēlaties atjaunot uzticību kā vietējais administrators, palaidiet PowerShell konsoli un palaidiet komandu:

Atiestatīšana - Datora mašīnas parole - Servera domēna kontrolieris - Akreditācijas datu domēns\Administrators

• Serveris- jebkura domēna kontrollera nosaukums
• Akreditācijas dati- domēna vārds / domēna administratora konts

Izpildot šo komandu, parādīsies autorizācijas logs, kurā būs jāievada jūsu norādītā domēna administratora konta parole.

Cmdlet nerāda nekādu ziņojumu, kad tā ir veiksmīgi pabeigta, tāpēc vienkārši mainiet kontu, nav nepieciešama atsāknēšana.

Kā redzat, uzticības attiecību atjaunošana domēnā ir pavisam vienkārša; galvenais ir pareizi noteikt šīs problēmas cēloni, jo dažādos gadījumos būs nepieciešamas dažādas metodes. Tāpēc mēs nekad nenogurstam atkārtot: ja rodas kāda problēma, vispirms ir jāidentificē tās cēlonis un tikai tad jāveic pasākumi tā novēršanai, nevis bez prāta atkārtojiet pirmo tīklā atrasto norādījumu.

Šajā rakstā mēs runāsim par to, uz ko balstās nopietnas attiecības starp vīrieti un sievieti.

Nopietnas attiecības starp vīriešiem un sievietēm, protams, balstās uz uzticēšanos.

Bez uzticības = nopietnas attiecības a priori principā nav iespējamas!

Uzticēšanās = tas ir pamats, uz kura tiek veidotas attiecības. Māja = bez pamatiem (pareizs pamats) = nav iespējams uzbūvēt, tā izjuks, tas pats ir attiecībās ar vīrieti un sievieti.

Ja neuzticēsies savam partnerim = agri vai vēlu = viss sabruks (iznīcinās), jo attiecības ar bailēm, trauksmi, raizēm, stresu, sāpēm, strīdiem utt.

Kas ir uzticēšanās un tās trūkums?

Uzticība nepazīst šaubas; kur sākas šaubas, uzticība mirst.

Lūk, kas ir uzticēšanās partnerim (šaubu neesamība), un tas ir uzticības trūkums (šaubu klātbūtne). Uzticībai attiecībām jābūt pilnīgai un savstarpējai. Ja tā nav, kādam no partneriem nav uzticības = ir mokošas šaubas utt. - nopietnu attiecību nebūs (bez šīs problēmas atrisināšanas), šādām attiecībām nebūs nākotnes, tās būs lemtas neveiksme.

Tātad, kāds ir risinājums šajā situācijā? Manuprāt, ir divi veidi, kā atrisināt problēmu:

• Pirmkārt, veidojiet uzticību (ja tā ir zaudēta) ar savu partneri. (grūti, bet iespējams, un, ja tas ir tā vērts (tas ir jēga, lasiet vairāk rakstā: “Vai ir vērts glābt attiecības”) - tas tiešām ir jādara, abi partneri, attiecības ir darbs!).
• 2., atdaliet un necietiet. (viegli, vienkārši, ziniet komentārus, šeit pat nav ko teikt).

Pajautājiet sev, vai jūs uzticaties savam partnerim? Ja nē, vai varat viņam atkal uzticēties?

Ja jūsu atbilde ir “nē”, vispareizāk būtu izbeigt šīs attiecības un nesarežģīt otra dzīvi, tam visam tērējot nenovērtējamo laiku, enerģiju un citus resursus, padarot viens otru nelaimīgāku.

Attiecību jēga ir padarīt vienam otru stiprāku. Par to es runāju sīkāk rakstā: “Vīrieša un sievietes attiecību nozīme”. Ja tas tā nav, tad attiecībām nav jēgas.

Agri vai vēlu = bez pilnīgas uzticības = beigas pienāks tik un tā, pāri šķiras, tad kāpēc tērēt laiku, galveno resursu jebkura cilvēka dzīvē? Kāpēc ciest, padarīt vienam otru nelaimīgāku, atlikt šo brīdi? Man bija meitene, kurai es zaudēju uzticību pēc viņas joku.

Es joprojām nezinu, vai tas bija joks vai nē (mīlestība ir apžilbinoša), bet tas manās smadzenēs tika iespiests = ļoti, ļoti spēcīgi, tiktāl, ka man būtu ļoti grūti atkal sākt uzticēties hei.

Bet. Taču manā gadījumā varētu mēģināt visu izdomāt un salabot (bet ne gluži, nē).

Tikai tu pats zini atbildi uz jautājumu – vai vari viņam atkal uzticēties vai nē, jo katrs gadījums ir individuāls un mēs visi principā esam individuālas personas. Saproti?

Ja tas noteikti ir “nē”, tad ir tikai viena izeja, vienkārši virzieties tālāk, nemocot sevi un savu partneri.

Bet, ja jums joprojām ir šaubas un jūsu atbilde, iespējams, varbūt utt. = tad, lai atjaunotu uzticību = būs nepieciešams abu partneru ikdienas vēlamais darbs šajā virzienā.

Attiecības ir pastāvīgs darbs starp diviem partneriem. Tas ir darbs. Darbs. Un atkal darbs. Ikdienas. Un ne tikai attiecībā uz uzticēšanos, bet arī daudzām citām sastāvdaļām, par kurām mēs tagad nerunājam...

Ja šī darba nav, tad, diemžēl, nebūs harmonisku, neatņemamu, pareizu attiecību.

Lai mēģinātu atgūt partnera uzticību, pirmkārt, ir nepieciešams apsēsties un pēc iespējas detalizētāk ar partneri visu pārrunāt, visas šaubas, domas, bailes, sūdzības utt. pret partneri sirsnīgi un godīgi. veidā. Svarīga ir pilnīga sirsnība, brīvība un godīgums. Bez šī nekas nedarbosies.

P.S. Uzticība ir cieši saistīta ar godīgumu, sirsnību un godīgumu.

Un ir ārkārtīgi svarīgi to darīt, nevis izvairīties, domājot, ka viss pāries/aizmirsīsies. Nē! Jo ilgāk viss velkas, jo ilgāk viss tiek turēts iekšā = jo vairāk “fekāliju” izdalās.

Visas šaubas, bailes, nedrošība utt. ir jāizstāsta partnerim. Pastāstiet viņam (hey), kas jums nepatīk jūsu attiecībās, viņā (viņā), pastāstiet viņam, kur jūtat diskomfortu, nepatiku utt. Jums vienmēr ir jāapspriež un jāizsaka viens otram absolūti viss, visu attiecību attīstības laikā - nevis “brīvdienās” (kad lietas jau ir uzvārījušās).

Mūsu gadījumā attiecībā uz uzticēšanos jums ir pilnībā jāatveras un jāizklāsta viss. Jūtas un visas tavas emocijas = nekautrējoties, bez bailēm, neturot PILNĪGI NEKO!

Visas bailes, darbības, darbības, pretenzijas, problēmas, vēlmes utt., utt viss, ko vēlaties = ir jāapspriež. Viss no sākuma līdz beigām vienā sēdē. Un pēc šī visa mums kopīgi jāizveido konkrēts kopīgas rīcības plāns un jāsāk strādāt vienam ar otru, kopā, sākot veidot uzticību, kā? => atbrīvojoties no visām šīm šaubām, bailēm, problēmām, pretenzijām un citām sastāvdaļām kopā.

Mācieties uzticēties viens otram, iemācieties atzīt savas kļūdas, iemācieties uzņemties vainu (atbildību), manā izpratnē tas nozīmē, ka jums ir jābūt gatavam labot to, kas noticis jūsu vainas dēļ, jāiemācās piedot/lūgt piedošanu, nožēlot grēkus, iemācīties meklēt kompromisus, iemācīties sarunāties (sazināties) savā starpā (kur, kā, ar ko, kad, zvani/sms, pilnīga atklātība, pilnīga pieeja), jums ir jābūt pilnīgi sirsnīgiem un godīgiem vienam pret otru. Viss “tas” ir jūsu = kopīgas darbības.

Kāpēc tie ir svarīgi? Jo, kad darbs (darbības, darbības) notiek organizēti KOPĀ (savstarpēji) = tiek izveidots arī ziņojums (tas pats savienojums) (savienojums tiek izveidots ar kopīgām darbībām) = tas nozīmē, ka tiek nodibināta arī uzticība. Ziņojums (saziņa) = uzticēšanās. Atcerieties to kā mūsu tēvu.

Un, protams, neaizmirstiet par izteicienu "pacietība un darbs = malšana". Ja jūs patiešām abi vēlaties būt viens ar otru = ja vēlaties = spēcīgas, laimīgas, harmoniskas, holistiskas attiecības = tad strādājiet pie tā = viens ar otru, kopā, katru dienu, un jūs saņemsiet atalgojumu atbilstoši jūsu nopelniem. Tas man ir viss.

Bet vislabāk ir novērst uzticības zaudēšanu principā, tad jums nebūs jārisina problēma. Tomēr visi kļūdās, pēc baumām pat Roboti =) tēma man šodien bija ļoti tuva...

Apsveicam, administrator.

Kriptogrāfiskās utilītas CryptoPro izmanto daudzās Krievijas izstrādātāju izveidotajās programmās. To mērķis ir parakstīt dažādus elektroniskus dokumentus, sakārtot PKI un manipulēt ar sertifikātiem. Šajā rakstā mēs apskatīsim kļūdu, kas parādās, strādājot ar sertifikātu - "Pārbaudot uzticamības attiecības, radās sistēmas kļūda."

CryptoPro kļūdas iemesls

Sistēmas kļūdas ziņojuma parādīšanās bieži ir saistīta ar konfliktējošām Windows un CryptoPro versijām. Lietotāji mēdz ātri iepazīties ar programmatūras sistēmas prasībām, tās īpašībām un iespējām. Tāpēc instrukcijas un forumi sīkāk jāizpēta tikai pēc kļūmes.

Bieži vien pati programmatūra tiek instalēta sistēmā ar kļūdām. Tam ir daudz iemeslu:

• Problēmas Windows sistēmas reģistrā;
• Cietais disks ir piepildīts ar atkritumiem, kas neļauj citai programmatūrai pareizi darboties;
• Vīrusu klātbūtne sistēmā un tā tālāk.

Sertifikāta kļūdas novēršana

Programmatūras produktā CryptoPro radās sistēmas kļūme: "Pārbaudot uzticamības attiecības, radās sistēmas kļūda." Mēģināsim atrisināt šo problēmu. Dažos gadījumos programma var parādīt ziņojumu ekrānā, ja sistēmai nav atbilstošu atjauninājumu. Kļūdas ziņojums var tikt parādīts arī tad, ja operētājsistēmā Windows 8.1 izmantojat CryptoPro versiju 3.6. Šai OS ir jāizmanto 4. vai jaunāka versija. Bet, lai instalētu jaunu, jums ir jāatinstalē vecā versija.

Visi svarīgie dati no iepriekšējās versijas ir jāpārkopē noņemamā datu nesējā vai atsevišķā Windows mapē.

Pēc tam jums jāapmeklē oficiālā vietne un jālejupielādē jaunākā utilītas pakotnes versija, jālejupielādē tās un jāinstalē datorā. Dodieties uz adresi - https://www.cryptopro.ru/downloads. Instalēšanas laikā uz laiku atspējojiet Windows ugunsmūri un citas programmas vai pretvīrusus, kas var bloķēt CryptoPro darbību.

Jūs varat instalēt jaunu produktu, izmantojot savu personīgo kontu vietnē. Lai to izdarītu, jums ir jāpiesakās un jāpiesakās.

1. Pēc tam dodieties uz savu personīgo kontu;
2. Augšpusē atveriet cilni “Pakalpojumu pārvaldība”;
3. Dodieties uz sadaļu "Automatizētā darba vieta";
4. Pēc tam atrodiet vienumu “Spraudņi un papildinājumi” un noklikšķiniet uz vienas no CryptoPro versijām.

Personīgā sertifikāta uzstādīšana

Tālāk jums jāinstalē sertifikāts utilītprogrammā CryptoPro, lai novērstu sertifikāta kļūmi — pārbaudot uzticamības attiecības, radās kļūme. Palaidiet programmatūru kā administratoru. Labākais veids, kā to izdarīt, ir izvēlnē Sākt.

Citas metodes kļūdas novēršanai, pārbaudot uzticamības attiecības

Ja izmantojat CryptoPro 4. versiju, bet kļūda joprojām parādās, mēģiniet vienkārši pārinstalēt programmu. Daudzos gadījumos šīs darbības palīdzēja lietotājiem. Iespējams arī, ka jūsu cietais disks ir pilns ar nevajadzīgiem failiem un tas ir jāizdzēš. Šajā jautājumā mums palīdzēs standarta Windows utilītas.

1. Atveriet Explorer (WIN+E) un atlasiet vienu no vietējiem diskdziņiem ar RMB;
2. Noklikšķiniet uz "Properties";
3. Zem izmantotās diska vietas attēla atrodiet un noklikšķiniet uz pogas "Notīrīt";
4. Pēc tam parādīsies logs, kurā jāizvēlas dzēšamie faili;
5. Varat atlasīt visus vienumus un noklikšķināt uz "Labi".

Šis norādījums ir jāievēro visiem datora lokālajiem diskdziņiem. Pēc tam izpildiet tālāk sniegtos norādījumus, lai pārbaudītu Windows failus

1. Atveriet izvēlni Sākt;
2. Meklēšanas joslā ievadiet "Command Prompt";
3. Izvēlieties šo rindiņu ar RMB un izmantojiet peli, lai norādītu uz “Administratora vārdā”;
4. Šajā logā ievadiet komandu, lai sāktu skenēšanu “sfc /scannow”;
5. Nospiediet ENTER.

Pagaidiet, līdz šis process tiks pabeigts. Ja utilīta konstatē problēmas ar failu sistēmu, jūs to redzēsit pēdējā ziņojumā. Aizveriet visus logus un mēģiniet palaist programmu CryptoPro, lai pārliecinātos, ka kļūda “Ticības attiecību pārbaudes laikā radās sertifikāta kļūda” jau ir novērsta. Īpašiem gadījumiem ir programmatūras tehniskā atbalsta numurs - 8 800 555 02 75.

Šī raksta mērķis ir sniegt soli pa solim instrukcijas izveidei ārējās uzticības attiecības starp diviem domēniem Windows 2000. Šķiet, ka viss nepieciešamais, lai izveidotu uzticības attiecības, ir, ir tiesības, ir zināmi instrumenti uzticības radīšanai, taču praksē vienkārši norādījumi ne vienmēr darbojas. Mēģināsim to izdomāt kopā.

Ja runājam sausos vārdos, mēs to atceramies uzticamas attiecības ir loģiska saistība starp domēniem, kas nodrošina pilnīgu autentifikāciju, kur uzticams domēns pieņem autentifikāciju, kas veikta uzticams domēns. Šajā gadījumā lietotāju konti un globālās grupas, kas definētas uzticamajā domēnā, var iegūt tiesības un atļaujas resursiem uzticamības domēnā pat tad, ja šie konti nepastāv uzticamības domēna atsauces datu bāzē.

Kad ir nepieciešams radīt uzticību? Pirmā atbilde ir tāda, ka viena uzņēmuma lietotājiem (domēns vienā mežā) ir jāizmanto resursi no cita uzņēmuma (cita domēna citā mežā) vai otrādi, tad ir nepieciešamas uzticības attiecības, migrējot drošības objektus no viena domēna uz citu ( piemēram, izmantojot Microsoft ADMT v2 rīku) un daudzos citos dzīves darba apstākļos.

Ārēju uzticību var izveidot, lai izveidotu vienvirziena vai divvirzienu intransitīvu uzticību (tas ir, attiecības vairāku domēnu vidē, kas ierobežota tikai ar diviem domēniem) ar domēniem ārpus meža. Ārējās uzticamības dažreiz tiek izmantotas, ja lietotājiem ir jāpiekļūst resursiem, kas atrodas Windows domēnā, kas atrodas citā mežā, kā parādīts attēlā.

Ja starp domēnu noteiktā mežā un domēnu ārpus šī meža ir izveidota uzticēšanās, ārējā domēna drošības principi (kas var būt lietotājs, grupa vai dators) var piekļūt resursiem iekšējā domēnā. izveido "ārējās drošības galvenā objekta" iekšējā domēnā, lai pārstāvētu katru drošības principu no ārējā uzticamā domēna. Šie ārējās drošības principi var kļūt par domēna lokālo grupu dalībniekiem iekšējā uzticamības domēnā. Domēnu lokālās grupas (parasti izmanto, lai piešķirtu atļaujas resursiem) var ietvert drošības principus no domēniem ārpus meža.

Pēc jēdzienu definēšanas pāriesim pie ārēju vienvirziena uzticības attiecību izveidošanas no domēna D01 līdz domēnam D04.

Sistēmas konfigurācija:

Parasti abi domēni tiek izvietoti dažādos tīklos, un saziņa starp tiem tiek veikta caur vārtejām. Dažreiz šiem nolūkiem domēna kontrolleriem tiek pievienota otra tīkla karte, caur tiem izveidojot savienojumu ar ārējiem tīkliem. Šajā piemērā es izmantoju vienkāršāko gadījumu, kad abi domēni atrodas vienā apakštīklā. Šajā gadījumā ir iespējams izveidot uzticības attiecības, vienkārši norādot NETBIOS domēna nosaukumus un norādītie aprēķini nav nepieciešami, taču, tīkla struktūrai kļūstot sarežģītākai (dažādi domēna apakštīkli, saziņa caur vārtejām un virtuāliem privātajiem tīkliem), uzticību nevar iegūt. iestatīt tik vienkārši. Pēc tam jums jāievieš tālāk norādītie papildu tīkla iestatījumi.

Izstrādāsim rīcības plānu uzticamu attiecību veidošanai:

• pārbaudīt savienojumus starp diviem serveriem
• pārbaudot katra domēna iestatījumus
• nosaukumu izšķirtspējas iestatīšana ārējiem domēniem
• izveidojot savienojumu no uzticamā domēna puses
• izveidojot savienojumu no uzticama domēna
• izveidoto vienvirziena attiecību pārbaude
• izveidot divvirzienu uzticību (ja nepieciešams)

Viss nav tik sarežģīti, kā varētu šķist. Galvenie punkti šajā sarakstā ir pirmie trīs punkti, kuru pareiza īstenošana tieši ietekmē gala rezultātu. Es arī atzīmēju, ka visas darbības tiek veiktas attiecīgo domēnu administratoru kontu vārdā, kuriem ir visas nepieciešamās tiesības.

Sāksim.

Pirmā lieta, kas jādara, ir sistēmas stāvokļa dublēšana visi domēna kontrolleri abos domēnos (un arī sistēmas direktorijos).

Un tikai tad sāciet veikt izmaiņas. Tāpēc pārliecinieties, vai starp diviem serveriem var izveidot saziņu:

• No servera Server01 mēs pārliecināsimies, ka tas ir pieejams no servera Server04 (192.168.1.4)
  Ir svarīgi izveidot savienojumus pēc IP adreses, lai izvairītos no kļūdām, kas saistītas ar vārda izšķirtspēju.
  Komandrindā mēs ievadām: ping 192.168.1.4
  Jāsaņem atbildes no attālās adreses. Ja atbilde ir nē, analizējiet savu tīkla infrastruktūru un atrisiniet problēmas.

• No servera Server04 mēs pārliecināsimies, ka tas ir pieejams no servera Server01 (192.168.1.1)
  Komandrindā mēs ievadām: ping 192.168.1.1
  Jāsaņem atbildes no attālā servera adreses Server01.

Ja viss ir kārtībā, pārejiet pie nākamās darbības, pārbaudiet domēna iestatījumus.

No visiem iestatījumiem mēs pārbaudīsim tikai primārās DNS zonas konfigurāciju, kas atbalsta katru Active Directory domēnu. Jo tieši dati no šīs zonas satur domēna resursu ierakstus un ļauj noteikt atbilstošo domēna pakalpojumu atrašanās vietu un adreses.

Izpildīsim komandas katrā serverī ipconfig.exe /visi Un nslookup.exe(1. un 2. ekrāns).

Ipconfig parāda TCP/IP protokola konfigurāciju – IP adreses, vārtejas adreses un DNS serverus kontrolierim. Ja DNS infrastruktūra ir konfigurēta pareizi, nslookup parāda domēna kontrollera IP adrešu sarakstu, vaicājot vietējā domēna DNS nosaukumu. Ja nav iespējams iegūt kontrollera adreses lokālajam domēnam, pārbaudiet primārā DNS servera konfigurāciju un DNS servera pāradresācijas zonas saturu (3. attēls).

Lūdzu, ņemiet vērā, ka sistēmai nav informācijas par ārējo domēnu (kļūdas ziņojums, mēģinot atrisināt ar attālā domēna nosaukumu - 1. un 2. ekrāns), un tāpēc kontrolieru meklēšana, lai izveidotu saziņu ar ārējiem domēniem, būs ārkārtīgi sarežģīta. . Šādā situācijā, mēģinot izveidot savienojumu ar uzticamu domēnu, tiks parādīts kļūdas ziņojums (4. attēls).

Tagad sāksim risināt šo situāciju. Konfigurēsim DNS nosaukumu izšķirtspēju ārējiem domēniem katrā serverī.

Kas jādara? Mums ir jāpanāk nosaukuma izšķirtspēja un jāiegūst resursu ieraksti ārējam domēnam. Tas viss ir iespējams, iestatot lokālo serveri, lai tas varētu piekļūt DNS zonai, kas atbalsta ārējo domēnu un spēj atrisināt nepieciešamos vaicājumus. Uzreiz gribu atzīmēt, ka mēģinājums atrisināt šo problēmu, vienkārši pievienojot ārēja DNS servera IP adresi kā alternatīvu TCP/IP iestatījumos, ir lemts neveiksmei. Veiksim pareizos soļus šai situācijai.

Katra domēna lokālajā DNS serverī mēs izveidosim papildu zonu, kurā būs ārējā domēna primārās DNS zonas kopija. Rezultātā šis serveris var atgriezt atbildes gan no vaicājumiem par lokālo domēnu, gan ierakstiem no papildu zonas par ārēju domēnu.

Es sniegšu piemēru papildu zonas izveidošanai serverim Server01, serverī Server04 darbību secība ir līdzīga.

Mainīsim primārās DNS zonas pārsūtīšanas parametrus attālajā serverī.

Iesl. (Server04) atveriet DNS papildprogrammas logu (izmantojot izvēlni Sākt, pēc tam Programmas un administratīvie rīki).

Ar peles labo pogu noklikšķiniet uz DNS zonas un atlasiet Properties.

Cilnē Zone Transfers atzīmējiet izvēles rūtiņu Atļaut zonu pārsūtīšanu.

Atļaut zonu pārsūtīšanu tikai uz noteiktiem DNS serveriem un atlasiet opciju tikai serveriem no šī saraksta un pēc tam norādiet pirmā domēna DNS serveru IP adreses (mūsu gadījumā tas būs IP Server01 - 192.168.1.1 5. ekrāns).

Šajā gadījumā ir iespējams vienkāršāks iestatījums, kas ļauj pārsūtīt uz jebkuru serveri, taču tas noved pie drošības samazināšanās. Turklāt, piemēram, daudz efektīvāk ir iestatīt šo IP adresi pašreizējās zonas nosaukumu serveru sarakstā.

• Iespējosim paziņojumus par papildu zonām citos DNS serveros

Noklikšķiniet uz pogas Paziņot cilnē Zone Transfers.

Pārliecinieties, vai ir atlasīts lodziņš Automātiski paziņot.

Atlasiet opciju Tikai norādītie serveri un pievienojiet serveru IP adreses vajadzīgajam paziņojumu sarakstam.

Lai to izdarītu, paziņojumu sarakstā ievadiet servera IP adresi no iepriekšējās rindkopas (192.168.1.1) laukā IP adrese un noklikšķiniet uz pogas Pievienot (6. ekrāns).

• Vietējā serverī izveidosim papildu DNS zonu.

Ieslēgts (Server01), atveriet DNS logu.

Konsoles kokā ar peles labo pogu noklikšķiniet uz DNS servera un atlasiet New Zone, lai atvērtu New Zone Wizard (7. attēls).

Izvēlieties zonas tipu Papildu, ievadiet tās nosaukumu (D04. local) un IP adreses laukā galvenā servera IP adresi (IP 192.168.1.4) un noklikšķiniet uz pogas Pievienot.

Kad zona ir izveidota, paies zināms laiks, lai saņemtu datus no primārā servera (tādā brīdī primārajām zonām vajadzētu izskatīties kā 8. attēlā).

• Pārbaudīsim jauno DNS servera konfigurāciju.

Uz (Server01) atveriet komandu uzvednes logu, palaidiet komandu nslookup.exe un ievadiet vaicājumu ārējā domēna DNS nosaukumam D04. lokālais – un šī domēna kontrolleru IP adrešu rezultāts (9. ekrāns).

Tas ir tas, ko mēs vēlējāmies - tagad, veidojot uzticības attiecības, esošais domēns varēs noteikt nepieciešamās ārējā domēna apkalpošanas adreses.

Protams, iepriekšminētos aprēķinus var realizēt domēnos ar noklusējuma iestatījumiem. Ja jūsu tīklam ir īpaši DNS iestatījumi, jums vajadzētu mainīt šos vienumus, lai tie atbilstu jūsu prasībām.

Tagad ir jāatkārto iepriekšējās darbības citā kontrollerī uzticamā domēnā (Server04), lai šis kontrolieris varētu iegūt arī nosaukumu izšķirtspēju un pakalpojumu sarakstu pirmajam domēnam (10. ekrāns).

Kad abus domēna vārdus var atrisināt, izmantojot DNS serveri, mēs varam turpināt standarta procedūru, lai izveidotu tiešas ārējās vienvirziena uzticības attiecības.

• Izveidosim savienojumu no uzticamā domēna puses (d01. local)

Kontrolerī (Server01) atveriet papildprogrammu “Aktīvais direktorijs — domēni un uzticamības” (izmantojot izvēlni Sākt, pēc tam — Programmas un administratīvie rīki).

Konsoles kokā ar peles labo pogu noklikšķiniet uz domēna mezgla, kuru vēlaties pārvaldīt (D01.local) un atlasiet Rekvizīti (11. attēls).

Atlasiet cilni Trusts.

Atlasiet Domēni, kuriem šis domēns uzticas, un pēc tam noklikšķiniet uz Pievienot.

Ievadiet pilnu domēna DNS nosaukumu, t.i. D04. lokālais (Windows NT domēnam tikai nosaukums — 12. ekrāns).

Ievadiet savu paroli (piemēram, 12 W#$r) noteiktām uzticības attiecībām. Parolei jābūt derīgai abos domēnos: galvenajā domēnā un uzticamajā domēnā. Pati parole tiek izmantota tikai uzticības attiecību nodibināšanas laikā, pēc tās izveidošanas parole tiks dzēsta.

Turklāt, tā kā mēs veidojam tikai vienu no diviem nepieciešamajiem savienojumiem, nav iespējams nekavējoties pārbaudīt uzticības attiecības (13. ekrāns). Jums vajadzētu izveidot līdzīgu, bet atsauksmes no uzticamā domēna.

Šajā režīmā varat apskatīt izveidotā izejošā savienojuma rekvizītus (14. ekrāns).

Atkārtosim šo procedūru domēnam, kas veido otru tiešo uzticības attiecību daļu.

Izveidosim savienojumu no uzticamā domēna puses (d04. local)

Kontrolerī (Server04) atveriet Active Directory domēnu un uzticības papildprogrammu.

Konsoles kokā ar peles labo pogu noklikšķiniet uz domēna mezgla, kuru vēlaties pārvaldīt (D04.local) un atlasiet Rekvizīti.

Atlasiet cilni Trusts (15. ekrāns).

Atlasiet domēnus, kas uzticas šim domēnam, un pēc tam noklikšķiniet uz Pievienot.

Ievadiet pilnu DNS domēna nosaukumu - D01. vietējā.

Ievadiet šīs uzticamības paroli, ko norādījāt iepriekš (12 W#$ r — 16. ekrāns).

Jo Ja mūsu uzticības attiecībām esam konfigurējuši pretējas attiecības, mums ir jāpārbauda jaunās attiecības (17. ekrāns).

Lai to izdarītu, jānorāda lietotāja konts, kuram ir tiesības mainīt uzticamības attiecības no pretējā domēna D01. lokāli, tie ir domēna administratora ieraksts d01 (18. ekrāns).

Ja akreditācijas dati ir pareizi, attiecības tiek pārbaudītas un tiek izveidota uzticēšanās (19. attēls).

Tagad apskatīsim, kā pārbaudīt ārējās uzticības attiecības. Piemēram, pārbaudīsim attiecības no uzticamā domēna (D01.local)

Lai pārbaudītu uzticības attiecības:

Atveriet Active Directory domēnus un trastus.

Konsoles kokā ar peles labo pogu noklikšķiniet uz domēna, kas piedalās uzticamībā, kuru vēlaties pārbaudīt (D01.local), un pēc tam noklikšķiniet uz Rekvizīti.

Atlasiet cilni Trusts.

Sarakstā Domains Trusted by This Domain (Šī domēna uzticamie domēni) atlasiet uzticamības attiecību, kuru vēlaties pārbaudīt (D04. Local) un noklikšķiniet uz Rediģēt (20. ekrāns).

Noklikšķiniet uz pogas Pārbaudīt.

Parādītajā dialoglodziņā jāievada tā lietotāja akreditācijas dati, kuram ir tiesības mainīt uzticības attiecības, tas ir, ārējā domēna administratora ieraksts d04 un viņa parole (21. ekrāns).

Tāpat kā iepriekš, ja reģistrācijas dati ir pareizi un attiecības darbojas, tiek parādīts apstiprinājuma ziņojums (22. ekrāns).

Kļūdu gadījumā pārbaudiet tīkla struktūru (vārteju, ugunsmūru, maršrutētāju, domēna apakštīklu atdalīšanas iestatījumus), DNS infrastruktūras iestatījumus, fizisko savienojumu funkcionalitāti starp domēna kontrolleriem, kā arī iespējamās kļūdas Active Directory domēnos (analizējot notikumu žurnālus). domēna kontrolleros).

Kad uzticamība ir izveidota no uzticamā domēna, tagad ir iespējams skatīt resursus uzticamajā domēnā, izmantojot autentificēto lietotāju (tos ALL grupas īpašās grupas dalībniekus) autentifikāciju.

Pārliecināsimies, ka varam izmantot drošības galvenos objektus no uzticamā domēna uzticamības domēnā (konti no D04. lokālā domēna). Lai to izdarītu, domēnā D01 izveidosim koplietotu resursu un nodrošināsim piekļuvi globālajai grupai “Domēna lietotāji” no uzticamā domēna D04.

Izveidojiet D01 domēnā. lokālā koplietotā mape domēna kontrollerī Server01.

Tādējādi no uzticamā domēna D04 mēs ieguvām piekļuvi resursam uzticamības domēnā D01, kas mums bija vajadzīgs.

Ja nepieciešams, ir iespējams konfigurēt uzticības attiecības pretējā virzienā, no domēna D04 līdz D01. Tas nozīmē, ka domēns D04 kļūs par uzticamo domēnu. lokāls, un uzticamais domēns jau būs D01. vietējā.