Çdo administrator i sistemit ndeshet herë pas here me gabimin "Një marrëdhënie besimi midis këtij stacioni pune dhe domenit primar nuk mund të krijohej". Por jo të gjithë i kuptojnë shkaqet dhe mekanizmat e proceseve që çojnë në shfaqjen e tij. Sepse pa kuptuar kuptimin e ngjarjeve aktuale, administrimi kuptimplotë është i pamundur, i cili zëvendësohet nga ekzekutimi i pamend i udhëzimeve.

Llogaritë kompjuterike, si llogaritë e përdoruesve, janë parime të sigurisë së domenit. Çdo principal sigurie i caktohet automatikisht një identifikues sigurie (SID) në të cilin nivel mund të qaset në burimet e domenit.

Përpara se t'i jepni një llogarie akses në një domen, duhet të verifikoni vërtetësinë e tij. Çdo pjesëmarrës i sigurisë duhet të ketë llogarinë dhe fjalëkalimin e vet, dhe një llogari kompjuteri nuk bën përjashtim. Kur bashkoni një kompjuter në Active Directory, krijohet një llogari kompjuteri për të dhe vendoset një fjalëkalim. Besimi në këtë nivel sigurohet nga fakti që ky operacion kryhet nga një administrator domeni ose përdorues tjetër që ka autoritet të qartë për ta bërë këtë.

Më pas, sa herë që kompjuteri hyn në domen, ai krijon një kanal të sigurt me kontrolluesin e domenit dhe i siguron atij kredencialet e tij. Kështu, krijohet një marrëdhënie besimi midis kompjuterit dhe domenit dhe ndërveprim i mëtejshëm ndodh në përputhje me politikat e sigurisë dhe të drejtat e aksesit të përcaktuara nga administratori.

Fjalëkalimi i llogarisë së kompjuterit është i vlefshëm për 30 ditë dhe ndryshohet automatikisht më pas. Është e rëndësishme të kuptohet se ndryshimi i fjalëkalimit është iniciuar nga kompjuteri. Kjo është e ngjashme me procesin e ndryshimit të fjalëkalimit të përdoruesit. Pasi të ketë zbuluar se fjalëkalimi aktual ka skaduar, kompjuteri do ta zëvendësojë atë herën tjetër që të hyni në domen. Prandaj, edhe nëse nuk e keni ndezur kompjuterin për disa muaj, marrëdhënia e besimit në domen do të mbetet dhe fjalëkalimi do të ndryshohet herën e parë që hyni pas një pushimi të gjatë.

Besimi prishet kur një kompjuter përpiqet të vërtetojë në një domen me një fjalëkalim të pavlefshëm. Si mund të ndodhë kjo? Mënyra më e lehtë është të rivendosni gjendjen e kompjuterit, për shembull, duke përdorur një mjet standard të rivendosjes së sistemit. I njëjti efekt mund të arrihet kur rivendosni nga një imazh, fotografi (për makinat virtuale), etj.

Një tjetër mundësi është të ndryshoni llogarinë me një kompjuter tjetër me të njëjtin emër. Situata është mjaft e rrallë, por ndonjëherë ndodh, për shembull, kur kompjuteri i një punonjësi është ndryshuar ndërsa emri është ruajtur, i vjetri është hequr nga domeni dhe më pas ata janë rifutur në domen, duke harruar ta riemërtojnë atë. Në këtë rast, kur kompjuteri i vjetër të rifutet në domen, ai do të ndryshojë fjalëkalimin e llogarisë së kompjuterit dhe kompjuteri i ri nuk do të jetë më në gjendje të identifikohet, pasi nuk do të jetë në gjendje të krijojë një marrëdhënie besimi.

Çfarë veprimesh duhet të ndërmerrni nëse hasni këtë gabim? Para së gjithash, përcaktoni arsyen e shkeljes së besimit. Nëse ishte një rikthim, atëherë nga kush, kur dhe si u krye; nëse fjalëkalimi u ndryshua nga një kompjuter tjetër, atëherë përsëri duhet të zbulojmë se kur dhe në çfarë rrethanash ndodhi kjo.

Një shembull i thjeshtë: një kompjuter i vjetër u riemërua dhe iu dha një departamenti tjetër, pas së cilës ai u rrëzua dhe u kthye automatikisht në pikën e fundit të kontrollit. Pas së cilës ky PC do të përpiqet të vërtetojë në domenin me emrin e vjetër dhe natyrisht do të marrë një gabim duke krijuar një marrëdhënie besimi. Veprimi i duhur në këtë rast do të ishte riemërtimi i kompjuterit siç duhet të quhet, krijimi i një pikë kontrolli të ri dhe fshirja e të vjetrave.

Dhe vetëm pasi të siguroheni që shkelja e besimit është shkaktuar nga veprime objektivisht të nevojshme dhe se është për këtë kompjuter që mund të filloni të rivendosni besimin. Ka disa mënyra për ta bërë këtë.

Përdoruesit dhe Kompjuterët e Directory Active

Kjo është mënyra më e thjeshtë, por jo më e shpejtë dhe më e përshtatshme. Hapni snap-in në çdo kontrollues domeni Përdoruesit dhe Kompjuterët e Directory Active, gjeni llogarinë e kërkuar të kompjuterit dhe, duke klikuar me të djathtën, zgjidhni Rivendos llogarinë.

Pastaj ne hyjmë në kompjuterin që ka humbur marrëdhënien e besimit nën administratori lokal dhe hiqni makinën nga domeni.

Pastaj e fusim përsëri; mund ta kaloni rindezjen midis këtyre dy veprimeve. Pas rihyrjes në domen, rindizni dhe identifikohuni nën një llogari domeni. Fjalëkalimi i kompjuterit do të ndryshohet kur kompjuteri të ribashkohet në domen.

Disavantazhi i kësaj metode është se makina duhet të hiqet nga domeni, si dhe nevoja për dy (një) rindezje.

Shërbimi Netdom

Ky mjet është përfshirë në Windows Server që nga edicioni i vitit 2008; ai mund të instalohet në PC-të e përdoruesve si pjesë e paketës RSAT (Remote Server Administration Tools). Për ta përdorur atë, hyni në sistemin e synuar administratori lokal dhe ekzekutoni komandën:

Rivendosja e rrjetit pwd /Server:DomainController /PërdoruesiD:Administrator /FjalëkalimiD:Fjalëkalimi

Le të shohim opsionet e komandës:

• Serveri- emri i çdo kontrolluesi të domenit
• Përdoruesi D- Emri i llogarisë së administratorit të domenit
• FjalëkalimiD- fjalëkalimi i administratorit të domenit

Pasi komanda të përfundojë me sukses, nuk kërkohet rindezje, thjesht dilni nga llogaria juaj lokale dhe hyni në llogarinë tuaj të domenit.

PowerShell 3.0 cmdlet

Ndryshe nga programi Netdom, PowerShell 3.0 përfshihet në sistem duke filluar nga Windows 8 / Server 2012, për sistemet e vjetra mund të instalohet manualisht, Windows 7, Server 2008 dhe Server 2008 R2 mbështeten. Net Framework 4.0 ose më vonë kërkohet si një varësi.

Në mënyrë të ngjashme, hyni në sistemin për të cilin dëshironi të rivendosni besimin si administrator lokal, hapni tastierën PowerShell dhe ekzekutoni komandën:

Rivendos-Fjalëkalimi i kompjuterit të makinës -Kontrolluesi i domenit të serverit - domeni kredencial\Admin

• Serveri- emri i çdo kontrolluesi të domenit
• Kredencialet- emri i domenit / llogaria e administratorit të domenit

Kur të ekzekutoni këtë komandë, do të shfaqet një dritare autorizimi në të cilën do t'ju duhet të vendosni fjalëkalimin për llogarinë e administratorit të domenit që keni specifikuar.

cmdlet nuk shfaq asnjë mesazh kur përfundon me sukses, kështu që thjesht ndryshoni llogarinë, nuk kërkohet rindezje.

Siç mund ta shihni, rivendosja e marrëdhënieve të besimit në një domen është mjaft e thjeshtë; gjëja kryesore është të përcaktoni saktë shkakun e këtij problemi, pasi raste të ndryshme do të kërkojnë metoda të ndryshme. Prandaj, nuk lodhemi kurrë duke përsëritur: kur shfaqet ndonjë problem, së pari duhet të identifikoni shkakun dhe vetëm më pas të merrni masa për ta korrigjuar atë, në vend që të përsërisni pa mendje udhëzimin e parë të gjetur në rrjet.

Në këtë artikull, ne do të flasim për atë që ndërtohet një marrëdhënie serioze midis një burri dhe një gruaje.

Marrëdhëniet serioze midis burrave dhe grave ndërtohen, natyrisht, mbi besimin.

Pa besim = një marrëdhënie serioze është apriori, në parim, e pamundur!

Besimi = ky është themeli mbi të cilin ndërtohen marrëdhëniet. Shtëpi = pa themel (themeli i duhur) = e pamundur të ndërtohet, do të shembet, e njëjta gjë vlen edhe në marrëdhëniet me një burrë dhe një grua.

Nëse nuk i beson partnerit = herët a vonë = gjithçka do të shembet (shkatërrohet), sepse marrëdhëniet me frikë, ankth, shqetësime, stres, dhimbje, grindje, etj., nuk do të zgjasin shumë.

Çfarë është besimi dhe mungesa e tij?

Besimi nuk njeh dyshim; aty ku fillon dyshimi, besimi vdes.

Kjo është besimi në një partner (mungesa e dyshimeve) dhe kjo është ajo që është mungesa e besimit (prania e dyshimeve). Besimi në një marrëdhënie duhet të jetë i plotë dhe i ndërsjellë. Nëse nuk është kështu, njëri nga partnerët nuk ka besim = ka dyshime të bezdisshme, etj. - nuk do të ketë marrëdhënie serioze (pa zgjidhur këtë problem), një marrëdhënie e tillë nuk do të ketë të ardhme, do të jetë e dënuar të dështimi.

Pra, cila është zgjidhja në këtë situatë? Sipas mendimit tim, ekzistojnë 2 mënyra për të zgjidhur problemin:

• Së pari, ndërtoni besimin (nëse ka humbur) me partnerin tuaj. (e vështirë, por e mundur, dhe nëse ia vlen (ka kuptim, lexoni më shumë në artikull: "A ia vlen të shpëtosh marrëdhënien") - me të vërtetë duhet bërë, të dy partnerët, marrëdhëniet janë punë!).
• Së dyti, ndahuni dhe mos vuani. (e lehte, e thjeshte, di komentet, asgje per te thene ketu).

Pyesni veten, a i besoni partnerit tuaj? Nëse jo, a mund t'i besoni atij (hej) përsëri?

Nëse përgjigjja juaj është "jo", atëherë gjëja më e saktë për të bërë do të ishte t'i jepni fund kësaj marrëdhënieje dhe të mos ndërlikoni jetën e njëri-tjetrit duke humbur kohë, energji dhe burime të tjera të paçmueshme për të gjitha këto, duke e bërë njëri-tjetrin më të pakënaqur.

Qëllimi i një marrëdhënieje është ta bëni njëri-tjetrin më të fortë. Unë fola për këtë në mënyrë më të detajuar në artikullin: "Kuptimi i marrëdhënies midis një burri dhe një gruaje". Nëse nuk është kështu, atëherë marrëdhënia është e pakuptimtë.

Herët a vonë = pa besim të plotë = fundi do të vijë gjithsesi, çiftet ndahen, pra pse të humbim kohë, burimin kryesor në jetën e çdo personi? Pse të vuani, ta bëni njëri-tjetrin më të pakënaqur, ta shtyni këtë moment? Kisha një vajzë tek e cila humba besimin pas shakasë së saj.

Ende nuk e di nëse ishte shaka apo jo (dashuria është verbuese), por më nguliti në tru = shumë, shumë fort, deri në atë pikë sa do të ishte shumë e vështirë për mua të filloja të besoja përsëri hej.

Por. Sidoqoftë, në rastin tim, do të ishte e mundur të përpiqesh të kuptoja gjithçka dhe ta rregulloja atë (por jo saktësisht, jo).

Vetëm ju vetë e dini përgjigjen e pyetjes - nëse mund t'i besoni atij përsëri apo jo, sepse secili rast është individual dhe ne të gjithë, në parim, jemi individë individualë. Kuptoni?

Nëse është padyshim "jo", atëherë ka vetëm një rrugëdalje, thjesht vazhdoni pa torturuar veten dhe partnerin tuaj.

Por, nëse ende keni dyshime, dhe përgjigja juaj, ndoshta, ndoshta etj. = atëherë, për të rinovuar besimin = do të kërkohet puna e përditshme e dëshiruar e të dy partnerëve në këtë drejtim.

Marrëdhëniet janë punë e vazhdueshme mes dy partnerëve. Kjo është punë. Punë. Dhe edhe një herë punë. Ditore. Dhe jo vetëm përsa i përket besimit, por edhe shumë komponentëve të tjerë për të cilët nuk po flasim tani...

Nëse kjo punë nuk ekziston, atëherë, mjerisht, nuk do të ketë marrëdhënie harmonike, integrale, korrekte.

Që të përpiqeni të rifitoni besimin e partnerit, para së gjithash, duhet të uleni dhe të diskutoni gjithçka me partnerin tuaj në mënyrë sa më të detajuar, të gjitha dyshimet, mendimet, frikën, ankesat, etj. ndaj partnerit tuaj në mënyrë të sinqertë dhe të ndershme mënyrë. Sinqeriteti i plotë, liria dhe ndershmëria janë të rëndësishme. Pa këtë asgjë nuk do të funksionojë.

P.S. Besimi është i lidhur ngushtë me ndershmërinë, sinqeritetin dhe integritetin.

Dhe është jashtëzakonisht e rëndësishme ta bëni këtë, dhe të mos e shmangni atë, duke menduar se gjithçka do të kalojë/harrohet. Jo! Sa më gjatë të zvarritet gjithçka, aq më gjatë mbahet gjithçka brenda = aq më shumë "feçe" më pas dalin.

Të gjitha dyshimet, frikërat, pasiguritë, etj duhet t'ia tregoni partnerit tuaj. Tregojini atij (hej) atë që nuk ju pëlqen në marrëdhënien tuaj, tek ajo (ai), tregojini atij se ku ndjeni siklet, pakënaqësi, e kështu me radhë. Ju duhet të diskutoni dhe t'i shprehni absolutisht gjithçka njëri-tjetrit në çdo kohë, gjatë zhvillimit të marrëdhënies tuaj - dhe jo në "pushime" (kur gjërat tashmë kanë vluar).

Në rastin tonë, në lidhje me besimin, ju duhet të hapeni plotësisht dhe t'i shtroni të gjitha. Ndjenjat dhe të gjitha emocionet e tua = pa qenë i turpshëm, pa frikë, pa frenuar ABSOLUTISHT ASGJË!

Të gjitha frikat, veprimet, veprimet, pretendimet, problemet, dëshirat, etj, etj. gjithçka që dëshironi = duhet të diskutohet. Gjithçka nga fillimi në fund në një seancë. Dhe pas gjithë kësaj, ne duhet të krijojmë një plan konkret të veprimit të përbashkët së bashku dhe të fillojmë të punojmë me njëri-tjetrin, së bashku, duke filluar të zhvillojmë besimin, si? => duke hequr qafe të gjitha këto dyshime, frikëra, probleme, pretendime dhe komponentë të tjerë së bashku.

Mësoni t'i besoni njëri-tjetrit, mësoni të pranoni gabimet tuaja, mësoni të merrni fajin (përgjegjësinë), në kuptimin tim, kjo do të thotë që ju duhet të jeni gati të korrigjoni atë që ndodhi për fajin tuaj, të mësoni të falni/kërkoni falje, të pendoheni, mësoni të kërkoni kompromise, mësoni të flisni (komunikuar) me njëri-tjetrin (ku, si, me kë, kur, telefonata/sms, hapje e plotë, akses i plotë), duhet të jeni plotësisht të sinqertë dhe të sinqertë me njëri-tjetrin. E gjithë "kjo" është e juaja = veprime të përbashkëta.

Pse janë të rëndësishme? Sepse kur puna (veprimet, veprimet) zhvillohen në mënyrë të organizuar BASHKË (me njëri-tjetrin) = vendoset edhe raporti (po ajo lidhje) (lidhja krijohet përmes veprimeve të përbashkëta) = që do të thotë vendoset edhe besimi. Raport (komunikim) = besim. Mos harroni këtë si babai ynë.

Dhe sigurisht, mos harroni për shprehjen "durim dhe punë = bluaj". Nëse vërtet të dy dëshironi të jeni me njëri-tjetrin = nëse dëshironi = një marrëdhënie e fortë, e lumtur, harmonike, holistike = atëherë punoni për të = me njëri-tjetrin, së bashku, çdo ditë dhe do të shpërbleheni sipas meritave tuaja. Kjo është e gjitha për mua.

Por gjëja më e mirë është të parandaloni humbjen e besimit në parim, atëherë nuk do t'ju duhet ta zgjidhni problemin. Megjithatë, të gjithë bëjnë gabime, sipas thashethemeve edhe Robots =) tema ishte shumë afër për mua sot...

Urime administrator.

Shërbimet kriptografike CryptoPro përdoren në shumë programe të krijuara nga zhvilluesit rusë. Qëllimi i tyre është të nënshkruajnë dokumente të ndryshme elektronike, të organizojnë PKI dhe të manipulojnë certifikatat. Në këtë artikull do të shikojmë gabimin që shfaqet si rezultat i punës me një certifikatë - "Ndodhi një gabim sistemi gjatë kontrollit të marrëdhënieve të besimit".

Arsyeja e gabimit në CryptoPro

Shfaqja e një mesazhi gabimi të sistemit shpesh shoqërohet me versione kontradiktore të Windows dhe CryptoPro. Përdoruesit priren të njihen shpejt me kërkesat e sistemit të softuerit, vetitë dhe aftësitë e tij. Kjo është arsyeja pse ju duhet të studioni më në detaje udhëzimet dhe forumet vetëm pasi të ketë ndodhur një dështim.

Shpesh vetë softueri instalohet në sistem me gabime. Ka shumë arsye për këtë:

• Probleme në regjistrin e sistemit Windows;
• Hard disku është i mbushur me mbeturina që parandalojnë funksionimin e duhur të programeve të tjera;
• Prania e viruseve në sistem dhe kështu me radhë.

Zgjidhja e gabimit të certifikatës

Një dështim i sistemit ndodhi në produktin e softuerit CryptoPro: "Ndodhi një gabim sistemi gjatë kontrollit të marrëdhënieve të besimit." Le të përpiqemi ta zgjidhim këtë problem. Në disa raste, programi mund të shfaqë një mesazh në ekran nëse sistemi nuk ka përditësimet e duhura. Ju gjithashtu mund të merrni një gabim nëse përdorni versionin 3.6 CryptoPro në sistemin operativ Windows 8.1. Për këtë OS duhet të përdorni versionin 4 ose më të lartë. Por për të instaluar një të ri, duhet të çinstaloni versionin e vjetër.

Të gjitha të dhënat e rëndësishme nga versioni i mëparshëm duhet të kopjohen në media të lëvizshme ose në një dosje të veçantë të Windows.

Pastaj duhet të vizitoni faqen zyrtare të internetit dhe të shkarkoni versionin më të fundit të paketës së shërbimeve, t'i shkarkoni dhe instaloni në kompjuterin tuaj. Shkoni në adresën - https://www.cryptopro.ru/downloads. Kur instaloni, çaktivizoni përkohësisht Firewall-in e Windows dhe programe të tjera ose antiviruse që mund të bllokojnë funksionimin e CryptoPro.

Ju mund të instaloni një produkt të ri duke përdorur llogarinë tuaj personale në faqen e internetit. Për ta bërë këtë ju duhet të identifikoheni dhe të identifikoheni.

1. Pastaj shkoni në llogarinë tuaj personale;
2. Hapni skedën "Menaxhimi i Shërbimit" në krye;
3. Shkoni te seksioni "Vend i automatizuar i punës";
4. Më pas gjeni artikullin "Plugins dhe shtesa" dhe klikoni në një nga versionet e CryptoPro.

Instalimi i një certifikate personale

Tjetra, duhet të instaloni certifikatën në mjetin CryptoPro për të zgjidhur dështimin e certifikatës - pati një dështim gjatë kontrollit të marrëdhënieve të besimit. Drejtoni softuerin si administrator. Mënyra më e mirë për ta bërë këtë është nga menyja Start.

Metoda të tjera për të zgjidhur gabimin kur kontrolloni marrëdhëniet e besimit

Nëse jeni duke përdorur versionin 4 të CryptoPro, por gabimi ende shfaqet, provoni thjesht të riinstaloni programin. Në shumë raste, këto veprime ndihmuan përdoruesit. Është gjithashtu e mundur që hard disku juaj të jetë plot me skedarë të panevojshëm dhe duhet të fshihet. Shërbimet standarde të Windows do të na ndihmojnë me këtë.

1. Hapni Explorer (WIN+E) dhe zgjidhni një nga disqet lokale me RMB;
2. Klikoni në "Properties";
3. Nën imazhin e hapësirës së diskut të përdorur, gjeni dhe klikoni butonin "Pastro";
4. Pastaj do të shfaqet një dritare ku duhet të zgjidhni skedarët që do të fshihen;
5. Ju mund të zgjidhni të gjithë artikujt dhe klikoni "Ok".

Ky udhëzim duhet të ndiqet për të gjithë disqet lokale në kompjuterin tuaj. Më pas, ndiqni udhëzimet e mëposhtme për të kontrolluar skedarët e Windows

1. Hapni menunë Start;
2. Futni "Command Prompt" në shiritin e kërkimit;
3. Zgjidhni këtë rresht me RMB dhe përdorni miun për të treguar "Në emër të administratorit";
4. Futni komandën në këtë dritare për të filluar skanimin "sfc /scannow";
5. Shtypni ENTER.

Prisni që ky proces të përfundojë. Nëse programi gjen probleme me sistemin e skedarëve, do ta shihni këtë në mesazhin përfundimtar. Mbyllni të gjitha dritaret dhe provoni të nisni programin CryptoPro për t'u siguruar që gabimi "Ndodhi një gabim i certifikatës gjatë kontrollit të marrëdhënieve të besimit" është zgjidhur tashmë. Për raste të veçanta, ekziston një numër i mbështetjes teknike të softuerit - 8 800 555 02 75.

Qëllimi i këtij artikulli është të ofrojë udhëzime hap pas hapi për krijimin marrëdhëniet e jashtme të besimit midis dy fushave Windows 2000. Duket se gjithçka e nevojshme për të krijuar një marrëdhënie besimi është atje, ka të drejta, mjetet për krijimin e besimit janë të njohura, por në praktikë udhëzimet e thjeshta nuk funksionojnë gjithmonë. Le të përpiqemi ta kuptojmë së bashku.

Nëse flasim me terma të thatë, e mbajmë mend këtë marrëdhëniet e besueshmeështë një marrëdhënie logjike ndërmjet domeneve që ofron vërtetim nga fundi në fund ku domeni i besuar pranon vërtetimin e kryer në domeni i besuar. Në këtë rast, llogaritë e përdoruesve dhe grupet globale të përcaktuara në domenin e besuar mund të marrin të drejta dhe leje për burimet në domenin e besuesit edhe kur ato llogari nuk ekzistojnë në bazën e të dhënave referuese të domenit të besuar.

Kur është e nevojshme të krijohet besim? Përgjigja e parë është se përdoruesit e një ndërmarrje (një domen në një pyll) duhet të përdorin burime nga një ndërmarrje tjetër (një domen tjetër në një pyll tjetër) ose anasjelltas, atëherë kërkohen marrëdhënie besimi kur migrojnë objektet e sigurisë nga një domen në tjetrin ( për shembull, kur përdorni mjetin ADMT v2 nga Microsoft) dhe në shumë kushte të tjera të punës.

Një besim i jashtëm mund të krijohet për të formuar një besim jokalimtar të njëanshëm ose të dyanshëm (d.m.th., një marrëdhënie në një mjedis me shumë domene të kufizuar në vetëm dy domene) me domene jashtë pyllit. Trustet e jashtme përdoren ndonjëherë kur përdoruesit duhet të aksesojnë burimet e vendosura në një domen të Windows të vendosur brenda një pylli tjetër, siç tregohet në figurë.

Kur vendoset besimi midis një domeni në një pyll të caktuar dhe një domeni jashtë atij pylli, parimet e sigurisë (që mund të jenë një përdorues, grup ose kompjuter) në domenin e jashtëm mund të kenë akses në burimet në domenin e brendshëm. krijon një "objekt kryesor të sigurisë së jashtme" në domenin e brendshëm për të përfaqësuar çdo kryesor sigurie nga domeni i jashtëm i besuar. Këto parime të jashtme të sigurisë mund të bëhen anëtarë të grupeve lokale të domenit në domenin e brendshëm të besuar. Grupet lokale të domenit (zakonisht përdoren për të caktuar leje burimeve) mund të përfshijnë parime sigurie nga domenet jashtë pyllit.

Pasi të kemi përcaktuar konceptet, le të vazhdojmë me krijimin e marrëdhënieve të jashtme të besimit njëkahëshe nga domeni D01 në domenin D04.

Konfigurimi i sistemeve:

Në mënyrë tipike, të dy domenet vendosen në rrjete të ndryshme dhe komunikimi ndërmjet tyre kryhet përmes portave. Ndonjëherë, për këto qëllime, një kartë e dytë e rrjetit u shtohet kontrolluesve të domenit, duke krijuar një lidhje me rrjetet e jashtme nëpërmjet tyre. Në këtë shembull, unë përdora rastin më të thjeshtë ku të dy domenet ndodhen në të njëjtin nënrrjet. Në këtë rast, është e mundur të krijohen marrëdhënie besimi thjesht duke specifikuar emrat e domeneve NETBIOS dhe llogaritjet e specifikuara janë të panevojshme, megjithatë, pasi struktura e rrjetit bëhet më komplekse (nënrrjete të ndryshme të domenit, komunikimi përmes portave dhe rrjeteve private virtuale), besimi nuk mund të jetë konfigurohet kaq lehtë. Pastaj duhet të zbatoni cilësimet shtesë të rrjetit të dhëna më poshtë.

Le të hartojmë një plan veprimi për të krijuar marrëdhënie besimi:

• kontrollimi i lidhjeve midis dy serverëve
• duke kontrolluar cilësimet e çdo domeni
• vendosja e rezolucionit të emrit për domenet e jashtme
• duke krijuar një lidhje nga ana e domenit të besuar
• duke krijuar një lidhje nga një domen i besuar
• verifikimi i marrëdhënieve të vendosura njëkahëshe
• krijimi i besimit të dyanshëm (nëse është e nevojshme)

Gjithçka nuk është aq e komplikuar sa mund të duket. Pikat kyçe në këtë listë janë tre pikat e para, zbatimi i saktë i të cilave ndikon drejtpërdrejt në rezultatin përfundimtar. Gjithashtu vërej se të gjitha veprimet kryhen në emër të llogarive të administratorit të domeneve përkatëse, të cilët kanë të gjitha të drejtat e nevojshme për këtë.

Le të fillojmë.

Gjëja e parë që duhet të bëni është të bëni kopje rezervë të gjendjes së sistemit tuaj të gjithë kontrolluesit e domenit në të dy domenet (dhe drejtoritë e sistemit gjithashtu).

Dhe vetëm atëherë filloni të bëni ndryshime. Pra, sigurohuni që komunikimi të mund të vendoset midis dy serverëve:

• Nga serveri Server01, ne do të sigurohemi që ai të jetë i aksesueshëm nga serveri Server04 (192.168.1.4)
  Është e rëndësishme të krijoni lidhje me adresën IP për të shmangur gabimet që lidhen me zgjidhjen e emrit.
  Në vijën e komandës futemi: ping 192.168.1.4
  Duhet të marrë përgjigje nga adresa e largët. Nëse përgjigja është jo, analizoni infrastrukturën e rrjetit tuaj dhe zgjidhni problemet.

• Nga serveri Server04, ne do të sigurohemi që ai të jetë i aksesueshëm nga serveri Server01 (192.168.1.1)
  Në vijën e komandës futemi: ping 192.168.1.1
  Duhet të marrë përgjigje nga adresa e serverit në distancë Server01.

Nëse gjithçka është në rregull, kaloni në hapin tjetër, duke kontrolluar cilësimet e domenit.

Nga të gjitha cilësimet, ne do të kontrollojmë vetëm konfigurimin e zonës kryesore DNS që mbështet çdo domen të Active Directory. Sepse janë të dhënat nga kjo zonë që përmbajnë të dhënat e burimeve të domenit dhe ju lejojnë të përcaktoni vendndodhjen dhe adresat e shërbimeve përkatëse të domenit.

Le të ekzekutojmë komanda në çdo server ipconfig.exe /të gjitha Dhe nslookup.exe(ekrani 1 dhe 2).

Ipconfig shfaq konfigurimin e protokollit TCP/IP – adresat IP, adresat e portës dhe serverët DNS për kontrolluesin. Nëse infrastruktura DNS është konfiguruar saktë, nslookup shfaq një listë të adresave IP të kontrolluesit të domenit kur kërkon emrin DNS të domenit lokal. Nëse nuk është e mundur të merren adresat e kontrolluesit për domenin lokal, kontrolloni konfigurimin primar të serverit DNS dhe përmbajtjen e zonës së kërkimit përpara të serverit DNS (Figura 3).

Ju lutemi vini re se sistemi nuk ka asnjë informacion për domenin e jashtëm (mesazh gabimi kur përpiqeni të zgjidhni me emrin e një domeni të largët - ekranet 1 dhe 2), dhe për këtë arsye kërkimi i kontrolluesve për të vendosur komunikim me domenet e jashtme do të jetë jashtëzakonisht i vështirë . Në këtë situatë, përpjekja për të krijuar një lidhje me një domen të besuar do të rezultojë në një mesazh gabimi (Figura 4).

Tani le të fillojmë të zgjidhim këtë situatë. Le të konfigurojmë rezolucionin e emrit DNS për domenet e jashtme në secilin server.

Çfarë duhet bërë? Ne duhet të arrijmë zgjidhjen e emrit dhe të marrim rekorde burimesh për domenin e jashtëm. E gjithë kjo është e mundur duke konfiguruar serverin lokal që të jetë në gjendje të hyjë në një zonë DNS që mbështet domenin e jashtëm dhe është në gjendje të zgjidhë pyetjet e kërkuara. Do të doja të vëreja menjëherë se një përpjekje për të zgjidhur këtë problem duke shtuar thjesht adresën IP të një serveri të jashtëm DNS si një alternativë në cilësimet TCP/IP është e dënuar të dështojë. Le të marrim hapat e duhur për këtë situatë.

Në serverin lokal DNS në çdo domen, ne do të krijojmë një zonë shtesë që përmban një kopje të zonës kryesore DNS të domenit të jashtëm. Si rezultat, ky server mund të kthejë përgjigje nga të dy pyetjet në lidhje me domenin lokal dhe regjistrimet nga zona shtesë për një domen të jashtëm.

Unë do të jap një shembull të krijimit të një zone shtesë për serverin Server01; në Server04 sekuenca e veprimeve është e ngjashme.

Le të ndryshojmë parametrat e transferimeve të zonës kryesore DNS në serverin e largët.

Në (Server04), hapni dritaren snap-in DNS (përmes menysë Start, më pas Programet dhe Mjetet Administrative).

Klikoni me të djathtën në zonën DNS dhe zgjidhni Properties.

Në skedën "Transferimet e zonës", zgjidhni kutinë "Lejo transferimet e zonës".

Lejoni transferimet e zonave vetëm në serverë të caktuar DNS dhe zgjidhni opsionin vetëm për serverët nga kjo listë dhe më pas specifikoni adresat IP të serverëve DNS të domenit të parë (në rastin tonë kjo do të jetë ekrani 5 IP Server01 - 192.168.1.1).

Në këtë rast, një cilësim më i thjeshtë është i mundur, duke lejuar transferime në çdo server, por kjo çon në një ulje të sigurisë. Përveç kësaj, për shembull, është shumë më efikase të vendosni këtë adresë IP në listën e serverëve të emrave për zonën aktuale.

• Le të aktivizojmë njoftimet për zona shtesë në serverë të tjerë DNS

Klikoni butonin Njoftoni në skedën Transferet e Zonës.

Sigurohuni që të jetë zgjedhur kutia "Njoftimi automatik".

Zgjidhni opsionin Vetëm serverë të specifikuar dhe shtoni adresat IP të serverëve në listën e kërkuar të njoftimeve.

Për ta bërë këtë, në listën e njoftimeve, futni adresën IP të serverit nga paragrafi i mëparshëm (192.168.1.1) në fushën e adresës IP dhe klikoni butonin Shto (ekrani 6).

• Le të krijojmë një zonë DNS shtesë në serverin lokal.

Në (Server01), hapni dritaren DNS.

Në pemën e konsolës, kliko me të djathtën në serverin DNS dhe zgjidh New Zone për të hapur magjistarin e zonës së re (Figura 7).

Zgjidhni llojin e zonës Shtesë, vendosni emrin e saj (D04. lokal) dhe adresën IP të serverit kryesor (IP 192.168.1.4) në fushën e adresës IP dhe klikoni butonin Shto.

Pasi të krijohet zona, do të duhet pak kohë për të marrë të dhëna nga serveri primar (në këtë pikë zonat kryesore duhet të duken si Figura 8).

• Le të kontrollojmë konfigurimin e ri të serverit DNS.

Në (Server01) hapni një dritare të vijës së komandës, ekzekutoni komandën nslookup.exe dhe shkruani një pyetje për emrin DNS të domenit të jashtëm D04. lokale – dhe rezultati i adresave IP të kontrolluesve të këtij domeni (ekrani 9).

Kjo është ajo që ne donim - tani, kur krijoni një marrëdhënie besimi, domeni aktual do të jetë në gjendje të përcaktojë adresat e nevojshme të shërbimit të domenit të jashtëm.

Sigurisht, llogaritjet e mësipërme mund të zbatohen në domene me cilësime të paracaktuara. Nëse rrjeti juaj ka cilësime të veçanta DNS, duhet t'i ndryshoni këta artikuj për t'iu përshtatur kërkesave tuaja.

Tani është e nevojshme të përsëriten hapat e mëparshëm në një kontrollues tjetër në një domen të besuar (Server04) në mënyrë që ky kontrollues të mund të marrë gjithashtu rezolucione emri dhe të marrë një listë shërbimesh për domenin e parë (Ekrani 10).

Pasi të dy emrat e domeneve të mund të zgjidhen përmes serverit DNS, ne mund të vazhdojmë me procedurën standarde të krijimit të një marrëdhënieje besimi të drejtpërdrejtë të jashtme njëkahëshe.

• Le të krijojmë një lidhje nga ana e domenit të besuar (d01. lokale)

Në kontrolluesin (Server01), hapni skedarin "Active Directory - Domains and Trusts" (përmes menysë Start, më pas Programet dhe Mjetet Administrative).

Në pemën e konsolës, kliko me të djathtën në nyjen e domenit që dëshironi të menaxhoni (D01.local) dhe zgjidhni Properties (Figura 11).

Zgjidhni skedën Trusts.

Zgjidhni Domenet që i beson këtij domeni dhe më pas klikoni Shto.

Futni emrin e plotë DNS të domenit, d.m.th. D04. lokale (për një domen Windows NT, vetëm emri - ekrani 12).

Futni fjalëkalimin tuaj (për shembull, 12 W#$r) për një marrëdhënie të caktuar besimi. Fjalëkalimi duhet të jetë i vlefshëm në të dy domenet: domenin kryesor dhe domenin e besuar. Vetë fjalëkalimi përdoret vetëm për kohëzgjatjen e krijimit të një marrëdhënie besimi; pasi të vendoset, fjalëkalimi do të fshihet.

Për më tepër, duke qenë se po krijojmë vetëm një nga dy lidhjet e nevojshme, është e pamundur të kontrollohet menjëherë marrëdhënia e besimit (ekrani 13). Ju duhet të krijoni një reagim të ngjashëm, por nga domeni i besuar.

Ndërsa jeni në këtë modalitet, mund të shikoni vetitë e lidhjes dalëse të krijuar (ekrani 14).

Le ta përsërisim këtë procedurë për domenin që përbën pjesën tjetër të marrëdhënies së besimit të drejtpërdrejtë.

Le të krijojmë një lidhje nga ana e domenit të besuar (d04. lokal)

Në kontrolluesin (Server04), hapni snap-in e Active Directory Domains and Trusts.

Në pemën e konsolës, klikoni me të djathtën në nyjen e domenit që dëshironi të menaxhoni (D04.local) dhe zgjidhni "Properties".

Zgjidhni skedën Trusts (Ekrani 15).

Zgjidhni Domenet që i besojnë këtij domeni dhe më pas klikoni Shto.

Futni emrin e plotë të domenit DNS - D01. lokal.

Futni fjalëkalimin për këtë besim që specifikuat më parë (12 W#$ r - ekrani 16).

Sepse Nëse kemi konfiguruar marrëdhënien e kundërt për marrëdhënien tonë të besimit, duhet të testojmë marrëdhënien e re (Ekrani 17).

Për ta bërë këtë, duhet të specifikoni një llogari përdoruesi që ka të drejtë të ndryshojë marrëdhëniet e besimit nga domeni i kundërt D01. lokale, ato janë rekordi i Administratorit të Domenit d01 (Ekrani 18).

Nëse kredencialet janë të sakta, marrëdhënia kontrollohet dhe besimi krijohet (Figura 19).

Tani le të shohim se si të kontrollojmë marrëdhëniet e jashtme të besimit. Për shembull, le të kontrollojmë marrëdhënien nga domeni i besuar (D01.local)

Për të testuar marrëdhënien e besimit:

Hapni Domenet dhe Trustet e Active Directory.

Në pemën e konsolës, kliko me të djathtën në domenin që merr pjesë në besimin që dëshiron të verifikosh (D01.local) dhe më pas kliko Properties.

Zgjidhni skedën Trusts.

Në listën Domains Trusted by This Domain, zgjidhni marrëdhënien e besimit që dëshironi të kontrolloni (D04. lokale) dhe klikoni Edit (Ekrani 20).

Klikoni butonin Kontrollo.

Në kutinë e dialogut që shfaqet, duhet të futni kredencialet e përdoruesit që ka të drejtë të ndryshojë marrëdhënien e besimit, domethënë rekordin e Administratorit të Domenit të Jashtëm d04 dhe fjalëkalimin e tij (ekrani 21).

Ashtu si më parë, nëse të dhënat e regjistrimit janë të sakta dhe lidhja është funksionale, shfaqet një mesazh konfirmimi (ekrani 22).

Në rast gabimesh, kontrolloni strukturën e rrjetit tuaj (cilësimet e portave, muret e zjarrit, ruterat, nënrrjetat e domenit të ndarë), cilësimet e infrastrukturës DNS, funksionalitetin e lidhjeve fizike midis kontrolluesve të domenit, si dhe gabimet e mundshme brenda domeneve të Active Directory (duke analizuar regjistrat e ngjarjeve në kontrolluesit e domenit).

Pasi të jetë krijuar besimi nga një domen i besuar, tani është e mundur të shikohen burimet në domenin e besuar duke përdorur vërtetimin e përdoruesve të vërtetuar (ata anëtarë të grupit special të grupit ALL).

Le të sigurohemi që mund të përdorim objektet kryesore të sigurisë nga domeni i besuar në domenin e besuar (llogari nga domeni lokal D04.). Për ta bërë këtë, ne do të krijojmë një burim të përbashkët në domenin D01 dhe do të ofrojmë akses në të për grupin global "Përdoruesit e domenit" nga domeni i besuar D04.

Krijo D01 në domen. dosje e përbashkët lokale në kontrolluesin e domenit Server01.

Kështu, nga domeni i besuar D04 ne fituam akses në një burim në domenin e besimit D01, që është ajo që na duhej.

Nëse është e nevojshme, është e mundur të konfiguroni marrëdhëniet e besimit në drejtim të kundërt, nga domeni D04 në D01. Kjo do të thotë, domeni D04 do të bëhet domeni i besueshëm. lokale, dhe domeni i besuar do të jetë tashmë D01. lokal.