Подарки и советы

Множество идей оригинальных и приятных подарков по любому событию и на все случаи жизни

Программы. Железо. Интернет. Полезно знать. Windows

Восстанавливаем доверительные отношения в домене. Восстановление доверительных отношений в домене Как установить доверительные отношения

Рано или поздно, но администраторам доменной сети на базе продуктов Microsoft приходится сталкиваться с двумя похожими ошибками: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией» . Помимо данных сообщений также наблюдается невозможность зайти в компьютер под доменными учетными записями.

Разберем причины появления ошибок и методы их лечения.

В доменных сетях Windows всем компьютерам и учетным записям пользователей присваиваются свои идентификаторы безопасности (SID). В сущности, можно сказать, что каждый компьютер в домене также обладает своей учетной записью типа «компьютер». По аналогии с учетной записью пользователя, такая учетная запись тоже будет иметь пароль. Данный пароль создается и предъявляется компьютером контроллеру домена автоматически. Таким образом между рабочими станциями и контроллером домена и формируются те доверительные отношения, о которых упоминается в тексте ошибок.

Каждые 30 дней или при первом включении после длительного перерыва компьютер автоматически изменяет свой пароль. В теории всё красиво, и машина вроде бы не может ошибиться и «ввести» неправильный пароль. Однако иногда такое происходит по нескольким причинам.


Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Самой распространенной причиной является откат операционной системы Windows на более ранее состояние. Естественно, чем раньше была создана точка восстановления, тем больше вероятность появления ошибки. В данном случае после восстановления компьютер примется предъявлять контроллеру домена устаревший пароль, а контроллер уже содержит новый.

Ошибка может возникнуть и в случае нахождения в домене двух станций с одинаковыми именами. Такая ситуация может возникнуть, например, если дать новому компьютеру имя выведенной из эксплуатации машины, а затем снова включить старый компьютер, забыв его переименовать.

С возможными причинами разобрались. Теперь о решении проблемы. Способов несколько, но все они так или иначе заключаются в переустановке учетной записи компьютера или сбросе его пароля.

Первый способ заключается в переустановке учетной записи в .

После этого необходимо зайти на компьютер под локальным администратором и вывести рабочую станцию из домена в рабочую группу (компьютер → свойства → дополнительные параметры системы → имя компьютера → изменить).

Вторым способом является сброс пароля через . Оговоримся однако, что нам потребуется PowerShell версии 3.0 и выше. Также заходим на компьютер локальным администратором и вводим следующий командлет:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

В данном случае -Server это имя контроллера домена, а -Credential это учетная запись администратора домена.

Командлет не выведет никаких сообщений в случае своего успешного завершения. Данный способ привлекателен тем, что перезагрузка не требуется — достаточно сменить пользователя и войти в машину под доменной учетной записью.

Третий способ сброса пароля компьютера заключается в использовании утилиты Netdom , которая появилась в серверных ОС Microsoft начиная с Windows Server 2008. В клиентских операционных системах её можно добавить с помощью пакета RSAT (Средства удаленного администрирования сервера).

Как и в предыдущих способах, этот тоже выполняется из-под локального администратора. Введите в командной строке:

Netdom resetpwd /Server:DomainController /UserD:Admin /PasswordD:Password /SecurePasswordPrompt

Принцип схож с тем, что мы видели в примере с PowerShell. /Server это контроллер домена, /UserD — учетная запись администратора домена, /PasswordD — пароль от учетной записи администратора домена. Вы также можете использовать параметр /SecurePasswordPrompt , чтобы скрыть пароль за звездочками. Перезагрузка также не требуется.

Способ четвертый и последний в нашей статье заключается в использовании утилиты Nltest , которая по умолчанию есть на любой рабочей станции.

Запустим утилиту в командной строке и для начала проверим безопасное соединение с доменом:

Nltest /query

Затем сбросим учетную запись компьютера в домене:

Nltest /sc_reset:Domain

И, наконец, сбросим пароль компьютера:

Nltest /sc_change_pwd:Domain

К сожалению, у такой прекрасной утилиты есть свои минусы. В первую очередь, утилита не спрашивает логин/пароль администратора домена и, соответственно, исполняется из-под запустившего его пользователя, что может привести к ошибке доступа.

Есть и еще одна ошибка, связанная с доверительными отношениями внутри домена и вынесенная в начало этой статьи. Выглядит она следующим образом:

В данном случае нам опять же поможет утилита Nltest . Снова проверяем безопасное соединение с доменом:

Nltest /query

Если появится сообщение об ошибке, то для исправления ошибки достаточно установить этот патч . Если же статус подключения будет NERR_Success , то выполняем следующие действия:

netdom reset /d:Domain ComputerName netdom reset /d:Domain ComputerName /server:DomainController /uo:Admin /po:Password

Во втором случае мы явно указываем контроллер домена, с которым хотим установить доверительные отношения.

Утилита порадует нас сообщением о том, что безопасный канал был сброшен и новое соединение установлено.

Итак, вот несколько способов восстановить доверительные отношения в домене. Надеюсь, что применять их вам придется как можно реже. 🙂

Данная тема возникло в связи с тем что пользователь edgi задал вопрос по поводу создания транзитивных отношений между двумя лесами и привел еще ссылку с форума http://sysadmins.ru/topic178164.html где пользователи спорят насчет того что нельзя устанавливать доверительные отношения между двумя лесами так как якобы нужен третий лес что бы обеспечить транзитивность ну и так далее....

Сразу хочу сказать что для того что бы сознать транзитивные доверительные отношения нам не нужен обязательно третий участник что бы обеспечить доверительные транзитивные отношения.

Но давайте рассмотрим процесс установки доверительных отношений между лесами.

Примечание : Не забывайте что первый созданный домен есть и корневой домен и дерево и лес . То есть первый созданный домен в нашей сети по умолчанию нужно рассматривать и как корневой домен, и как лес и как дерево (три в одном стакане...простите флаконе)

Мы для простоты расположим данные корневые домены в одну и ту же сеть, так как если бы они располагались в разных сетях нам нужно было (и так и делается если необходимо) что бы эти домены (вернее DNS этих доменов, и отсюда естественно и контроллеры доменов) каким либо образом друг друга виделись. Если DNS сервера расположены в разных сетях нужно позаботится о том что бы каким либо образом сделать так что бы эти сети видели друг друга (как это сделать это отдельный разговор и пока мы здесь его не будем рассматривать).

Почему так важно что бы DNS службы этих доменов видели друг друга? А потому что в основе Windows Server нахождение (распознавание) контролеров домена происходит с помощью DNS службы. То есть если служба DNS в каком либо домене настроена неверно, то и нахождение данного контролера домена или контроллеров доменов (если их много) будет невозможно. То есть если сказать просто - контроллеры домена видят друг друга с помощью службы DNS . Думаю позже я опишу в отдельной статье процесс нахождения контролеров домена, а пока просто запомните что контроллеры домена "слепы" (ничего не видят в сети) без правильно настроенной службы DNS.

Как говорилось уже - доверительные отношения выступают в качестве связывающего звена между лесами, деревьями, доменами. Для администрирования доверительными отношениями используется оснастка Active Directory - домены и доверие, смотрите рисунок 1.



Рисунок 1.

Но перед тем как создать доверительные отношения опишем что мы имеем. Итак у нас два корневых домена и соответственно и леса и дерева, а именно rk.com и xu.com предположим что они принадлежат одной фирме и расположены в одной сети. IP адрес первого контролера домена с установленной интегрированной службой DNS с Active Directory (кто не помнит что это смотрите здесь) будет 192.168.0.1 (rk.com), а второго корневого домена леса 192.168.0.5 (xu.com). То есть служба DNS установлена и на первом и на втором контролере домена. (Как установить и настроить DNS найдете на сайте в других статьях)

Первое в чем мы должны убедится перед тем как приступить к созданию доверительных отношений это в том что корневые домены в обеих лесах видят друг друга через DNS. Для этого мы воспользуемся известной утилитой nslookup из корневого домена леса rk.com и посмотрим что она нам выдаст. Смотрите рисунок 2.



Рисунок 2.

На рисунке 2 (блин... наверно нужно писать не рисунок а фигуре, но простите великодушно...) видно что мы в командной строке набрали команду nslookup с параметром xu.com (соседнего леса) и она нам его выдала, что в принципе говорит о том что служба DNS работает и службы DNS видят друг друга. То же самое можно проделать и из корневого домена xu.com смотрите рисунок 3.



Рисунок 3.

Для того что бы настроить пересылку мы заходим в оснастку DNS контроллера домена что расположен на компе под именем server1, становимся на него, правой кнопкой мыши открываем контекстное меню, в контекстном меню выбираем свойства и кликаем на нем. Открывается окно показанное на рисунке 4 и выбираем вкладку "Пересылка".



Рисунок 4.

На этой вкладке нажимаем кнопку "Создать" и пишем имя домена куда мы хотим сделать пересылку. В нашем случае это корневой домен леса xu.com. Тут же на вкладке, чуть ниже в поле "Список IP - серверов пересылки для выбранного домена" - добавляем его IP адрес. В нашем примере это 192.168.0.5.

Ту же самое можно проделать на сервере контроллера домена xu.com...процесс абсолютно аналогичен только нужно писать другой домен и другой адрес. В нашем случае это домен rk.com и его IP - 192.168.0.1.

Итак после того как разобрались с DNS серверами и убедились что они видят друг друга переходим к созданию доверительных отношений и переходим к оснастке "Домены и доверие" показанное на рисунке1.

Далее если мы хотим что бы эти два леса (rk.com и xu.com) были соединены с друг другом посредством транзитивных доверительных отношений то нам необходимо установить режим функционирования леса на уровень "Windows Server 2003" (о режимах функционирования леса и домена смотри здесь). Поэтому мы в оснастке "Домены и доверие" становимся на верхнюю надпись "Active Directory - домены и доверие" и открываем правой кнопкой контекстное меню, смотрите рисунок 5.



Рисунок 5.

В контекстном меню выбираем пункт "Изменение режима работы леса... " и щелкаем по нему. Откроется окно с возможными режимами работы леса. Выберите режим работы "Windows Server 2003". Я не могу показать это окно с выбором режима работы так как у мена уже лес переведен в режим работы "Windows Server 2003", а перевод с этого режима функционирования на более низкие режимы функционирования леса невозможно, смотрите рисунок 6. То есть при выборе режима функционирования леса хорошо подумайте, так как перевести в другой режим работы леса просто невозможно....



Рисунок 6.

После того как повысили режим работы леса до максимально возможного а именно до "Windows Server 2003", в познавательных целях повысим и режим работы домена до уровня "Windows Server 2003". Для этого становимся на корневой домен и открываем контекстное меню, смотрите рисунок 7.



Рисунок 7.

Те же самые операции, то есть повышаем уровень леса и домена и на контроллере корневого домена xu.com.

Когда мы убедились что у нас леса (rk.com and xu.com)и домены работают в функциональном режиме "Windows Server 2003", приступаем к созданию транзитивных доверительных отношений между лесами.

Внимание! Если бы хоть один из лесов доменов находится на функциональном уровне "Windows 2000", то леса доменов могут быть соединены только внешними доверительными отношениями.

В оснастке "Домены и доверие" становимся на имени корневого домена, в нашем случае это rk.com и открываем контекстное меню правой клавишей мыши. Откроется окно показанное не рисунке 8. переходим на вкладку "Доверия".


Рисунок 8.

На данной вкладке нажимаем клавишу "Создать доверие". После того как нажали на данную клавишу открывается "Мастер создания отношений доверия", смотрите рисунок 9.



Рисунок 9.



Рисунок 10.

В поле "Имя", пишем имя домена с которым мы хотим создать доверительные отношения, в нашем примере это корневой домен леса xu.com....Давим клаву не - Далее....

Открывается окно с предложениями о выборе типа доверия, смотрите рисунок 11.



Здравствуйте Уважаемые читатели Хабрахабра! В просторах интернета каждый из нас может найти много отдельных статей о не прохождении аутентификации компьютера через домен-контроллер, если точнее сказать, компьютер подключенный к домену теряет связь с ним.

Итак, приступим к изучению этой проблемы.

У многих IT – инженеров, которые работают в больших и малых компаниях, имеются компьютеры с операционной системой Windows 7, 8.1 и т.п. и все эти компьютеры подключены к доменной сети (DC).

Данная проблема происходит из-за того, что сетевой протокол Kerberos не может синхронизироваться и пройти аутентификацию с компьютером (The trust relationship between this workstation and the primary domain failed), который подключен к домену. Тогда мы можем увидеть такую ошибку (см. фото ниже).

После чего мы ищем стороннюю программу, скачиваем ее, создаем загрузочную флешку и локального админа, далее логируемся через него и выходим с домена, добавляем компьютер в Workgroup-у и потом обратно подключаем этот компьютер к домену.

Используя Windows Batch scripting, я хочу создать bat file и автоматизировать процесс создания и добавления локального админа. Единственное, что нам будет необходимо, так это после создания данного файла запустить его.

Открываем наш текстовой редактор, вписываем команду, которая показана внизу.

Net user admin Ww123456 /add /active:yes WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE net localgroup Administrators admin /add net localgroup Users admin /delete netsh advfirewall set allprofiles state off
Пройдем все команды по пунктам для устранения неясных моментов.

Net user admin (вместо слова админ Вы можете добавить любое имя, которое Вас устраивает, по умолчанию ставится administrator, в моем случае это admin).
Далее мы видем пароль, который я там поставил Ww123456(Вы можете поставить любой запоминающийся для Вас пароль).

После мы видем /add /active:yes –добавить и активировать: ДА

WMIC USERACCOUNT WHERE «Name="admin"» SET PasswordExpires=FALSE – данная команда означает, что админ, который добавляется, имел постоянный пароль без срока действия (см. картинку ниже).

Третий и четвертый пункт связаны между собой тем, что по умолчанию, когда создается локальный админ в пункте Member Of стоит Users (см. фото). Нам он не нужен (Users), потому что мы создаем полноправного администратора для нашей ОС. Поэтому четвертая команда - net localgroup Users admin /delete – удаляет Users, а предыдущая команда - net localgroup Administrators admin /add, добавляет администратора (см. фото).

Последняя команда- netsh advfirewall set allprofiles state off, отключает брандмаузер Windows-a.
Иногда, чтобы установить какую-либо программу или дать какую-либо команду в Windows-e необходимо отключить firewall (После запуска скрипта Вы можете ввести команду- netsh advfirewall set allprofiles state on и включить его заново. У меня по умолчанию стоит off, так как я использую сторонний брандмаузер. Данный момент на усмотрение каждого лично).

Далее идем к нашему блокноту, нажимаем File, save as… (сохранить как...) вводим имя нашего скрипта(в моем случае: localadmin).Затем ставим точку (.) и пишем формат скрипта bat. Выбираем место, где сохранить данную запись и нажимаем save. Более детально показано на картинке.

Получается вот такой скрипт (см. фото).

Данный скрипт при запуске необходимо открывать от имени администратора:

Нажимаем правую кнопку мыши и Run as administrator (см. фото).

После запуска скрипта у Вас должно появиться вот такое окошко (см. фото).

Если по каким-либо причинам выйдет ошибка, то в 90% таких случаев это связано с тем, что у Вас образ с которого Вы установили Windows, имеет нелицензионный характер, какие-либо repack или т.п. Скачивайте и используйте лицензионный и проверенный софт.

После удачного добавления локального админа, Вы можете этот скрипт запустить на всех рабочих машинах в Вашем офисе, в которых установлена ОС Windows.

Если у Вас когда-нибудь появится такая ошибка: The trust relationship between this workstation and the primary domain failed- Вам нужно будет только сделать switch user и где логин написать.\admin (запомните! В начале до слеша ставится точка!), далее внизу вводите пароль, который Вы добавили в Ваш скрипт (в моем случае: Ww123456). После этого Вы заходите на рабочую ОС.

Осталось снять наш компьютер с домена и добавить в Workgroup-у. Вместо Workgroup-а вписываем любую букву (см. фото).

Далее вводится пароль администратора домена и компьютер просит нас о перезагрузке.
После перезагрузки ещё раз заходим под нашим локальным админом и дальше уже добавляем компьютер к нашему домену. Система в очередной раз требует перезагрузиться и Вуаля! Наш User опять может подключиться к домену без всяких проблем!

P.S – Данная система работает также для серверной части Windows, однако если Вы будете писать такой скрипт для серверов после отключения брандмаузера необходимо будет включить его еще раз (до - netsh advfirewall set allprofiles state off, после netsh advfirewall set allprofiles state on).

Благодарю за внимание!

Добрый день. Елена, первое, что я у вас прочитала это - Жизнь без истерик… Это все еще актуально. Детские истерики и как взрослым не выйти из себя. Т.е. все что касается воспитания - как не упустить момент, что будет уже поздно что-то исправить. Уже кажется, что поздно (дочери 3,7)… Как сделать так чтобы были доверительные отношения с малышом. Анна

Анна, на самом деле нет единых рецептов и четких алгоритмов по воспитанию детей. Все очень индивидуально, все семьи разные, и детки тоже разные: отличаются условия развития, отличаются характеры и темпераменты и т.д. Но существуют определенные общие принципы, которых нужно придерживаться всегда. Эти принципы помогают установить теплые дружеские отношения со своим ребенком. Ну а если в семье есть взаимопонимание, то и истерик будет меньше. Все эти принципы можно применять с самого и вплоть до совершеннолетия.

Безусловная любовь и принятие ребенка

Я не устаю это повторять и писать об этом. Ведь это основа всех добрых и счастливых отношений с любым малышом. Принимая своего ребенка, Вы признаете все его достоинства, способности, таланты и интересы, а также признаете его особенности и недостатки. Родители, которые стремятся любить и принимать ребенка таким, какой он есть, помогают ему развивать сильные стороны, а не пытаются переделать ребенка, «вылепить» из него свой идеал. Всегда можно и нужно интересоваться своим ребенком. Узнавать, что ему хочется, что нравится, что для него ценно на данном жизненном этапе. Помогите своему ребенку найти себя, подчеркнув и развив сильные стороны его характера.


Последовательность и систематичность в воспитании

Если Вы хотите избавиться от плохого поведения ребенка, хотите, чтобы он слушался и выполнял Ваши просьбы, если Вы хотите получить конкретный результат – будьте последовательны, работайте над этим систематически. Родители – это образцы для подражания. С самого рождения и вплоть до школьного возраста, родители являются самым главным источником познания окружающего мира. В период с 3 до 5 лет ребенок в точности копирует поведение родителей. Самое важное и самое глубинное закладывается в раннем детстве в семье.

Не хотите, чтобы Ваш ребенок закатывал истерики – сохраняйте спокойствие и нейтралитет. Хотите вырастить дружелюбного человека – забудьте про свои собственные агрессивные чувства. Никогда не требуйте от малыша того, чего сами не делаете.

Умение слышать и слушать собственное чадо

Разговаривайте с ребенком. Будьте ему другом. Спрашивайте его мнение. Ребенок, который видит рядом понимающих родителей, сам будет спешить рассказать о себе больше, а Вы сможете лучше его понять. Уважайте чувства и переживания крохи, какими бы нелепыми, абсурдными и глупыми они Вам ни казались. Любое общение будет эффективным, если оно построено на основе договора. Договариваясь, Вы обозначаете свои интересы и уточняете интересы ребенка. Благодаря этому, Вы вместе сможете найти выход из затруднительных ситуаций. И чем старше ребенок, тем больше ответственности нужно предоставлять ему за формулирование договора. В идеальном случае ребенок сам должен предлагать решения и нести ответственность за сделанный выбор.

Осознание своих воспитательных действий

Вы как родитель должны постоянно задавать себе следующие вопросы: «Что я сейчас делаю?», «Зачем я это делаю?», «Что я при этом чувствую?». Обратите внимание на то, какие требования Вы выдвигаете своему ребенку, а также на свое поведение при выдвижении этих требований. Ребенку обязательно нужны правила, рамки и границы. Ему нужен ориентир, по которому он должен действовать. Главное правило для родителей: «Все требования должны быть разумными и обоснованными».

Если запретов слишком много и все они принципиальны, то родители рискуют получить следующие варианты развития событий:

  • Ребенок будет безынициативным, т.к. он будет бояться сделать что-то не так.
  • Ребенок вообще перестанет слушаться и, что называется «потеряет страх», будет делать все, что ему захочется.

Чтобы контролировать собственные эмоции, родители должны проговаривать их вслух, чтобы ребенок был в курсе того, что Вам неприятно его поведение. Все проблемные ситуации должны решаться с «холодной» головой.

Постоянно развивайтесь сами

Вспомните, что когда малыш родился, Вам нужно было вспоминать стихи и потешки, заново учиться разговаривать, петь, рисовать, танцевать. Когда он пойдет в школу, Вам нужно будет вспоминать школьную программу, изучать информацию о различных секциях и кружках и т.д.

По мере взросления ребенка радуйтесь вместе с ним его успехам, вместе ищите выход из затруднительных ситуаций, ищите общие интересы, и тогда Ваш ребенок вырастет успешным, понимающим и чутким человеком.

Я неоднократно слышала мнение, что мужчины – очень ранимые существа. Поэтому не следует травмировать их рассказами о жизненных неурядицах. Лучше использовать в качестве жилетки подругу, в крайнем случае, рассказать о проблемах маме.

Однажды я разговаривала с подругой Викой. Мне запомнились пару фраз. Моя: «Муж, самый близкий мне человек, и так поступает!» И ответ мудрой Виктории: «Линда, ты уверена, что он близок тебе? Судя по его поведению, вы с ним – вообще два чужих человека, хоть и проживаете на одной территории».

Картина семейной жизни

Насчет доверительных отношений в семье наши с мужем мнения разошлись. В его понимании, жена не должна была грузить супруга своими личными неприятностями. «Когда ты приходишь домой, ты должна ситуацию на работе оставлять за порогом, заходить с улыбкой, быть готовой дарить ласку и нежность».

Возможно, я передаю слова моего бывшего мужа не дословно, но суть ясна. Фальшивая улыбка его вполне устраивала. Главное, чтобы я не показывала своих негативных эмоций, а что у меня внутри кипит – это уже дело десятое.

Совершая работу над ошибками, я могу высказать несколько мыслей, как иметь доверительные отношения с мужем.

1. Выбирать человека, которому вы по-настоящему интересны. Причем важно оставаться интересной ему и с температурой под 40, и с нечетко очерченной после родов талией, и даже без косметики. Такому мужчине действительно важен ваш искренний ответ на вопрос: «Как твои дела?»

2. Выделять время для общения. Обычно это происходит вечером за ужином. От своего мужа я слышала, что не стоит портить аппетит рассказами о конфликтах или невыплаченной премии. Чтобы найти компромиссное решение, можно начать делиться наболевшим, когда вы уже переходите к вечернему чаю.

3. Уметь выслушать. Когда тебя слушают внимательно, заинтересованно, задавая уточняющие вопросы, то хочется открыть душу, рассказать о том, что накипело. А если при этом одним глазом посматривают на экран телевизора – создается ощущение, что твои новости не интересны.

4. Дать достаточно времени. Обычно новости есть у каждого из супругов. При этом важно дать слово своей половинке, и только потом начинать говорить о своем. Если в семье есть дети, то времени на душевные разговоры почти не остается. Но все-таки нужно его находить.

5. Не врать. В разговорах с мужем, который неоднократно говорил неправду, я частенько задумывалась: «А не обманывает ли он меня и в этот раз?» Доверие потерять очень легко, а для восстановления доверительных отношений может понадобиться немало времени.

Чтобы получать лучшие статьи, подпишитесь на страницы Алимеро в

Похожие статьи:
error: