Відновлюємо довіру в домені

Як і облікові записи користувачів, облікові записи комп'ютерів в домені мають свій пароль. Пароль цей потрібен для встановлення так званих «довірчих відносин» між робочою станцією і доменом. Паролі для комп'ютерів генеруються автоматично і також автоматично кожні 30 днів змінюються.

Домен зберігає поточний пароль комп'ютера, а також попередній, про всяк випадок 🙂. Якщо пароль зміниться двічі, то комп'ютер, що використовує старий пароль, не зможе пройти перевірку справжності в домені і встановити безпечне з'єднання. Розсинхронізація паролів може статися з різних причин, наприклад комп'ютер був відновлений з резервної копії, на ньому була проведена переустановка ОС або він просто був довгий час вимкнений. В результаті при спробі входу в домен нам буде видано повідомлення про те, що не вдається встановити довірчі відносини з доменом.

Відновлюємо довіру в домені

Для відновлення довірчих відносин існує кілька способів. Розглянемо їх все по порядку.

Відкриваємо оснащення «Active Directory Users and Computers» і знаходимо в ній потрібний комп'ютер. Кількома на ньому правою клавішею миші і в контекстному меню вибираємо пункт «Reset Account». Потім заходимо на комп'ютер під локальної обліковим записом і заново вводимо його в домен.

Відновлюємо довіру в домені

Примітка. Подекуди зустрічаються рекомендації видалити комп'ютер з домену і заново завести. Це теж працює, однак при цьому комп 'ютер отримує SID і втрачає членство в групах, що може привести до непередбачуваних наслідків.

Спосіб цей досить громіздкий і нешвидкий, тому що вимагає перезавантаження, однак працює в 100% випадків.

Заходимо на комп'ютер, якому потрібно скинути пароль, відкриваємо командний консоль обов'язково від імені адміністратора і вводимо команду:

Netdom Resetpwd / Server: SRV1 / UserD: Administrator / PasswordD: *

У вікні вводимо облікові дані користувача і тиснемо OK. Пароль скинутий і тепер можна зайти на комп'ютер під доменної обліковим записом. Перезавантаження при цьому не потрібно.

Відновлюємо довіру в домені

Що цікаво, в рекомендаціях по використанню і в довідці написано, що команду Netdom Resetpwd можна використовувати тільки для скидання пароля на контролері домену, інші варіанти використання не підтримуються. Однак це не так, і команда також успішно скидає пароль на рядових серверах і робочих станціях.

Ще за допомогою Netdom можна перевірити наявність безпечного з'єднання з доменом:

Netdom Verify WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *

Або скинути обліковий запис комп'ютера:

Netdom Reset WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *

де WKS1 - робоча станція, якій скидаємо учетку.

Відновлюємо довіру в домені

Спосіб досить швидкий і дієвий, проте є одне але: за замовчуванням утиліта Netdom є тільки на серверах з встановленої роллю Active Directory Domain Services (AD DS). На клієнтських машинах вона доступна як частина пакету віддаленого адміністрування Remote Server Administration Tools (RSAT).

Ще одна утиліта командного рядка - Nltest. На комп'ютері, який втратив довіру, виконуємо наступні команди:

Nltest / query - перевірити безпечне з'єднання з доменом;

Nltest /sc_reset:Contoso.com - скинути обліковий запис комп'ютера в домені;

Nltest /sc_change_pwd:Contoso.com - змінити пароль комп'ютера.

Відновлюємо довіру в домені

Найшвидший і доступний спосіб, адже утиліта Nltest по умолченію є на будь-якій робочій станції або сервері. Однак, на відміну від Netdom, в якій передбачено введення облікових даних, Nltest працює в контексті запустив її користувача. Відповідно, зайшовши на комп'ютер під локальної обліковим записом і спробувавши виконати команду можемо отримати помилку доступу.

PowerShell теж вміє скидати пароль копьютера і відновлювати безпечне соєдненіє з доменом. Для цього існує командлет Test-ComputerSecureChannel. Запущений без параметрів він видасть стан захищеного каналу - True або False.

Для скидання облікового запису комп'ютера і захищеного каналу можна використовувати таку команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso \ Administrator -Repair

де SRV1 - контролер домену (вказувати не обов'язково).

Відновлюємо довіру в домені

Для скидання пароля також можна також скористатися такою командою:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso \ Administrator

Як бачите, способів відновлення довірчих відносин більш ніж достатньо. Однак якщо проблема набуває постійний характер, то простіше підійти до її вирішення з іншого боку.

Зміна параметрів зміни пароля комп'ютера

Зміна пароля в домені відбувається наступним чином:

Кожні 30 днів робоча станція відправляє найближчого контролеру домену запит на зміну пароля облікового запису комп'ютера. Контролер приймає запит, пароль змінюється, а потім зміни передаються на всі контролери в домені при наступній реплікації.

Деякі параметри зміни пароля можна змінювати. Наприклад, можна змінити часовий інтервал або зовсім відключити зміну паролів. Зробити це можна як для окремих комп'ютерів, так і для груп.

Якщо настройки необхідно застосувати до групи комп'ютерів, то простіше за все використовувати групову політику. Налаштування, що відповідають за зміну паролів, знаходяться в розділі Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies - Security Options. Нас цікавлять такі параметри:

Disable machine account password change - відключає на локальній машині запит на зміну пароля;

Maximum machine account password age - визначає максимальний термін дії пароля комп'ютера. Цей параметр визначає частоту, з якою член домену буде намагатися змінити пароль. За замовчуванням термін становить 30 днів, максимально можна задати 999 днів;

Refuse machine account password changes - забороняє зміну пароля на контролерів домену. Якщо цей параметр активувати, то контролери будуть відкидати запити комп'ютерів на зміну пароля.

Відновлюємо довіру в домені

Для одиночної машини можна скористатися налаштуваннями реєстру. Для цього в розділі HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters є два параметри:

DisablePasswordChange - якщо дорівнює 1, то запит на оновлення пароля комп'ютера відключений, 0 - включений.

MaximumPasswordAge - визначає максимальний термін дії пароля комп'ютера в днях. При бажанні можна задати більш 1 мільйона днів.

Відновлюємо довіру в домені

І в розділі HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters. тільки у контролерів домену, параметр:

RefusePasswordChange - якщо дорівнює 1, то забороняє контролеру домену приймати запит на зміну пароля. Цей параметр треба задати на всіх контролерів в домені.

Відновлюємо довіру в домені

Ось ніби і все про довірчі відносини. Як бачите, довіру в домені - штука тонка, так що намагайтеся його не втрачати.