پیکربندی Windows Trusts بازیابی روابط اعتماد در دامنه هنگام بررسی روابط اعتماد، یک خطای سیستم رخ داد

هر مدیر سیستم گاهی اوقات با خطای "رابطه اعتماد بین این ایستگاه کاری و دامنه اصلی برقرار نشد" مواجه می شود. اما همه علل و مکانیسم های فرآیندهای منجر به وقوع آن را درک نمی کنند. زیرا بدون درک معنای رویدادهای در حال وقوع، مدیریت معنادار غیرممکن است که با اجرای بدون فکر دستورالعمل ها جایگزین می شود.

حساب های رایانه ای، مانند حساب های کاربری، اصول امنیت دامنه هستند. به هر اصل امنیتی به طور خودکار یک شناسه امنیتی (SID) در سطحی که به منابع دامنه دسترسی دارد اختصاص داده می شود.

قبل از دادن دسترسی یک حساب کاربری به دامنه، باید صحت آن را تأیید کنید. هر اصل امنیتی باید حساب و رمز عبور خود را داشته باشد و حساب رایانه نیز از این قاعده مستثنی نیست. هنگامی که یک رایانه به Active Directory متصل می شود، یک حساب رایانه برای آن ایجاد می شود و یک رمز عبور تنظیم می شود. اعتماد در این سطح با این واقعیت تضمین می شود که این عملیات توسط یک مدیر دامنه یا کاربر دیگری که دارای اختیار صریح برای این کار است انجام می شود.

پس از آن، هر بار که وارد دامنه می شوید، رایانه یک کانال امن با کنترل کننده دامنه ایجاد می کند و اعتبار آن را به آن می دهد. بنابراین، یک رابطه اعتماد بین رایانه و دامنه برقرار می شود و تعامل بیشتر مطابق با سیاست های امنیتی و حقوق دسترسی ایجاد شده توسط مدیر انجام می شود.

رمز عبور حساب رایانه به مدت 30 روز معتبر است و پس از آن به طور خودکار تغییر می کند. درک این نکته مهم است که تغییر رمز عبور توسط رایانه آغاز می شود. این شبیه به فرآیند تغییر رمز عبور کاربر است. اگر رایانه تشخیص دهد که رمز عبور فعلی منقضی شده است، دفعه بعد که به دامنه وارد می شود، آن را جایگزین می کند. بنابراین، حتی اگر چندین ماه کامپیوتر را روشن نکرده باشید، رابطه اعتماد در دامنه باقی می ماند و پس از یک وقفه طولانی، در اولین باری که وارد سیستم می شوید رمز عبور تغییر می کند.

اگر رایانه سعی کند با رمز عبور نامعتبر به دامنه احراز هویت کند، اعتماد خراب می شود. چگونه ممکن است این اتفاق بیفتد؟ ساده ترین راه این است که وضعیت رایانه را به عقب برگردانید، به عنوان مثال، با استفاده از ابزار استاندارد بازیابی سیستم. همین اثر را می توان هنگام بازیابی از یک تصویر، عکس فوری (برای ماشین های مجازی) و غیره به دست آورد.

گزینه دیگر تغییر حساب به رایانه دیگری با همین نام است. این وضعیت بسیار نادر است، اما گاهی اوقات این اتفاق می افتد، به عنوان مثال، زمانی که یک کارمند یک رایانه شخصی را تغییر می دهد در حالی که نام خود را حفظ می کند، نسخه قدیمی را از دامنه حذف می کند، و سپس آن را دوباره وارد دامنه می کند، فراموش می کند که نام آن را تغییر دهد. در این صورت، کامپیوتر قدیمی هنگام ورود مجدد به دامنه، رمز عبور حساب رایانه را تغییر می دهد و رایانه جدید دیگر نمی تواند وارد شود، زیرا نمی تواند یک رابطه اعتماد ایجاد کند.

در مواجهه با این خطا چه اقداماتی باید انجام داد؟ اول از همه، علت نقض روابط اعتماد را مشخص کنید. اگر بازگشتی بود، پس توسط چه کسی، چه زمانی و چگونه انجام شد، اگر رمز عبور توسط رایانه دیگری تغییر کرد، پس دوباره باید فهمید که چه زمانی و در چه شرایطی اتفاق افتاده است.

یک مثال ساده: کامپیوتر قدیمی تغییر نام داد و به بخش دیگری داده شد، پس از آن خراب شد و به طور خودکار به آخرین ایست بازرسی برگشت. پس از آن، این رایانه شخصی سعی می کند در دامنه با نام قدیمی احراز هویت کند و طبیعتاً در برقراری روابط اعتماد با خطا مواجه می شود. اقدامات صحیح در این مورد این است که نام رایانه را به همان شکلی که باید نامگذاری کنید، ایجاد یک چک پوینت جدید و حذف موارد قدیمی است.

و تنها پس از اطمینان از اینکه نقض روابط اعتماد ناشی از اقدامات ضروری عینی است و برای این رایانه است که می توانید شروع به بازگرداندن اعتماد کنید. این را از راه های گوناگون می توان انجام داد.

کاربران و رایانه های Active Directory

این ساده ترین، اما نه سریع ترین یا راحت ترین راه است. Snap-in را روی هر کنترل کننده دامنه باز کنید کاربران و رایانه های Active Directory، اکانت کامپیوتر مورد نیاز را پیدا کرده و با کلیک راست، انتخاب کنید اکانت را دوباره نصب کنید.

سپس وارد رایانه ای می شویم که اعتمادش را از دست داده است مدیر محلیو دستگاه را از دامنه خارج کنید.

سپس آن را دوباره وارد می کنیم، می توانید بین این دو عمل از راه اندازی مجدد رد شوید. پس از ورود مجدد به دامنه، ریبوت کرده و زیر اکانت دامنه وارد کنید. پس از پیوستن مجدد رایانه به دامنه، رمز عبور رایانه تغییر خواهد کرد.

عیب این روش این است که دستگاه باید از دامنه خارج شود و همچنین نیاز به دو (یک) راه اندازی مجدد است.

ابزار Netdom

این ابزار از نسخه 2008 در ویندوز سرور گنجانده شده است و می تواند بر روی رایانه های شخصی کاربر از بسته RSAT (Remote Server Administration Tools) نصب شود. برای استفاده از آن، در سیستم هدف وارد شوید مدیر محلیو دستور را اجرا کنید:

Netdom resetpwd / سرور: DomainController / UserD: Administrator / PasswordD: Password

بیایید نگاهی به گزینه های دستور بیندازیم:

• سرور- نام هر کنترل کننده دامنه
• UserD- نام حساب مدیر دامنه
• رمز عبور D- رمز عبور مدیر دامنه

پس از اجرای موفقیت آمیز دستور، نیازی به راه اندازی مجدد نیست، فقط از حساب محلی خارج شده و وارد حساب دامنه شوید.

PowerShell 3.0 cmdlet

برخلاف ابزار Netdom، PowerShell 3.0 از ویندوز 8 / سرور 2012 در سیستم گنجانده شده است، برای سیستم های قدیمی تر می توان آن را به صورت دستی نصب کرد، ویندوز 7، سرور 2008 و سرور 2008 R2 پشتیبانی می شوند. Net Framework 4.0 یا بالاتر به عنوان یک وابستگی مورد نیاز است.

به طور مشابه، به عنوان یک مدیر محلی به سیستمی که می‌خواهید اعتماد را بازیابی کنید، وارد شوید، کنسول PowerShell را راه‌اندازی کنید و دستور را اجرا کنید:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain \ Admin

• سرور- نام هر کنترل کننده دامنه
• اعتبارنامه- نام دامنه / حساب مدیر دامنه

هنگامی که این دستور را اجرا می کنید، یک پنجره مجوز ظاهر می شود که در آن باید رمز عبور حساب مدیر دامنه را که مشخص کرده اید وارد کنید.

cmdlet هیچ پیامی در مورد موفقیت نمایش نمی دهد، بنابراین فقط حساب کاربری را تغییر دهید، نیازی به راه اندازی مجدد نیست.

همانطور که می بینید، بازیابی روابط اعتماد در دامنه بسیار آسان است، نکته اصلی این است که علت این مشکل را به درستی تعیین کنید، زیرا در موارد مختلف روش های مختلفی مورد نیاز خواهد بود. بنابراین، ما از تکرار خسته نمی شویم: در صورت بروز هر گونه مشکل، ابتدا باید علت را شناسایی کنید و تنها پس از آن اقدامات لازم را برای رفع آن انجام دهید، به جای اینکه بدون فکر اولین دستورالعمل موجود در شبکه را تکرار کنید.

در این مقاله بیایید در مورد اینکه یک رابطه جدی بین زن و مرد بر اساس چه چیزی ساخته شده است صحبت کنیم.

یک رابطه جدی بین m و f ​​= البته بر پایه اعتماد بنا شده است.

بدون اعتماد = روابط جدی پیشینی است، در اصل، غیر ممکن است!

اعتماد = این پایه ای است که روابط بر آن بنا می شود. خانه = بدون شالوده (بنیاد مناسب) = ساختن ناممکن است، به هم می ریزد، در روابط با زن و مرد نیز چنین است.

اگر به شریک زندگی خود اعتماد نکنید = دیر یا زود = همه چیز به هم می ریزد ( فرو می ریزد )، زیرا روابط همراه با ترس، اضطراب، نگرانی، استرس، درد، نزاع و غیره طولانی نخواهد بود.

اعتماد و فقدان آن چیست؟

اعتماد شک را نمی شناسد؛ جایی که شک آغاز می شود، اعتماد می میرد.

اعتماد به شریک همین است (عدم شک) و آن عدم اعتماد (وجود شک) است. اعتماد در یک رابطه باید کامل و متقابل باشد. اگر اینطور نباشد، یکی از شرکا اعتماد نداشته باشد = شک و تردید و غیره - رابطه جدی وجود نخواهد داشت (بدون حل این مشکل)، چنین رابطه ای آینده ای نخواهد داشت، آنها محکوم به شکست خواهند بود.

پس راه خروج در این شرایط چیست؟ به نظر من 2 راه برای حل مشکل وجود دارد:

• 1- ایجاد اعتماد (در صورت از دست دادن) با یک شریک. (سخت است، اما ممکن است، و اگر ارزشش را داشته باشد (در مقاله با جزئیات بیشتر منطقی است:) - واقعاً باید انجام شود، برای هر دو شریک، روابط کار است!).
• دوم پراکنده شدن و رنج نکشید. (سبک، ساده، دانش، حتی چیزی برای گفتن وجود ندارد).

این سوال را از خود بپرسید که آیا به شریک زندگی خود اعتماد دارید؟ اگر نه، آیا می توانید دوباره به او اعتماد کنید (هی)؟

اگر پاسخ شما "نه" است، بهتر است این رابطه را بگیرید و پایان دهید، اما زندگی یکدیگر را پیچیده نکنید، صرف این همه زمان، انرژی و سایر منابع ارزشمند کنید و یکدیگر را ناراضی کنید.

هدف یک رابطه قوی تر کردن یکدیگر است. من در این مقاله با جزئیات بیشتری در این مورد صحبت کردم: اگر اینطور نیست، پس رابطه بی معنی است.

دیر یا زود = بدون اعتماد کامل = پایان به هر حال فرا می رسد، زوج ها پراکنده می شوند، پس چرا وقت، منبع اصلی زندگی هر فردی را تلف کنیم؟ چرا آنها رنج می برند، یکدیگر را ناراضی می کنند، این لحظه را به تعویق می اندازند؟ من دختری داشتم که اعتمادم را از دست داد - بعد از شوخی او.

هنوز نمی دانم شوخی بود یا نه (عشق کور می کند) اما در مغزم حک شده = خیلی خیلی قوی تا جایی که دوباره اعتماد کردن به هی برایم سخت خواهد بود.

ولی. با این وجود، در مورد من، می توان سعی کرد همه چیز را پیدا کند، ثابت کند (و نه دقیق - نه).

فقط خود شما (الف) پاسخ سؤال را می دانید - آیا می توانید دوباره به او اعتماد کنید (هی) یا نه ، زیرا هر مورد فردی است و ما اصولاً همه شخصیت های فردی هستیم. فهمیدن؟

اگر مطمئناً "نه" - پس تنها یک راه برای خروج وجود دارد، فقط بدون شکنجه خود و شریک زندگی خود ادامه دهید.

اما، اگر یکسان بخورید - شک دارید، و پاسخ شما، شاید، شاید، و غیره = پس، برای تجدید اعتماد = کار روزانه مورد نظر هر دو شریک در این راستا لازم است.

یک رابطه کار مداوم دو شریک است. این یک شغل است. کار. و دوباره کار کن روزانه. و نه تنها از نظر اعتماد، بلکه بسیاری از مؤلفه های دیگر که اکنون در مورد آنها صحبت نمی کنیم ...

اگر این کار وجود نداشته باشد، افسوس که هیچ رابطه هماهنگ، کل نگر و صحیحی وجود نخواهد داشت.

برای اینکه دوباره اعتماد شریک زندگی تان را به دست آورید، اول از همه باید بنشینید و همه چیز را تا جایی که امکان دارد با شریکتان به تفصیل در میان بگذارید، تمام تردیدها، افکار، ترس ها، شکایات و غیره را صمیمانه با شریک زندگی خود در میان بگذارید. و روشی صادقانه اخلاص کامل، رهایی و صداقت مهم است. بدون این، هیچ چیز از آن حاصل نخواهد شد.

P.S. اعتماد ارتباط تنگاتنگی با صداقت، صداقت و نجابت دارد.

و بسیار مهم است که آن را انجام دهید، و از آن اجتناب نکنید، فکر کنید که همه چیز می گذرد / فراموش می شود. نه! هر چه همه چیز بیشتر ادامه داشته باشد، همه چیز بیشتر در درون خود باقی می ماند = سپس "مدفوع" بیشتری خارج می شود.

همه شک ها، ترس ها، ناامنی ها و غیره باید به شریک زندگی خود بگویید. به او بگویید (هی) چه چیزی را در رابطه خود دوست ندارید، در او (او)، به او بگویید که چه ناراحتی، ناراحتی و غیره را تجربه می کنید. شما باید در طول توسعه رابطه خود - و نه در "تعطیلات" (زمانی که از قبل در حال جوشیدن است) در مورد همه چیز و همیشه با یکدیگر بحث کنید و آنها را بیان کنید.

در مورد ما، در مورد اعتماد، شما باید به طور کامل همه چیز را باز کنید و صادقانه بچینید. احساسات و تمام احساسات شما = خجالتی نبودن، نترسیدن، عقب نماندن مطلقاً هیچ چیز!

همه ترس ها، اعمال، اعمال، ادعاها، مشکلات، خواسته ها و غیره و غیره، هر چیزی که می خواهید = نیاز به بحث دارد. همه چیز در داخل و خارج، در یک جلسه. و بعد از همه اینها، شما باید یک برنامه مشخص از اقدامات مشترک با هم ایجاد کنید و شروع به کار با یکدیگر کنید، با هم شروع به ایجاد اعتماد کنید، چگونه؟ => خلاص شدن از شر همه این تردیدها، ترس ها، مشکلات، ادعاها و سایر اجزا با هم.

یاد بگیرید به یکدیگر اعتماد کنید، یاد بگیرید که اشتباهات خود را بپذیرید، یاد بگیرید که سرزنش کنید (مسئولیت)، از نظر من، این بدان معنی است که شما باید آماده باشید تا آنچه را که به دلیل تقصیر شما اتفاق افتاده است را اصلاح کنید، یاد بگیرید که ببخشید / درخواست بخشش کنید، توبه کنید. ، یاد بگیرید به دنبال سازش باشید، یاد بگیرید با یکدیگر صحبت کنید (ارتباط) (کجا، چگونه، با چه کسی، تماس / پیامک، باز بودن کامل، دسترسی کامل)، باید با یکدیگر کاملاً صمیمانه و صادق باشید. همه «آن» مال توست = اقدام مشترک.

چرا آنها مهم هستند؟ این که وقتی کار (اقدامات، اعمال) اتفاق می افتد، با هم تنظیم می شود (با یکدیگر) = گزارش (همان ارتباط) برقرار می شود (ارتباط با اقدامات مشترک برقرار می شود) = و بنابراین اعتماد ایجاد می شود. گزارش (ارتباط) = اعتماد. این را به عنوان پدر ما به یاد داشته باشید.

و البته تعبیر «صبر و کار = خرد کردن» را فراموش نکنید. اگر واقعاً می خواهید هر دو با هم با هم باشند = اگر می خواهید = قوی، شاد، هماهنگ، رابطه کامل = پس روی آن کار کنید = با یکدیگر، هر روز با هم، و بر اساس شایستگی های خود پاداش خواهید گرفت. این همه برای من است.

اما بهترین کار این است که اصولاً از از بین رفتن اعتماد جلوگیری شود، در این صورت نیازی به حل مشکلات نخواهد بود. با این وجود ، همه اشتباه می کنند ، طبق شایعات حتی ربات ها =) موضوع امروز به من بسیار نزدیک بود ...

با SW، مدیر.

هدف این مقاله ارائه دستورالعمل های گام به گام برای ایجاد در است رابطه اعتماد خارجی بین دو حوزهویندوز 2000. به نظر می رسد همه چیزهایی که برای ایجاد یک رابطه اعتماد نیاز دارید وجود دارد، حقوق وجود دارد، ابزارهای ایجاد اعتماد شناخته شده است، اما در عمل دستورالعمل های ساده همیشه کار نمی کنند. بیایید سعی کنیم آن را با هم بفهمیم.

اگر با زبان خشک اصطلاحات صحبت کنیم، آن را به یاد می آوریم رابطه اعتمادبه پیوند منطقی بین دامنه ها اشاره دارد که احراز هویت عبوری را در آن فراهم می کند دامنه قابل اعتماداحراز هویت انجام شده را می پذیرد دامنه مورد اعتماد... در این حالت، حساب‌های کاربری و گروه‌های جهانی که در دامنه مورد اعتماد تعریف شده‌اند، می‌توانند حقوق و مجوزهای منابع موجود در دامنه اعتماد را کسب کنند، حتی زمانی که آن حساب‌ها در پایگاه داده مرجع دامنه اعتماد وجود نداشته باشند.

چه زمانی ایجاد اعتماد ضروری است؟ اولین پاسخ این است که نیاز کاربران یک شرکت (دامنه در یک جنگل) به استفاده از منابع یک شرکت دیگر (دامنه دیگر در جنگل دیگر) یا بالعکس است، سپس هنگام انتقال اشیاء امنیتی از یک دامنه به دامنه دیگر، روابط اعتماد لازم است. (به عنوان مثال، هنگام استفاده از ابزار ADMT v2 مایکروسافت) و در بسیاری از شرایط زندگی کاری دیگر.

یک اعتماد خارجی می تواند برای ایجاد یک اعتماد غیرانتقال یک طرفه یا دو طرفه (یعنی روابط در یک محیط چند دامنه، محدود به تنها دو دامنه) با دامنه های خارج از جنگل ایجاد شود. تراست های خارجی گاهی اوقات زمانی استفاده می شوند که کاربران نیاز به دسترسی به منابع واقع در یک دامنه ویندوز واقع در جنگل دیگر دارند، همانطور که در شکل نشان داده شده است.

هنگامی که اعتماد بین یک دامنه در یک جنگل خاص و یک دامنه خارج از آن جنگل ایجاد می شود، اصول امنیتی (این می تواند یک کاربر، گروه یا رایانه باشد) از دامنه خارجی به منابع موجود در دامنه داخلی دسترسی پیدا می کند. یک "شیء اصلی امنیتی خارجی" در دامنه داخلی ایجاد می کند تا هر اصل امنیتی را از دامنه مورد اعتماد خارجی نشان دهد. این اصول امنیتی خارجی می توانند عضو گروه های محلی دامنه در دامنه اعتماد داخلی شوند. گروه‌های محلی دامنه (معمولاً برای تخصیص حقوق دسترسی به منابع استفاده می‌شوند) می‌توانند شامل اصول امنیتی از دامنه‌های خارج از جنگل باشند.

با در نظر گرفتن مفاهیم، ​​اجازه دهید شروع به ایجاد یک رابطه اعتماد یک طرفه خارجی بین دامنه D01 و دامنه D04 کنیم.

پیکربندی سیستم:

به طور معمول، هر دو دامنه در شبکه های مختلف مستقر هستند و ارتباط بین آنها از طریق دروازه ها انجام می شود. گاهی اوقات برای این منظور کارت شبکه دوم به کنترلرهای دامنه اضافه می شود و از طریق آنها به شبکه های خارجی ارتباط برقرار می کند. در این مثال، من از ساده ترین حالت استفاده کردم که هر دو دامنه در یک زیر شبکه قرار دارند. در این حالت، ایجاد یک رابطه اعتماد به سادگی با تعیین نام دامنه NETBIOS امکان پذیر است و محاسبات نشان داده شده غیر ضروری است، اما با پیچیدگی ساختار شبکه (زیر شبکه های مختلف دامنه ها، ارتباط از طریق دروازه ها و شبکه های خصوصی مجازی)، ایجاد اعتماد بسیار آسان است. سپس باید تنظیمات اضافی را در شبکه اجرا کنید که در زیر آورده شده است.

بیایید یک برنامه عملیاتی برای ایجاد یک رابطه قابل اعتماد ترسیم کنیم:

• بررسی اتصالات بین دو سرور
• بررسی تنظیمات هر دامنه
• پیکربندی وضوح نام برای دامنه های خارجی
• ایجاد پیوند از دامنه اعتماد
• ایجاد پیوند از دامنه مورد اعتماد
• تأیید روابط یک طرفه ایجاد شده
• ایجاد اعتماد دو طرفه (در صورت نیاز)

همه چیز آنقدرها که به نظر می رسد پیچیده نیست. نکات کلیدی در این لیست، سه نکته اول است که اجرای صحیح آنها مستقیماً بر نتیجه نهایی تأثیر می گذارد. همچنین توجه داشته باشید که تمام اقدامات از طرف حساب های مدیران دامنه های مربوطه انجام می شود که دارای کلیه حقوق لازم برای این امر هستند.

بیایید شروع کنیم.

اولین کاری که باید انجام دهید تهیه نسخه پشتیبان از وضعیت سیستم است از همهکنترل کننده های دامنه در هر دو دامنه (و همچنین کاتالوگ های سیستم).

و تنها پس از آن شروع به ایجاد تغییرات کنید. بنابراین، مطمئن شوید که امکان برقراری ارتباط بین دو سرور وجود دارد:

• از سرور Server01، مطمئن خواهیم شد که با Server04 (192.168.1.4) در دسترس است.
  ایجاد پیوندها با آدرس IP برای جلوگیری از خطاهای حل نام مهم است.
  در خط فرمان وارد کنید: پینگ 192.168.1.4
  باید از آدرس راه دور پاسخ دریافت کند. اگر پاسخی وجود ندارد، زیرساخت شبکه خود را تجزیه و تحلیل کنید و مشکلات را حل کنید.

• از سرور Server04، مطمئن خواهیم شد که با Server01 (192.168.1.1) در دسترس است.
  در خط فرمان وارد کنید: پینگ 192.168.1.1
  باید از آدرس راه دور Server01 پاسخ دریافت کند.

اگر همه چیز درست است، به مرحله بعدی بروید و تنظیمات دامنه را بررسی کنید.

از بین تمام تنظیمات، ما فقط پیکربندی منطقه DNS اولیه را بررسی می کنیم که از هر دامنه اکتیو دایرکتوری پشتیبانی می کند. از آنجایی که داده های این منطقه است که حاوی رکوردهای منبع دامنه است و به شما امکان می دهد مکان و آدرس خدمات دامنه مربوطه را تعیین کنید.

بیایید دستورات را روی هر سرور اجرا کنیم ipconfig.exe /همهو nslookup.exe(صفحه نمایش 1 و 2).

Ipconfig پیکربندی TCP / IP - آدرس های IP، دروازه ها و سرورهای DNS را برای کنترلر نمایش می دهد. اگر زیرساخت DNS به درستی پیکربندی شده باشد، nslookup آدرس‌های IP کنترل‌کننده‌های دامنه را هنگامی که با نام DNS دامنه محلی پرس و جو می‌شود، فهرست می‌کند. اگر نمی توانید آدرس های کنترل کننده را برای دامنه محلی بدست آورید، پیکربندی سرور DNS اولیه و محتویات منطقه جستجوی DNS رو به جلو را بررسی کنید (شکل 3).

لطفاً توجه داشته باشید که سیستم هیچ اطلاعاتی در مورد دامنه خارجی ندارد (پیام خطا هنگام تلاش برای حل با نام دامنه راه دور - صفحه 1 و 2) و بنابراین یافتن کنترل کننده برای برقراری ارتباط با آن بسیار دشوار خواهد بود. دامنه های خارجی در این شرایط، تلاش برای ایجاد پیوند به یک دامنه قابل اعتماد منجر به یک پیام خطا می شود (شکل 4).

حالا بیایید به حل این وضعیت بپردازیم. بیایید وضوح نام DNS را برای دامنه های خارجی در هر سرور پیکربندی کنیم.

چه باید انجام شود؟ شما باید به وضوح نام دست پیدا کنید و رکوردهای منبع برای دامنه خارجی را دریافت کنید. همه اینها در صورتی امکان پذیر است که سرور محلی را طوری تنظیم کنید که بتواند به منطقه DNS دسترسی پیدا کند که از دامنه خارجی پشتیبانی می کند و قادر به حل سؤالات مورد نیاز است. فوراً متذکر می شوم که تلاش برای حل این مشکل با افزودن آدرس IP سرور DNS خارجی به عنوان جایگزین در تنظیمات TCP / IP محکوم به شکست است. بیایید برای این شرایط قدم های درست برداریم.

در سرور DNS محلی در هر دامنه، یک منطقه اضافی حاوی یک کپی از منطقه DNS اولیه دامنه خارجی ایجاد کنید. در نتیجه، این سرور می‌تواند هم به پرسش‌های مربوط به دامنه محلی و هم به سوابق منطقه اضافی در مورد دامنه خارجی پاسخ دهد.

من مثالی از ایجاد یک منطقه اضافی برای Server01 ارائه می دهم، در Server04 دنباله اقدامات مشابه است.

بیایید پارامترهای انتقال منطقه DNS اولیه در سرور راه دور را تغییر دهیم.

در (Server04) Snap-in DNS را باز کنید (از طریق منوی Start، سپس Programs and Administrative Tools).

روی منطقه DNS کلیک راست کرده و Properties را انتخاب کنید.

در تب Zone Transfers، تیک Allow zone transfers را انتخاب کنید.

انتقال منطقه فقط به سرورهای DNS خاص مجاز است و گزینه فقط به سرورها را از این لیست انتخاب کنید و سپس آدرس IP سرورهای DNS دامنه اول را مشخص کنید (در مورد ما، این IP Server01 خواهد بود - 192.168.1.1 شکل 5) .

این امکان پیکربندی ساده‌تری را فراهم می‌کند که امکان انتقال به هر سروری را فراهم می‌کند، اما این منجر به کاهش امنیت می‌شود. علاوه بر این، برای مثال، تنظیم این آدرس IP در لیست سرورهای نام برای منطقه فعلی بسیار کارآمدتر است.

• اعلان ها را برای مناطق اضافی در سایر سرورهای DNS فعال کنید

روی دکمه Notify در تب Zone Transfers کلیک کنید.

مطمئن شوید که کادر Notify automatically علامت زده شده است.

گزینه Specified servers only را انتخاب کنید و آدرس های IP سرور را به لیست اعلان های مورد نیاز اضافه کنید.

برای انجام این کار، در لیست اطلاع رسانی، آدرس IP سرور مربوط به پاراگراف قبلی (192.168.1.1) را در قسمت آدرس IP وارد کرده و روی دکمه افزودن (صفحه 6) کلیک کنید.

• بیایید یک منطقه DNS اضافی در سرور محلی ایجاد کنیم.

روشن (Server01) پنجره DNS را باز کنید.

در درخت کنسول، روی یک سرور DNS کلیک راست کرده و سپس روی New Zone کلیک کنید تا New Zone Wizard باز شود (شکل 7).

نوع Additional zone را انتخاب کنید، نام آن (D04. Local) و آدرس IP سرور اصلی (IP 192.168.1.4) را در قسمت آدرس IP وارد کنید و روی دکمه Add کلیک کنید.

پس از ایجاد منطقه، مدتی طول می کشد تا داده ها از سرور اصلی دریافت شود (پس از آن مناطق اولیه باید مانند شکل 8 ظاهر شوند).

• بیایید پیکربندی سرور DNS جدید را بررسی کنیم.

در (Server01) یک پنجره خط فرمان باز کنید، دستور را اجرا کنید nslookup.exeو یک کوئری برای نام DNS دامنه خارجی D04 وارد کنید. local - و نتیجه آدرس های IP کنترل کننده های این دامنه (شکل 9).

این همان چیزی است که ما می خواستیم - اکنون، هنگام ایجاد یک رابطه اعتماد، دامنه فعلی می تواند آدرس های لازم خدمات دامنه خارجی را تعیین کند.

البته محاسبات داده شده برای پیاده سازی در دامنه هایی با تنظیمات پیش فرض امکان پذیر است. اگر شبکه شما دارای تنظیمات DNS خاصی است، باید موارد بالا را مطابق با نیاز خود تغییر دهید.

اکنون باید مراحل قبلی را روی یک کنترلر دیگر در دامنه مورد اعتماد (Server04) تکرار کنید تا این کنترلر بتواند وضوح نام را دریافت کند و لیستی از خدمات دامنه اول را دریافت کند (شکل 10).

پس از اینکه هر دو نام دامنه از طریق سرورهای DNS حل و فصل شد، می‌توانیم به روال استاندارد برای ایجاد یک رابطه اعتماد یک طرفه خارجی مستقیم ادامه دهیم.

• یک پیوند از سمت دامنه قابل اعتماد ایجاد کنید (d01. Local)

در کنترلر (Server01) snap-in Active Directory Domains and Trusts را باز کنید (از طریق منوی Start، سپس Programs and Administrative Tools).

در درخت کنسول، روی گره دامنه ای که می خواهید مدیریت کنید کلیک راست کنید (D01.local) و سپس روی Properties (شکل 11) کلیک کنید.

تب Trust را انتخاب کنید.

دامنه های مورد اعتماد این دامنه را انتخاب کنید و سپس روی Add کلیک کنید.

نام دامنه DNS کاملا واجد شرایط را وارد کنید، یعنی. D04. محلی (برای دامنه ویندوز NT، فقط نام - شکل 12).

رمز عبور را وارد کنید (مثلا 12 W # $r) برای یک اعتماد معین. رمز عبور باید در هر دو دامنه معتبر باشد: دامنه اعتماد و دامنه اعتماد. رمز عبور خود فقط برای مدت زمان ایجاد یک رابطه اعتماد استفاده می شود، پس از ایجاد آنها، رمز عبور حذف می شود.

در عین حال، از آنجایی که ما فقط یکی از دو اتصال ضروری را برقرار می کنیم، بررسی رابطه اعتماد بلافاصله غیرممکن است (شکل 13). شما باید یک بازخورد مشابه، اما از دامنه مورد اعتماد ایجاد کنید.

در حالی که در این حالت، می توانید ویژگی های اتصال خروجی ایجاد شده (صفحه 14) را مشاهده کنید.

ما این روش را برای دامنه ای که قسمت دیگر اعتماد مستقیم است تکرار می کنیم.

ایجاد پیوند از دامنه مورد اعتماد (d04. Local)

در کنترلر (Server04)، snap-in Active Directory Domains and Trusts را باز کنید.

در درخت کنسول، روی گره دامنه ای که می خواهید مدیریت کنید (D04. Local) راست کلیک کرده و Properties را انتخاب کنید.

برگه Trusts را انتخاب کنید (شکل 15).

دامنه هایی که به این دامنه اعتماد دارند را انتخاب کنید و سپس روی افزودن کلیک کنید.

نام دامنه DNS کاملا واجد شرایط - D01 را وارد کنید. محلی

رمز عبور این اعتماد را که قبلاً ارائه کرده اید وارد کنید (12 W # $ r - Screen 16).

زیرا ما رابطه مخالف را برای رابطه اعتماد خود پیکربندی کرده ایم، سپس باید رابطه جدید را بررسی کنید (شکل 17).

برای انجام این کار، یک حساب کاربری را مشخص کنید که حق تغییر روابط اعتماد را از دامنه مقابل D01 دارد. محلی، آن ها ورودی Domain Admin d01 هستند (شکل 18).

اگر اعتبارنامه ها درست باشد، رابطه بررسی می شود و اعتماد ایجاد می شود (صفحه 19).

حال بیایید ببینیم که چگونه اعتبار سنجی اعتماد خارجی را انجام دهیم. برای مثال، بیایید رابطه را از دامنه اعتماد (D01.local) بررسی کنیم.

برای آزمایش رابطه اعتماد:

snap-in Active Directory Domains and Trusts را باز کنید.

در درخت کنسول، روی دامنه مشارکت‌کننده در رابطه اعتمادی که می‌خواهید بررسی کنید کلیک راست کنید (D01.local) و روی Properties کلیک کنید.

تب Trust را انتخاب کنید.

در فهرست دامنه‌هایی که این دامنه به آنها اعتماد دارد، اعتمادی را که می‌خواهید تأیید کنید (D04. Local) انتخاب کنید و سپس روی تغییر کلیک کنید (شکل 20).

روی دکمه Check کلیک کنید.

در کادر محاوره ای که ظاهر می شود، اعتبار کاربری که حق تغییر روابط اعتماد را دارد، سابقه مدیر دامنه خارجی d04 و رمز عبور او (صفحه 21) را وارد کنید.

مانند قبل، اگر داده های ثبت نام درست باشد و رابطه کارآمد باشد، یک پیام تایید نمایش داده می شود (صفحه 22).

در صورت بروز خطا، ساختار شبکه خود را بررسی کنید (تنظیمات دروازه‌ها، فایروال‌ها، روترهایی که زیرشبکه‌های دامنه را تقسیم می‌کنند)، تنظیمات زیرساخت DNS، پیوندهای فیزیکی بین کنترل‌کننده‌های دامنه، و همچنین خطاهای احتمالی در دامنه‌های Active Directory (با تجزیه و تحلیل گزارش رویدادها در کنترل‌کننده‌های دامنه) .

پس از تکمیل ایجاد رابطه اعتماد از دامنه مورد اعتماد، اکنون می توان با استفاده از کاربران تأیید شده (آن دسته از اعضای گروه ویژه گروه ALL) منابع را در دامنه اعتماد جستجو کرد.

بیایید مطمئن شویم که می‌توانیم از اصول امنیتی دامنه مورد اعتماد در دامنه اعتماد (حساب‌های دامنه D04.local) استفاده کنیم. برای انجام این کار، یک اشتراک در دامنه D01 ایجاد کنید و به گروه جهانی Domain Users از دامنه مورد اعتماد D04 به آن دسترسی دهید.

D01 را در دامنه ایجاد کنید. پوشه اشتراکی محلی در کنترل کننده دامنه Server01.

بنابراین، از دامنه مورد اعتماد D04، به منبعی در دامنه D01 قابل اعتماد دسترسی پیدا کردیم، چیزی که نیاز داشتیم.

در صورت لزوم، می توان روابط اعتماد را در جهت مخالف، از دامنه D04 تا D01 تنظیم کرد. یعنی دامنه D04 به دامنه قابل اعتماد تبدیل می شود. محلی، و دامنه مورد اعتماد از قبل D01 خواهد بود. محلی

ابزارهای رمزنگاری CryptoPro در بسیاری از برنامه های ایجاد شده توسط توسعه دهندگان روسی استفاده می شود. هدف آنها امضای اسناد الکترونیکی مختلف، سازماندهی PKI و دستکاری گواهینامه ها است. در این مقاله، خطایی را در نظر خواهیم گرفت که در نتیجه کار با یک گواهی ظاهر می شود - "یک خطای سیستم هنگام اعتبار سنجی روابط اعتماد رخ داد."

دلیل خطا در CryptoPro

ظاهر یک پیام خطای سیستم اغلب با نسخه های متناقض Windows و CryptoPro همراه است. معمولاً کاربران با سیستم مورد نیاز نرم افزار، ویژگی ها و قابلیت های آن آشنا می شوند. به همین دلیل است که شما باید دستورالعمل ها و انجمن ها را با جزئیات بیشتر تنها پس از وقوع شکست مطالعه کنید.

غیر معمول نیست که خود نرم افزار با خطا روی سیستم نصب شود. دلایل زیادی برای این وجود دارد:

• مشکلات در رجیستری سیستم ویندوز؛
• هارد دیسک پر از زباله است که از عملکرد صحیح نرم افزارهای دیگر جلوگیری می کند.
• وجود ویروس در سیستم و غیره.

حل خطا با گواهی

یک نقص سیستم در محصول نرم افزار CryptoPro رخ داد "یک خطای سیستم هنگام بررسی روابط اعتماد رخ داد." بیایید سعی کنیم این مشکل را حل کنیم. در برخی موارد، اگر سیستم به روز رسانی مناسب را نداشته باشد، ممکن است برنامه پیامی را روی صفحه نمایش دهد. همچنین اگر از CryptoPro نسخه 3.6 در سیستم عامل ویندوز 8.1 استفاده می کنید، ممکن است خطا دریافت کنید. برای این سیستم عامل باید از نسخه 4 یا بالاتر استفاده کنید. اما برای نصب یک نسخه جدید، باید نسخه قدیمی را حذف کنید.

تمام داده های مهم نسخه قبلی باید در رسانه های قابل جابجایی یا در یک پوشه جداگانه ویندوز کپی شوند.

سپس باید به وب سایت رسمی مراجعه کنید و آخرین نسخه بسته نرم افزاری را دانلود کنید، آنها را دانلود کرده و بر روی رایانه خود نصب کنید. به آدرس - https://www.cryptopro.ru/downloads بروید. در حین نصب، فایروال ویندوز و سایر برنامه ها یا آنتی ویروس هایی که ممکن است عملکرد CryptoPro را مسدود کنند، موقتاً غیرفعال کنید.

شما می توانید یک محصول جدید را با استفاده از حساب شخصی خود در وب سایت نصب کنید. برای انجام این کار، باید وارد شوید و وارد شوید.

1. سپس به LC بروید.
2. برگه بالای "مدیریت خدمات" را باز کنید؛
3. به بخش "Workstation" بروید؛
4. سپس مورد «افزونه‌ها و افزونه‌ها» را پیدا کنید و روی یکی از نسخه‌های CryptoPro کلیک کنید.

نصب گواهی شخصی

در مرحله بعد، باید گواهی را در ابزار CryptoPro نصب کنید تا خرابی گواهی را برطرف کنید - هنگام بررسی رابطه اعتماد، یک شکست رخ داد. نرم افزار را به عنوان مدیر اجرا کنید. بهتر است این کار از منوی استارت انجام شود.

روش‌های دیگر برای عیب‌یابی خطای اعتبارسنجی اعتماد

اگر از CryptoPro نسخه 4 استفاده می کنید، اما خطا همچنان ظاهر می شود، فقط سعی کنید برنامه را دوباره نصب کنید. در بسیاری از موارد، این مراحل به کاربران کمک کرد. همچنین ممکن است هارد دیسک شما پر از فایل های غیر ضروری باشد و نیاز به پاک شدن داشته باشند. ابزارهای استاندارد ویندوز در این امر به ما کمک خواهند کرد.

1. کاوشگر (WIN + E) را باز کنید و یکی از درایوهای محلی RMB را انتخاب کنید.
2. روی "Properties" کلیک کنید؛
3. دکمه "Clear" را در زیر تصویر فضای دیسک اشغال شده پیدا کرده و کلیک کنید.
4. سپس پنجره ای ظاهر می شود که در آن باید فایل هایی را که قرار است حذف شوند انتخاب کنید.
5. می توانید تمام موارد را انتخاب کنید و روی "OK" کلیک کنید.

این دستورالعمل باید برای همه درایوهای محلی رایانه شما دنبال شود. سپس دستورالعمل های زیر را برای بررسی فایل های ویندوز دنبال کنید

1. منوی "شروع" را باز کنید؛
2. "Command Prompt" را در نوار جستجو وارد کنید.
3. این خط را با دکمه سمت راست ماوس انتخاب کنید و با ماوس به "از طرف مدیر" اشاره کنید.
4. در این پنجره دستور شروع اسکن "sfc / scannow" را وارد کنید.
5. کلید ENTER را فشار دهید.

منتظر بمانید تا این فرآیند کامل شود. اگر ابزار مشکلی در سیستم فایل پیدا کند، این را در پیام نهایی خواهید دید. تمام پنجره ها را ببندید و سعی کنید برنامه CryptoPro را راه اندازی کنید تا مطمئن شوید که خطای "یک خطای گواهی هنگام تأیید روابط اعتماد رخ داده است" قبلاً برطرف شده است. برای موارد خاص یک شماره پشتیبانی فنی نرم افزار وجود دارد - 8 800 555 02 75.