Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows Server

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

ในบทความนี้ เราจะแสดงวิธีแก้ไขความสัมพันธ์ระหว่างเวิร์กสเตชันและโดเมน Active Directory เมื่อผู้ใช้ไม่สามารถเข้าสู่ระบบคอมพิวเตอร์โดเมนของตนได้ มาพิจารณาถึงสาเหตุของปัญหาและวิธีง่ายๆ ในการซ่อมแซมความเชื่อถือระหว่างคอมพิวเตอร์และตัวควบคุมโดเมนผ่านช่องทางที่ปลอดภัยโดยไม่ต้องรีบูตคอมพิวเตอร์และเข้าร่วมโดเมนอีกครั้ง

ความสัมพันธ์ที่เชื่อถือได้ระหว่างเวิร์กสเตชันนี้กับโดเมนหลักล้มเหลว

ปัญหาปรากฏขึ้นเมื่อผู้ใช้พยายามเข้าสู่ระบบเวิร์กสเตชันหรือเซิร์ฟเวอร์สมาชิกโดยใช้ข้อมูลประจำตัวของโดเมน และเกิดข้อผิดพลาดต่อไปนี้หลังจากป้อนรหัสผ่าน:

The trust relationship between this workstation and the primary domain failed.

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

ข้อผิดพลาดอาจมีลักษณะเช่นนี้:

The security database on the server does not have a computer account for this workstation trust relationship.

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

รหัสผ่านบัญชีเครื่อง (คอมพิวเตอร์) ในโดเมน Active Directory

เมื่อคอมพิวเตอร์เข้าร่วมโดเมน Active Directory บัญชีคอมพิวเตอร์แยกต่างหากจะถูกสร้างขึ้น เช่นเดียวกับผู้ใช้ คอมพิวเตอร์แต่ละเครื่องมีรหัสผ่านในการรับรองความถูกต้องของคอมพิวเตอร์ในโดเมน และสร้างการเชื่อมต่อที่เชื่อถือได้กับตัวควบคุมโดเมน อย่างไรก็ตาม รหัสผ่านคอมพิวเตอร์จะถูกตั้งค่าและเปลี่ยนโดยอัตโนมัติไม่เหมือนกับรหัสผ่านของผู้ใช้

สิ่งสำคัญบางอย่างเกี่ยวกับรหัสผ่านบัญชีคอมพิวเตอร์ใน AD:

  • ต้องเปลี่ยนรหัสผ่านคอมพิวเตอร์ใน AD เป็นประจำ (ทุกๆ 30 วันโดยค่าเริ่มต้น)เคล็ดลับ คุณสามารถกำหนดอายุรหัสผ่านคอมพิวเตอร์สูงสุดได้โดยใช้ สมาชิกโดเมน:อายุรหัสผ่านบัญชีเครื่องสูงสุด นโยบายที่อยู่ภายใต้การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows-> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย อายุการใช้งานรหัสผ่านคอมพิวเตอร์อาจอยู่ได้ตั้งแต่ 0 ถึง 999 วัน (30 วันโดยค่าเริ่มต้น) การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย
  • รหัสผ่านคอมพิวเตอร์ไม่สามารถหมดอายุได้ซึ่งต่างจากรหัสผ่านของผู้ใช้ คอมพิวเตอร์เริ่มเปลี่ยนรหัสผ่าน ไม่ใช่ตัวควบคุมโดเมน รหัสผ่านคอมพิวเตอร์ไม่อยู่ภายใต้นโยบายรหัสผ่านของโดเมน แม้ว่าคอมพิวเตอร์จะปิดทำงานเป็นเวลา 30 วันขึ้นไป คุณยังสามารถเปิดเครื่องได้ และคอมพิวเตอร์จะตรวจสอบสิทธิ์ใน DC ของคุณด้วยรหัสผ่านเก่า จากนั้น Netlogon . ในพื้นที่ บริการจะเปลี่ยนรหัสผ่านคอมพิวเตอร์ในฐานข้อมูลท้องถิ่น (รหัสผ่านถูกเก็บไว้ในรีจิสทรี HKLM\SECURITY\Policy\Secrets\$machine.ACC ) จากนั้นจะอัปเดตรหัสผ่านบัญชีคอมพิวเตอร์ใน Active Directory
  • รหัสผ่านคอมพิวเตอร์มีการเปลี่ยนแปลงใน DC ที่ใกล้ที่สุด การเปลี่ยนแปลงจะไม่ถูกส่งไปยังตัวควบคุมโดเมนที่มีบทบาท FSMO โปรแกรมจำลอง PDC (เช่น หากคอมพิวเตอร์เปลี่ยนรหัสผ่านใน DC หนึ่งเครื่อง จะไม่สามารถตรวจสอบความถูกต้องได้ ใน DC อื่นจนกว่าการเปลี่ยนแปลง AD จะถูกจำลอง)

หากแฮชของรหัสผ่านที่คอมพิวเตอร์ส่งไปยังตัวควบคุมโดเมนไม่ตรงกับรหัสผ่านของบัญชีคอมพิวเตอร์ในฐานข้อมูล AD คอมพิวเตอร์จะไม่สามารถสร้างการเชื่อมต่อที่ปลอดภัยกับ DC และส่งคืนข้อผิดพลาดในการเชื่อมต่อที่เชื่อถือได้

เหตุใดจึงเกิดปัญหา:

  1. คอมพิวเตอร์ได้รับการคืนค่าจากจุดคืนค่าเก่าหรือสแน็ปช็อต (ในกรณีของเครื่องเสมือน) ที่สร้างขึ้นเร็วกว่ารหัสผ่านคอมพิวเตอร์ที่มีการเปลี่ยนแปลงใน AD หากคุณหมุนคอมพิวเตอร์กลับสู่สถานะก่อนหน้า คอมพิวเตอร์จะพยายามตรวจสอบสิทธิ์ใน DC โดยใช้รหัสผ่านเก่า เป็นปัญหาที่พบบ่อยที่สุด;
  2. มีการสร้างคอมพิวเตอร์ชื่อเดียวกันใน AD หรือมีผู้รีเซ็ตบัญชีคอมพิวเตอร์ในโดเมนโดยใช้คอนโซล ADUC (dsa.msc ); การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย
  3. บัญชีคอมพิวเตอร์ในโดเมนถูกปิดใช้งานโดยผู้ดูแลระบบ (เช่น ในระหว่างขั้นตอนปกติของการปิดใช้งานวัตถุ AD ที่ไม่ใช้งาน)
  4. ค่อนข้างน้อยเมื่อเวลาของระบบบนคอมพิวเตอร์ไม่ถูกต้อง

นี่คือวิธีคลาสสิกในการซ่อมแซมความสัมพันธ์ระหว่างคอมพิวเตอร์และโดเมน:

  1. รีเซ็ตบัญชีคอมพิวเตอร์ใน AD;
  2. ย้ายคอมพิวเตอร์จากโดเมนไปยังเวิร์กกรุ๊ปภายใต้ผู้ดูแลระบบภายใน
  3. รีบูต
  4. เข้าร่วมคอมพิวเตอร์กับโดเมนอีกครั้ง
  5. รีสตาร์ทคอมพิวเตอร์อีกครั้ง

วิธีการนี้ดูเรียบง่าย แต่ดูงุ่มง่ามเกินไป ต้องรีสตาร์ทคอมพิวเตอร์อย่างน้อยสองครั้งและใช้เวลา 10-30 นาที นอกจากนี้ คุณอาจประสบปัญหาในการใช้โปรไฟล์ผู้ใช้ในเครื่องแบบเก่า

มีวิธีที่ชาญฉลาดกว่าในการซ่อมแซมความสัมพันธ์ที่เชื่อถือได้โดยใช้ PowerShell โดยไม่ต้องเข้าร่วมโดเมนใหม่หรือรีสตาร์ทคอมพิวเตอร์

ตรวจสอบและกู้คืนความสัมพันธ์ที่เชื่อถือได้ระหว่างคอมพิวเตอร์และโดเมนโดยใช้ PowerShell

ถ้าคุณไม่สามารถรับรองความถูกต้องบนคอมพิวเตอร์ภายใต้บัญชีโดเมน และเกิดข้อผิดพลาดต่อไปนี้:ความสัมพันธ์ที่เชื่อถือระหว่างเวิร์กสเตชันนี้และโดเมนหลักล้มเหลว คุณต้องเข้าสู่ระบบคอมพิวเตอร์โดยใช้บัญชีผู้ดูแลระบบในพื้นที่ของคุณ คุณยังสามารถถอดสายเคเบิลเครือข่ายและรับรองความถูกต้องบนคอมพิวเตอร์ด้วยบัญชีโดเมนที่เข้าสู่ระบบคอมพิวเตอร์เมื่อเร็วๆ นี้โดยใช้ Cached Credentials

เปิดคอนโซล PowerShell ที่ยกระดับและใช้ Test-ComputerSecureChannel cmdlet ตรวจสอบให้แน่ใจว่ารหัสผ่านเครื่องคอมพิวเตอร์ตรงกับรหัสผ่านที่จัดเก็บไว้ใน AD

Test-ComputerSecureChannel –verbose

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

ถ้ารหัสผ่านไม่ตรงกันและคอมพิวเตอร์ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้กับโดเมน คำสั่งจะคืนค่า FalseThe Secure channel between the local computer and the domain woshub.com is broken .

หากต้องการบังคับให้รีเซ็ตรหัสผ่านบัญชีคอมพิวเตอร์ใน AD ให้เรียกใช้คำสั่งนี้:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

ในการรีเซ็ตรหัสผ่าน ให้ป้อนข้อมูลประจำตัวของบัญชีผู้ใช้ที่มีสิทธิ์รีเซ็ตรหัสผ่านบัญชีคอมพิวเตอร์ ผู้ใช้ต้องได้รับมอบหมายสิทธิ์ในการจัดการคอมพิวเตอร์ใน Active Directory (คุณอาจใช้สมาชิกกลุ่ม Domain Admins)

จากนั้นเรียกใช้ Test-ComputerSecureChannel อีกครั้งเพื่อให้แน่ใจว่าส่งคืน True (The Secure channel between the local computer and the domain woshub.com is in good condition )

ดังนั้นรหัสผ่านของคอมพิวเตอร์จึงถูกรีเซ็ตโดยไม่ต้องรีสตาร์ทหรือเข้าร่วมโดเมนด้วยตนเองอีกครั้ง ตอนนี้คุณสามารถเข้าสู่ระบบคอมพิวเตอร์โดยใช้บัญชีโดเมนของคุณ

นอกจากนี้ ในการบังคับรีเซ็ตรหัสผ่าน คุณสามารถใช้ Reset-ComputerMachinePassword cmdlet.

Reset-ComputerMachinePassword -Server mun-dc01.woshub.com -Credential woshub\adm_user1

mun-dc01.woshub.com เป็นชื่อของ DC ที่ใกล้ที่สุดเพื่อเปลี่ยนรหัสผ่านคอมพิวเตอร์

ควรรีเซ็ตรหัสผ่านคอมพิวเตอร์ทุกครั้งก่อนสร้างสแน็ปช็อตเครื่องเสมือนหรือจุดคืนค่าคอมพิวเตอร์ คุณจะย้อนกลับไปยังสถานะคอมพิวเตอร์ก่อนหน้าได้ง่ายขึ้น

ถ้าคุณมีสภาพแวดล้อมการพัฒนาหรือการทดสอบ ซึ่งคุณต้องกู้คืนสถานะ VM ก่อนหน้าจากสแน็ปช็อตบ่อยครั้ง คุณอาจต้องการปิดใช้งานการเปลี่ยนรหัสผ่านในโดเมนสำหรับคอมพิวเตอร์เหล่านี้โดยใช้ GPO ในการดำเนินการ ให้ตั้งค่า สมาชิกโดเมน:ปิดใช้งานการเปลี่ยนแปลงรหัสผ่านบัญชีเครื่อง นโยบายที่อยู่ในการกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย คุณกำหนดเป้าหมายนโยบายไปที่ OU ได้ด้วยคอมพิวเตอร์ทดสอบหรือใช้ตัวกรอง GPO WMI

การใช้ Get-ADComputer cmdlet (จากโมดูล Active Directory สำหรับ Windows PowerShell) คุณสามารถตรวจสอบวันที่ของการเปลี่ยนรหัสผ่านคอมพิวเตอร์ครั้งล่าสุดใน AD:

Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet

cmdlet ของ Test-ComputerSecureChannel และ Reset-ComputerMachinePassword จะพร้อมใช้งานตั้งแต่เวอร์ชัน PowerShell 3.0 คุณจะต้องอัปเดตเวอร์ชัน PowerShell ใน Windows 7/Windows Server 2008 R2

คุณยังตรวจสอบได้ว่ามีช่องสัญญาณที่ปลอดภัยระหว่างคอมพิวเตอร์กับ DC หรือไม่โดยใช้คำสั่งนี้:

nltest /sc_verify:woshub.com

บรรทัดต่อไปนี้ยืนยันว่าซ่อมแซมความเชื่อถือสำเร็จแล้ว:

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

Trusted DC Connection Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

ซ่อมแซมความเชื่อถือของโดเมนโดยใช้ Netdom

ใน Windows 7/2008R2 และใน Windows เวอร์ชันก่อนหน้าที่ไม่มี PowerShell 3.0 คุณไม่สามารถใช้ cmdlet ของ Test-ComputerSecureChannel และ Reset-ComputerMachinePassword เพื่อรีเซ็ตรหัสผ่านคอมพิวเตอร์และซ่อมแซมความสัมพันธ์ที่เชื่อถือได้กับโดเมน ในกรณีนี้ ให้ใช้ netdom.exe เครื่องมือในการกู้คืนช่องสัญญาณที่ปลอดภัยด้วยตัวควบคุมโดเมน

เน็ตดอม รวมอยู่ใน Windows Server 2008 หรือใหม่กว่า และสามารถติดตั้งบนคอมพิวเตอร์ของผู้ใช้ได้จาก RSAT (เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกล) เมื่อต้องการซ่อมแซมความสัมพันธ์ที่เชื่อถือได้ ให้เข้าสู่ระบบโดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบภายใน (โดยพิมพ์ .\Administrator บนหน้าจอเข้าสู่ระบบ) และเรียกใช้คำสั่งต่อไปนี้:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

การซ่อมแซมความสัมพันธ์ระหว่างเวิร์กสเตชันและ AD Domain ที่เสียหาย

The machine account password for the local machine has successfully reset.
  • เซิร์ฟเวอร์ เป็นชื่อของตัวควบคุมโดเมนที่มีอยู่
  • UserD เป็นชื่อของผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบโดเมนหรือได้รับมอบหมายสิทธิ์ใน OU ที่มีบัญชีคอมพิวเตอร์
  • รหัสผ่าน D รหัสผ่านผู้ใช้

Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd

หลังจากรันคำสั่ง คุณไม่จำเป็นต้องรีบูตเครื่องคอมพิวเตอร์:เพียงแค่ออกจากระบบและเข้าสู่ระบบอีกครั้งโดยใช้บัญชีโดเมนของคุณ

อย่างที่คุณเห็น การซ่อมแซมความเชื่อถือระหว่างคอมพิวเตอร์กับโดเมนทำได้ง่ายมาก