Нарушение доверительных отношений между рабочей станцией и контроллером домена (решение)

В сети с парком в 150 машин после обновление операционной системы до MS Windows 7 стала постоянно наблюдаться проблема со входом пользователя в систему. В один прекрасный день пользователь включив компьютер обнаруживал, что войти в систему он не может, при этом видит ошеломляющее по своей информативности сообщение:
«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Решение тут одно. Вывести машину из домена и ввести обратно. Когда в день эта ситуация стала повторятся больше одного раза, да и просто надоело, задумался о профилактике. И вот тут интернет промолчал. После некоторого времени уныния, а уныние, как известно - грех, было решено копать. В результате пыток раскопок, была получена причина 99% случаев (и я подозреваю что оставшийся 1% просто не признался в той же самой причине). Причина - это служба восстановления при загрузке, которая включается при некорректном завершении работы. На первом же экране диалога служба спрашивает пользователя восстанавливать систему или нет. В случае положительного ответа система откатывается до более раннего состояния и, возможно, бьется sid машины. Как бы то ни было, домен пускать к себе пользователей с такой машину после такой операции не станет. Надеяться на пользователя в таком вопросе бесполезно. Можно просить его отказываться, в случае возникновения такой ситуации, но пользователь с очень большой вероятностью нажмет кнопку «восстановить» а потом разведет руками, мол бес попутал. В общем надо пакетно отключить службу восстановления при загрузке на n-машинах.

Локально решение выглядит, как консольная команда:

Reagentc.exe /disable

Для сети потребуется утилита PsExec из пакета Microsoft Sysinternals PsTools, описание утилиты и сам пакет лежат

Psexec.exe кладем в одну папку с нашим командным файлом (назовем его broff.cmd)
внутри broff.cmd пишем:

::Получаем список компьютеров в сети, чистим от мусора и кладем в net.lst net.exe view /domain:megafon >>net.tmp for /f "tokens=1,2 delims= " %%i in (net.tmp) do (Echo %%i>>net1.tmp) for /f "tokens=1,2 delims=\" %%i in (net1.tmp) do (Echo %%i>>net.lst) DEL *.TMP::Проходимся по списку и отключаем boot recovery for /f "tokens=1,2 delims= " %%F in (net.lst) do (start psexec \\%%F reagentc.exe /disable)

Вот и все. Пользователь больше нам не враг.

Теги: Доверительные отношения, DC, ИТ, администрирование сетей, сети, развертывание

. Windows XP

1 . Запустим редактор реестра, (Пуск - Выполнить - regedit - Enter)

. Windows 7

Что касается по Windows 7 , убираем с помощью программы RemoveWAT21
1. Скачайте данную программу с Deposit или Letitbit
2. Убираете старую активацию
3. Активируете заново
4. И убираете навсегда проверку на подлинность
Подробная инструкция описана в самой программе, вся операция происходит буквально в три клика.

Как избавиться от сообщения о нелицензионном Windows

Обновление (KB971033 ) проверяет подлинность для компонентов активации и проверки, входящих в состав технологий активации Windows для системы Windows 7 .
Правой кнопкой мыши нажимаем на значок: Компьютер - Свойства .
Выбираем Центр обновления Windows - Установленные обновления .
Находим, среди установленных обновлений (Обновление для Microsoft Windows KB971033 ), выделяем и удаляем его.
Чтобы, Windows больше не слетела с активации делаем обновление (KB971033) скрытым . Правой кнопкой мыши нажимаем на значок: Компьютер - Свойства . Выбираем Центр обновления Windows - Важные обновления . Находим (KB971033) и делаем его скрытым, нажав на него правой кнопкой мышки. Больше оно не будет приходить от Microsoft.

Поэтому не устанавливайте эти обновления..
Например, если у Вас пиратская версия то: KB905474 , KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Если установите KB971033 - он найдет кряк и будет выдавать сообщение, что "Вы стали жертвой поддельного ПО".
KB2859537 - в Windows XP может заблокировать запуск всех exe - файлов , кроме тех, что
лежат в папке Windows . Удаление обновления исправляет проблему.
Как получать обновления для Windows XP, читайте
Как из Windows XP Home Edition сделать Windows XP Professional Edition , читайте
Вот коротко,о том как убрать это окно.

Чем популярнее становятся устройства компании Apple, тем больше появляется подделок и очень важно понимать,как убедиться, что приобретаемый Айфон подлинный (оригинальный). Помимо этого, необходимо уметь проверять, не является ли устройство украденным и сохранена ли возможность гарантийного обслуживания в официальных магазинах iStore.

Ещё не так давно оригинальный и поддельный Айфон можно было различить с закрытыми глазами. Это было два абсолютно разных устройства, которые отличались не только ПО, но и качеством всех используемых деталей. А сейчас ситуация изменилась кардинальным образом и теперь очень трудно найти различия между настоящим и неоригинальным гаджетом.

В сегодняшнем материале, Вы научитесь подтверждать оригинальность Айфона перед тем, как его приобрести.

Что необходимо знать о iPhone?

Чтобы избежать сотрудничества с мошенниками, лучше всего приобретать Айфон лишь в салоне официального дилера.

К таким местам может относиться надёжный интернет-магазин или супермаркет электроники, который давно реализует продукцию компании Apple, у которого положительные отзывы в интернет-сети и который может предоставить клиентам сервисное обслуживание смартфона.

Помните, что официальные дилеры завышают цену на 20-30% от стоимости, которая определяется компанией Apple. По этой причине, потребители часто решают заказать гаджет из Соединенных Штатов Америки, при помощи множества распространителей. Другой способ купить Айфон дешевле – это найти объявление о продаже б/у устройства, которое нормально работает. У каждого из представленных способов меньше потратить на покупку, есть свои «подводные камни».

Выписать Айфон из США – дешевле, да и выбор цветовых решений там намного больше. Но если просто купить смартфон там, то он не будет работать в какой-либо другой стране, он будет функционировать лишь в США. Значит необходимо будет отключиться от сети мобильного оператора (анлок).

Также в интернете встречаются объявления о продаже смартфонов, которые не требуют анлока – это восстановленные гаджеты, которые кем-то были куплены, а затем из-за каких-то технических проблем, сданы обратно в магазин. Такие устройства отправляют в сервисный центр, где проводятся ремонтные работы, а затем продаются за границами США, где к ним относятся не очень хорошо.

Чтобы не купить китайскую подделку iPhone, необходимо разбираться в следующих вещах:

1. Что входит в полную комплектацию оригинального смартфона?
2. Проверка устройства по его внешним параметрам;
3. Нюансы работы программного обеспечения.

Как выбрать продавца?

Если Вы хотите приобрести оригинальный телефон и хотите быть в этом уверены на 100%, при чём не особо обращая внимания на стоимость устройства, то сразу направляйтесь в популярные торговые сети.

А если у Вас не хватает средств или Вы привыкли экономить на покупках качественных вещей, то запоминайте следующие советы по выбору надёжного продавца Айфонов:

• Всегда проверяйте отзывы о продавце и его рейтинг. Возможно придётся поискать дополнительную информацию о нём в поисковой системе, при помощи имени или номера телефона. Если это злоумышленник, о нём скорее всего говорят на каких-то сайтах, в группах соцсетей или же форумах.
• Просите, как можно больше фотографий с гаджетом, комплектацией устройства, коробкой и серийным номером. Возможно придётся даже созвониться с помощью видео звонка.
• Не стоит скупиться на вопросы, которые помогают узнать историю телефона. В каком магазине и как давно его приобрели? Сколько им пользовались? Ремонтировали ли его? Роняли ли его? Только владелец даст ответы на поставленные вопросы, а мошенник растеряется.
• Проверьте состояние гарантии и не является ли Айфон залоченным. Не обязательно наличие гарантии, но хорошим бонусом этот нюанс точно будет!

Параметры, отличающие оригинальный смартфон от поддельного

В компании Apple уделяется большое внимание вопросу безопасности и оригинальности собственных гаджетов. Именно поэтому, предусмотрены параметры, позволяющие пользователям выявлять и подтверждать уникальность своего устройства.

Для проверки необходимо осуществить внешний осмотр гаджета, а также выяснить серийный номер и исследовать работу ПО. Следуйте нашим советам:

1. Проверьте состояние корпуса, в том числе все особенности выбираемой модели Айфона;
2. Проверьте технические характеристики гаджета, они не должны отличаться от заявленных;
3. Проверьте серийный номер и код IMEI;
4. Проверьте Apple ID.

Этап №1. Проверяем IMEI, серийный номер и параметры iOS

Не рекомендуется приобретать Айфон без коробки, так как она является один из инструментов, который помогает выяснить оригинально или нет устройство. На коробке написан IMEI и его нужно сравнить с тем, который отображён в информации о iOS, в самом iPhone.

Если номера не совпали – это значит, что смартфон либо не оригинальный, либо ворованный.

Узнать IMEI на любом телефоне можно, набрав комбинацию: *#06#

Этап №2. Проверяем с помощью официального сайта Apple

Для того чтобы проверить подлинность устройства, можно воспользоваться интернет-сайтом компании Apple. Это очень точный и надёжный способ. А на проверку у Вас уйдёт несколько минут:

• Переходим на страницу Apple: https://checkcoverage.apple.com/ru/ru/;
• Вводим серийный номер устройства;
• Вводим информацию нужную информацию и нажимаем на «Продолжить».

Важно понимать, что этот способ определяет наличие возможности воспользоваться сервисным обслуживанием. Также с помощью сайта imei.info можно узнать:

• Модель гаджета;
• Его серийный номер;
• Дату первоначального приобретения;
• И наличие возможности обслуживания по гарантии.

Всё о Activation Lock

Activation Lock – это инструмент, позволяющий заблокировать Айфон, который был украден. Никто не сможет снять блокировку, кроме того, кто владел им до этого момента. Активация Activation Lock происходит с помощью сервиса FindMyPhone .

На сайте сервиса можно узнать тип гаджета, его местоположение, а также информацию о том, в каком статусе находится устройство.

Привязка iPhone к Apple ID

Apple ID – online-сервис, к которому должен быть привязан абсолютно каждый Айфон. Этот сайт идентифицирует пользователей. Создав аккаунт на сайте, данные аккаунт будут вводиться на каждом устройстве.

Всё привязывается к одному месту и может использоваться на нескольких устройствах одновременно.
Перед покупкой, важно проверять привязку устройства. Не следует покупать те устройства, к которому привязан какой-то посторонний аккаунт. Если продавец придумывает причины не выходить из аккаунта, значит покупать не стоит. Если нет возможности выйти из ID, значит устройство ворованное.

Для выхода следует осуществить следующие действия:

1. Зайти в настройки;
2. Включить «Основные» настройки;
3. Зайти в Apple ID;
4. Нажимаем на «Безопасность и пароль»;
5. Далее нажать «Выход»;
6. Потом подтверждаем процесс отвязки;

Как правильно проверять iPhone перед покупкой?

Неважно, какой Айфон Вы решили приобрести: из Америки, разлоченный, восстановленный или б/у, главное проверить его состояние на месте покупки. Для этого обращайте внимание на разные элементы, о которых мы расскажем далее.

Корпус

Нужно проверить в каком состоянии находится задняя крышка и экран. Хорошо, если дефекты отсутствуют или их количество сводится к минимальному числу. Вмятины, сколы и потёртости – признаки не очень качественного смартфона.

Нажатия на экран должны сопровождаться моментальной реакцией. Задержка – это признак того, что дисплейный модуль работает плохо.

Кнопки

Очень в Айфонах ломаются именно кнопки, поэтому стоит уделить особое внимание данным элементам управления.

Устройство должно без проблем запускаться и выключаться, TouchID, а также «качели» громкости должны реагировать без «тормозов».

Динамики

Необходимо проверить динами: разговорный и слуховой. При звонке Ваш собеседник должен отлично Вас слышать, а при проигрывании музыки Вы не должны слышать лишних шумов и помех.

Рядом с гнездом зарядки, находятся сеточки для динамика разговорного. Если они отсутствуют, это значит, что смартфон разбирали. Также следует проверить состояние двух винтов, удерживающих заднюю крышку.

Аппаратный анлок

Некоторые мошенники продают залоченые смартфоны, создавая эффект временной аппаратной разблокировки. Это достигается за счёт небольшой накладке в районе сим-карты.

Перед тем, как купить, нужно извлечь сим-карту и убедиться, что ничего лишнего там нет.

Модули связи

Нужно проверить как работают все модули связи: Wi-Fi, Bluetooth, GPS и 3G. Если что-то из этого не работает, значит повреждена антенна для связи.

В этой статье мы коснемся проблемы нарушения доверительных отношений между рабочей станцией и доменом, мешающей пользователю авторизоваться в системе. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений по безопасному каналу.

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

Не удалось восстановить доверительные отношения между рабочей станцией и доменом

Или такая:

The security database on the server does not have a computer account for this workstation trust relationship

Попробуем разобраться, что же означают данные ошибки и как их исправить.

Пароль компьютера в домене AD

При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.

Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.

Совет . Максимальный срок жизни пароля может быть настроен с помощью политики Domain member : Maximum machine account password age , которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options . Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).

Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.

Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.

«Классический» способ восстановить доверительные отношения в этом случае::

1. Сбросить пароль локального администратора
2. Вывести ПК из домена и включить его в рабочую группу
3. Перезагрузится
4. С помощью оснастки – сбросить учёту компьютера в домене (Reset Account)
5. Повторно включить ПК в домен
6. Еще раз перезагрузиться

Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.

Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.

Утилита Netdom

Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

• Server – имя любого доступного контроллера домена
• UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
• PasswordD – пароль пользователя

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Послу успешного выполнения команды перезагрузка не нужна, достаточно выполнить логофф и войти в систему под доменной учетной.

Командлет Reset-ComputerMachinePassword

Командлет появился в PowerShell 3.0, и в отличии от утилиты Netdom, уже имеется в системе, начиная с Windows 8 / Windows Server 2012. На Windows 7, Server 2008 и Server 2008 R2 его можно установить вручную (http://www.microsoft.com/en-us/download/details.aspx?id=34595), также требуется наличие Net Framework 4.0 или выше.

Также нужно войти в систему под локальной учетной записью администратора, открыть консоль PowerShell и выполнить команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server – имя контроллера домена
• Credential – имя пользователя с правами администратора домена (или правами на OU с ПК)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

В открывшемся окне безопасности нужно указать пароль пользователя.

Совет . Эту же операцию можно выполнить с помощью другого командлета Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corp\aapetrov

Проверить наличие безопасного канала между ПК и DC можно командой:

nltest /sc_verify:corp.adatum.com

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success

Trust Verification Status = 0 0x0 NERR_Success

Как вы видите, восстановить доверительные отношения в домене довольно просто.

С ошибкой "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом" время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа "Компьютер" и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ - это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант - это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory , находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись .

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

• Server - имя любого доменного контроллера
• UserD - имя учетной записи администратора домена
• PasswordD - пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную , поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server - имя любого контроллера домена
• Credential - имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное - правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.