• ×

    • เกิดข้อผิดพลาดของระบบ 221 ขณะดำเนินการควบคุม เกิดข้อผิดพลาดของระบบขณะตรวจสอบความสัมพันธ์ที่เชื่อถือได้ - ใบรับรอง วิธีอื่นในการแก้ไขข้อผิดพลาดเมื่อตรวจสอบความสัมพันธ์ที่เชื่อถือได้

    25.11.2020

    ผู้ดูแลระบบทุกคนพบข้อผิดพลาด “ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่างเวิร์กสเตชันนี้และโดเมนหลัก” เป็นครั้งคราว แต่ไม่ใช่ทุกคนที่เข้าใจสาเหตุและกลไกของกระบวนการที่นำไปสู่การเกิดขึ้น เพราะหากไม่เข้าใจความหมายของเหตุการณ์ปัจจุบัน การบริหารงานอย่างมีความหมายจึงเป็นไปไม่ได้ ซึ่งถูกแทนที่ด้วยการดำเนินการตามคำสั่งอย่างไม่รอบคอบ

    บัญชีคอมพิวเตอร์ เช่น บัญชีผู้ใช้ เป็นหลักการรักษาความปลอดภัยของโดเมน หลักการรักษาความปลอดภัยแต่ละรายการจะได้รับการกำหนดตัวระบุความปลอดภัย (SID) โดยอัตโนมัติตามระดับที่สามารถเข้าถึงทรัพยากรของโดเมนได้

    ก่อนที่คุณจะให้สิทธิ์การเข้าถึงบัญชีแก่โดเมน คุณต้องตรวจสอบความถูกต้องของโดเมน ผู้เข้าร่วมการรักษาความปลอดภัยแต่ละคนจะต้องมีบัญชีและรหัสผ่านของตนเอง และบัญชีคอมพิวเตอร์ก็ไม่มีข้อยกเว้น เมื่อคุณรวมคอมพิวเตอร์เข้ากับ Active Directory บัญชีคอมพิวเตอร์จะถูกสร้างขึ้นและมีการตั้งรหัสผ่าน ความน่าเชื่อถือในระดับนี้มั่นใจได้จากข้อเท็จจริงที่ว่าการดำเนินการนี้ดำเนินการโดยผู้ดูแลระบบโดเมนหรือผู้ใช้รายอื่นที่มีอำนาจอย่างชัดเจนในการดำเนินการดังกล่าว

    ต่อจากนั้น แต่ละครั้งที่คอมพิวเตอร์เข้าสู่ระบบโดเมน คอมพิวเตอร์จะสร้างช่องทางที่ปลอดภัยด้วยตัวควบคุมโดเมนและให้ข้อมูลประจำตัวแก่คอมพิวเตอร์ ด้วยวิธีนี้ ความสัมพันธ์ที่น่าเชื่อถือจะถูกสร้างขึ้นระหว่างคอมพิวเตอร์และโดเมน และการโต้ตอบเพิ่มเติมจะเกิดขึ้นตามนโยบายความปลอดภัยและสิทธิ์การเข้าถึงที่กำหนดโดยผู้ดูแลระบบ

    รหัสผ่านบัญชีคอมพิวเตอร์มีอายุ 30 วัน และจะถูกเปลี่ยนโดยอัตโนมัติหลังจากนั้น สิ่งสำคัญคือต้องเข้าใจว่าการเปลี่ยนรหัสผ่านเริ่มต้นโดยคอมพิวเตอร์ ซึ่งคล้ายกับกระบวนการเปลี่ยนรหัสผ่านผู้ใช้ เมื่อพบว่ารหัสผ่านปัจจุบันหมดอายุแล้ว คอมพิวเตอร์จะแทนที่รหัสผ่านในครั้งถัดไปที่คุณเข้าสู่โดเมน ดังนั้นแม้ว่าคุณจะไม่ได้เปิดคอมพิวเตอร์เป็นเวลาหลายเดือน ความสัมพันธ์ที่เชื่อถือได้ในโดเมนจะยังคงอยู่ และรหัสผ่านจะถูกเปลี่ยนในครั้งแรกที่คุณเข้าสู่ระบบหลังจากหยุดพักเป็นเวลานาน

    ความน่าเชื่อถือเสียหายเมื่อคอมพิวเตอร์พยายามรับรองความถูกต้องของโดเมนด้วยรหัสผ่านที่ไม่ถูกต้อง สิ่งนี้จะเกิดขึ้นได้อย่างไร? วิธีที่ง่ายที่สุดคือการย้อนกลับสถานะของคอมพิวเตอร์ เช่น การใช้ยูทิลิตี้การคืนค่าระบบมาตรฐาน คุณสามารถบรรลุเอฟเฟกต์เดียวกันนี้ได้เมื่อกู้คืนจากรูปภาพ สแน็ปช็อต (สำหรับเครื่องเสมือน) ฯลฯ

    อีกทางเลือกหนึ่งคือเปลี่ยนบัญชีด้วยคอมพิวเตอร์เครื่องอื่นที่มีชื่อเดียวกัน สถานการณ์ค่อนข้างเกิดขึ้นไม่บ่อยนัก แต่บางครั้งก็เกิดขึ้น เช่น เมื่อพีซีของพนักงานถูกเปลี่ยนในขณะที่บันทึกชื่อ เครื่องเก่าจะถูกลบออกจากโดเมน จากนั้นจึงถูกแนะนำให้รู้จักกับโดเมนอีกครั้ง โดยลืมเปลี่ยนชื่อ ในกรณีนี้ เมื่อพีซีเครื่องเก่าถูกป้อนเข้าสู่โดเมนอีกครั้ง พีซีจะเปลี่ยนรหัสผ่านของบัญชีของคอมพิวเตอร์ และพีซีเครื่องใหม่จะไม่สามารถเข้าสู่ระบบได้อีกต่อไป เนื่องจากจะไม่สามารถสร้างความสัมพันธ์ที่น่าเชื่อถือได้

    คุณควรดำเนินการอย่างไรหากคุณพบข้อผิดพลาดนี้ ก่อนอื่นให้ระบุสาเหตุของการละเมิด ความสัมพันธ์ที่ไว้วางใจ- หากเป็นการย้อนกลับโดยใครเมื่อใดและอย่างไร หากคอมพิวเตอร์เครื่องอื่นเปลี่ยนรหัสผ่านเราต้องค้นหาอีกครั้งว่าสิ่งนี้เกิดขึ้นเมื่อใดและภายใต้สถานการณ์ใด

    ตัวอย่างง่ายๆ: คอมพิวเตอร์เครื่องเก่าถูกเปลี่ยนชื่อและมอบให้กับแผนกอื่น หลังจากนั้นเครื่องก็ขัดข้องและย้อนกลับไปยังจุดตรวจสอบสุดท้ายโดยอัตโนมัติ หลังจากนั้นพีซีเครื่องนี้จะพยายามรับรองความถูกต้องในโดเมนภายใต้ชื่อเก่า และจะได้รับข้อผิดพลาดในการสร้างความสัมพันธ์ที่เชื่อถือได้ตามธรรมชาติ การดำเนินการที่ถูกต้องในกรณีนี้คือการเปลี่ยนชื่อคอมพิวเตอร์ตามที่ควรจะเรียก สร้างจุดตรวจสอบใหม่และลบอันเก่า

    และหลังจากตรวจสอบให้แน่ใจว่าการละเมิดความไว้วางใจนั้นเกิดจากการกระทำที่จำเป็นตามวัตถุประสงค์และสำหรับคอมพิวเตอร์เครื่องนี้เท่านั้นที่คุณสามารถเริ่มฟื้นคืนความไว้วางใจได้ มีหลายวิธีในการทำเช่นนี้

    ผู้ใช้ Active Directory และคอมพิวเตอร์

    นี่เป็นวิธีที่ง่ายที่สุด แต่ไม่ใช่วิธีที่เร็วที่สุดและ วิธีที่สะดวก- เปิดสแนปอินบนตัวควบคุมโดเมนใดๆ ผู้ใช้ Active Directory และคอมพิวเตอร์ค้นหาบัญชีคอมพิวเตอร์ที่ต้องการ และเลือกโดยคลิกขวา รีเซ็ตบัญชี.

    จากนั้นเราเข้าสู่ระบบคอมพิวเตอร์ที่สูญเสียความสัมพันธ์ที่เชื่อถือได้ ผู้ดูแลระบบท้องถิ่นและลบเครื่องออกจากโดเมน

    จากนั้นเราจะป้อนกลับ คุณสามารถข้ามการรีบูตระหว่างสองการกระทำนี้ได้ หลังจากเข้าสู่โดเมนอีกครั้ง ให้รีบูตและเข้าสู่ระบบด้วยบัญชีโดเมน รหัสผ่านของคอมพิวเตอร์จะถูกเปลี่ยนเมื่อคอมพิวเตอร์กลับเข้าร่วมโดเมนอีกครั้ง

    ข้อเสียของวิธีนี้คือต้องนำเครื่องออกจากโดเมน และต้องรีบูตสองครั้ง (หนึ่งครั้ง)

    ยูทิลิตี้เน็ตดอม

    ยูทิลิตี้นี้รวมอยู่ใน Windows Server ตั้งแต่รุ่น 2008 สามารถติดตั้งบนพีซีของผู้ใช้โดยเป็นส่วนหนึ่งของแพ็คเกจ RSAT (Remote Server Administration Tools) หากต้องการใช้งาน ให้ล็อกอินเข้าสู่ระบบเป้าหมาย ผู้ดูแลระบบท้องถิ่นและรันคำสั่ง:

    Netdom รีเซ็ต pwd /เซิร์ฟเวอร์:DomainController /UserD:ผู้ดูแลระบบ /PasswordD:รหัสผ่าน

    ลองดูตัวเลือกคำสั่ง:

    • เซิร์ฟเวอร์- ชื่อของตัวควบคุมโดเมนใด ๆ
    • ผู้ใช้D- ชื่อบัญชีผู้ดูแลระบบโดเมน
    • รหัสผ่านD- รหัสผ่านผู้ดูแลระบบโดเมน

    เมื่อคำสั่งเสร็จสมบูรณ์แล้ว ไม่จำเป็นต้องรีบูต เพียงออกจากระบบบัญชีท้องถิ่นของคุณและลงชื่อเข้าใช้บัญชีโดเมนของคุณ

    PowerShell 3.0 cmdlet

    ต่างจากยูทิลิตี้ Netdom ตรงที่ PowerShell 3.0 รวมอยู่ในระบบโดยเริ่มตั้งแต่ Windows 8 / Server 2012 สำหรับระบบรุ่นเก่าสามารถติดตั้งได้ด้วยตนเอง รองรับ Windows 7, Server 2008 และ Server 2008 R2 ต้องใช้ Net Framework 4.0 หรือใหม่กว่าในการพึ่งพา

    ในทำนองเดียวกัน เข้าสู่ระบบที่คุณต้องการคืนค่าความเชื่อถือในฐานะผู้ดูแลระบบท้องถิ่น เปิดคอนโซล PowerShell และรันคำสั่ง:

    รีเซ็ต ComputerMachinePassword - Server DomainController - Credential Domain\Admin

    • เซิร์ฟเวอร์- ชื่อของตัวควบคุมโดเมนใด ๆ
    • หนังสือรับรอง- ชื่อโดเมน / บัญชีผู้ดูแลระบบโดเมน

    เมื่อคุณดำเนินการคำสั่งนี้ หน้าต่างการอนุญาตจะปรากฏขึ้นโดยคุณจะต้องป้อนรหัสผ่านสำหรับบัญชีผู้ดูแลระบบโดเมนที่คุณระบุ

    cmdlet ไม่แสดงข้อความใดๆ เมื่อดำเนินการเสร็จสมบูรณ์ ดังนั้นเพียงเปลี่ยนบัญชี ไม่จำเป็นต้องรีบูต

    อย่างที่คุณเห็น การคืนค่าความสัมพันธ์ที่ไว้วางใจในโดเมนนั้นค่อนข้างง่าย สิ่งสำคัญคือการสร้างสาเหตุของปัญหานี้อย่างถูกต้อง เนื่องจาก กรณีที่แตกต่างกันจะต้อง วิธีการที่แตกต่างกัน- ดังนั้นเราจึงไม่เคยเบื่อที่จะทำซ้ำ: เมื่อเกิดปัญหาใดๆ คุณต้องระบุสาเหตุก่อน จากนั้นจึงดำเนินมาตรการเพื่อแก้ไข แทนที่จะทำซ้ำคำสั่งแรกที่พบในเครือข่ายอย่างไร้เหตุผล

    จุดประสงค์ของบทความนี้คือการสร้าง คำแนะนำทีละขั้นตอนเพื่อสร้างใน ความสัมพันธ์ที่เชื่อถือได้ภายนอกระหว่างสองโดเมนวินโดว์ 2000. ดูเหมือนว่าทุกสิ่งที่จำเป็นในการสร้างความสัมพันธ์ที่ไว้วางใจนั้นอยู่ที่นั่น มีสิทธิ เครื่องมือในการสร้างความไว้วางใจเป็นที่รู้จัก แต่ในทางปฏิบัติ คำแนะนำง่ายๆไม่ได้ทำงานเสมอไป ลองคิดออกด้วยกัน

    หากเราพูดด้วยถ้อยคำแห้งๆ เราก็จะจำสิ่งนั้นได้ ความสัมพันธ์ที่ไว้วางใจคือความสัมพันธ์เชิงตรรกะระหว่างโดเมนที่ให้การรับรองความถูกต้องจากต้นทางถึงปลายทางที่ไหน โดเมนที่เชื่อถือได้ยอมรับการรับรองความถูกต้องที่ดำเนินการใน โดเมนที่เชื่อถือได้- ในกรณีนี้ บัญชีผู้ใช้และกลุ่มส่วนกลางที่กำหนดไว้ในโดเมนที่เชื่อถือได้สามารถรับสิทธิ์และการอนุญาตในทรัพยากรในโดเมนของ trustor แม้ว่าบัญชีเหล่านั้นจะไม่มีอยู่ในฐานข้อมูลอ้างอิงของโดเมนของ trustor

    เมื่อใดจึงจำเป็นต้องสร้างความไว้วางใจ? คำตอบแรกคือผู้ใช้ขององค์กรหนึ่ง (โดเมนในฟอเรสต์หนึ่ง) จำเป็นต้องใช้ทรัพยากรจากองค์กรอื่น (โดเมนอื่นในฟอเรสต์อื่น) หรือในทางกลับกัน ดังนั้นความสัมพันธ์ที่เชื่อถือได้จึงจำเป็นเมื่อย้ายออบเจ็กต์ความปลอดภัยจากโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง ( ตัวอย่างเช่น เมื่อใช้เครื่องมือ ADMT v2 จาก Microsoft) และในสภาพการทำงานในชีวิตอื่นๆ อีกมากมาย

    สามารถสร้างความน่าเชื่อถือภายนอกเพื่อสร้างความน่าเชื่อถือแบบอกรรมกริยาทางเดียวหรือสองทาง (นั่นคือ ความสัมพันธ์ในสภาพแวดล้อมแบบหลายโดเมนที่จำกัดเพียงสองโดเมน) กับโดเมนภายนอกฟอเรสต์ บางครั้งความเชื่อถือภายนอกจะใช้เมื่อผู้ใช้ต้องการเข้าถึงทรัพยากรที่อยู่ในโดเมน Windows ที่อยู่ภายในฟอเรสต์อื่น ดังแสดงในรูป

    เมื่อมีการสร้างความน่าเชื่อถือระหว่างโดเมนในฟอเรสต์หนึ่งๆ และโดเมนภายนอกฟอเรสต์นั้น หลักการรักษาความปลอดภัย (ซึ่งอาจเป็นผู้ใช้ กลุ่ม หรือคอมพิวเตอร์) ในโดเมนภายนอกสามารถเข้าถึงทรัพยากรในโดเมนภายในได้ สร้าง "วัตถุหลักความปลอดภัยภายนอก" ในโดเมนภายในเพื่อแสดงถึงหลักความปลอดภัยแต่ละรายการจากโดเมนภายนอกที่เชื่อถือได้ หลักการรักษาความปลอดภัยภายนอกเหล่านี้สามารถเป็นสมาชิกของกลุ่มท้องถิ่นของโดเมนในโดเมนที่เชื่อถือได้ภายใน กลุ่มโลคัลโดเมน (โดยทั่วไปใช้เพื่อกำหนดสิทธิ์ให้กับทรัพยากร) สามารถรวมหลักการรักษาความปลอดภัยจากโดเมนภายนอกฟอเรสต์ได้

    หลังจากกำหนดแนวคิดแล้ว เรามาเริ่มสร้างความสัมพันธ์ที่เชื่อถือได้ทางเดียวภายนอกจากโดเมน D01 ถึงโดเมน D04

    การกำหนดค่าระบบ:

    โดยทั่วไปแล้ว ทั้งสองโดเมนจะถูกใช้งานบนเครือข่ายที่แตกต่างกัน และการสื่อสารระหว่างกันจะดำเนินการผ่านเกตเวย์ ในบางครั้ง เพื่อจุดประสงค์เหล่านี้ การ์ดเครือข่ายที่สองจะถูกเพิ่มลงในตัวควบคุมโดเมน โดยสร้างการเชื่อมต่อกับเครือข่ายภายนอกผ่านการ์ดเหล่านั้น ในตัวอย่างนี้ ฉันใช้กรณีที่ง่ายที่สุดที่ทั้งสองโดเมนอยู่บนเครือข่ายย่อยเดียวกัน ในกรณีนี้ เป็นไปได้ที่จะสร้างความสัมพันธ์ที่น่าเชื่อถือโดยการระบุชื่อโดเมน NETBIOS และการคำนวณที่ระบุนั้นไม่จำเป็น อย่างไรก็ตาม เนื่องจากโครงสร้างเครือข่ายมีความซับซ้อนมากขึ้น (ซับเน็ตของโดเมนที่แตกต่างกัน การสื่อสารผ่านเกตเวย์และเครือข่ายส่วนตัวเสมือน) ความน่าเชื่อถือจึงไม่สามารถทำได้ ตั้งค่าได้อย่างง่ายดาย จากนั้นคุณควรใช้การตั้งค่าเครือข่ายเพิ่มเติมที่ระบุด้านล่าง

    มาจัดทำแผนปฏิบัติการเพื่อสร้างความสัมพันธ์ที่ไว้วางใจกัน:

    • ตรวจสอบการเชื่อมต่อระหว่างสองเซิร์ฟเวอร์
    • ตรวจสอบการตั้งค่าของแต่ละโดเมน
    • การตั้งค่าการจำแนกชื่อสำหรับโดเมนภายนอก
    • สร้างการเชื่อมต่อในส่วนของโดเมนที่เชื่อถือได้
    • การสร้างการเชื่อมต่อจากโดเมนที่เชื่อถือได้
    • การตรวจสอบความสัมพันธ์ทางเดียวที่จัดตั้งขึ้น
    • การสร้างความไว้วางใจสองทาง (ถ้าจำเป็น)

    ทุกอย่างไม่ซับซ้อนอย่างที่คิด ประเด็นสำคัญในรายการนี้คือสามประเด็นแรก การนำไปปฏิบัติที่ถูกต้องซึ่งส่งผลโดยตรงต่อผลลัพธ์สุดท้าย ฉันยังทราบด้วยว่าการดำเนินการทั้งหมดดำเนินการในนามของบัญชีผู้ดูแลระบบของโดเมนที่เกี่ยวข้องซึ่งมีสิทธิ์ที่จำเป็นทั้งหมดสำหรับสิ่งนี้


    มาเริ่มกันเลย.

    สิ่งแรกที่ต้องทำคือสำรองสถานะระบบของคุณ ทุกคนตัวควบคุมโดเมนในทั้งสองโดเมน (และไดเร็กทอรีระบบด้วย)

    จากนั้นจึงเริ่มทำการเปลี่ยนแปลงเท่านั้น ดังนั้นตรวจสอบให้แน่ใจว่าสามารถสร้างการสื่อสารระหว่างเซิร์ฟเวอร์ทั้งสองได้:

    • จากเซิร์ฟเวอร์ Server01 เราจะตรวจสอบให้แน่ใจว่าสามารถเข้าถึงได้จากเซิร์ฟเวอร์ Server04 (192.168.1.4)
      สิ่งสำคัญคือต้องสร้างการเชื่อมต่อด้วยที่อยู่ IP เพื่อหลีกเลี่ยงข้อผิดพลาดที่เกี่ยวข้องกับการจำแนกชื่อ
      บนบรรทัดคำสั่งเราป้อน: ปิง 192.168.1.4
      ควรได้รับการตอบกลับจากที่อยู่ระยะไกล หากคำตอบคือไม่ ให้วิเคราะห์โครงสร้างพื้นฐานเครือข่ายของคุณและแก้ไขปัญหา
    • จากเซิร์ฟเวอร์ Server04 เราจะตรวจสอบให้แน่ใจว่าสามารถเข้าถึงได้จากเซิร์ฟเวอร์ Server01 (192.168.1.1)
      บนบรรทัดคำสั่งเราป้อน: ปิง 192.168.1.1
      ควรได้รับการตอบกลับจากที่อยู่เซิร์ฟเวอร์ระยะไกล Server01

    หากทุกอย่างเป็นไปตามลำดับ ให้ไปยังขั้นตอนถัดไปโดยตรวจสอบการตั้งค่าโดเมน

    จากการตั้งค่าทั้งหมด เราจะตรวจสอบเฉพาะการกำหนดค่าของโซน DNS หลักที่รองรับแต่ละโดเมน Active Directory เนื่องจากเป็นข้อมูลจากโซนนี้ที่มีบันทึกทรัพยากรโดเมนและช่วยให้คุณสามารถระบุตำแหน่งและที่อยู่ของบริการโดเมนที่เกี่ยวข้องได้

    มารันคำสั่งในแต่ละเซิร์ฟเวอร์กัน ไอพีคอนฟิกเอ็กซ์อี /ทั้งหมดและ nslookup.อดีต(หน้าจอที่ 1 และ 2)

    Ipconfig แสดงการกำหนดค่าโปรโตคอล TCP/IP – ที่อยู่ IP, ที่อยู่เกตเวย์ และเซิร์ฟเวอร์ DNS สำหรับตัวควบคุม หากกำหนดค่าโครงสร้างพื้นฐาน DNS อย่างถูกต้อง nslookup จะแสดงรายการที่อยู่ IP ของตัวควบคุมโดเมนเมื่อสอบถามชื่อ DNS ของโดเมนในเครื่อง หากไม่สามารถรับที่อยู่ตัวควบคุมสำหรับโดเมนภายในเครื่องได้ ให้ตรวจสอบการกำหนดค่าเซิร์ฟเวอร์ DNS หลักและเนื้อหาของโซนการค้นหาการส่งต่อเซิร์ฟเวอร์ DNS (รูปที่ 3)

    โปรดทราบว่าระบบไม่มีข้อมูลใด ๆ บนโดเมนภายนอก (ข้อความแสดงข้อผิดพลาดเมื่อพยายามแก้ไขด้วยชื่อของโดเมนระยะไกล - หน้าจอ 1 และ 2) ดังนั้นการค้นหาตัวควบคุมเพื่อสร้างการสื่อสารกับโดเมนภายนอกจะยากมาก . ในสถานการณ์นี้ การพยายามสร้างการเชื่อมต่อกับโดเมนที่เชื่อถือได้จะส่งผลให้เกิดข้อความแสดงข้อผิดพลาด (รูปที่ 4)


    ตอนนี้เรามาเริ่มแก้ไขสถานการณ์นี้กันดีกว่า มากำหนดค่าการจำแนกชื่อ DNS สำหรับโดเมนภายนอกในแต่ละเซิร์ฟเวอร์

    สิ่งที่ต้องทำ? เราจำเป็นต้องได้รับการจำแนกชื่อและได้รับบันทึกทรัพยากรสำหรับโดเมนภายนอก ทั้งหมดนี้เป็นไปได้โดยการตั้งค่าเซิร์ฟเวอร์ภายในเครื่องเพื่อให้สามารถเข้าถึงโซน DNS ที่รองรับโดเมนภายนอกและสามารถแก้ไขคำค้นหาที่จำเป็นได้ ฉันต้องการทราบทันทีว่าความพยายามที่จะแก้ไขปัญหานี้โดยการเพิ่มที่อยู่ IP ของเซิร์ฟเวอร์ DNS ภายนอกเป็นทางเลือกในการตั้งค่า TCP/IP จะถึงวาระที่จะล้มเหลว มาทำตามขั้นตอนที่ถูกต้องสำหรับสถานการณ์นี้กันดีกว่า

    บนเซิร์ฟเวอร์ DNS ภายในในแต่ละโดเมน เราจะสร้างโซนเพิ่มเติมที่มีสำเนาของโซน DNS หลักของโดเมนภายนอก ด้วยเหตุนี้ เซิร์ฟเวอร์นี้สามารถส่งคืนการตอบกลับจากทั้งการสอบถามเกี่ยวกับโดเมนภายในเครื่องและบันทึกจากโซนเพิ่มเติมเกี่ยวกับโดเมนภายนอก

    ฉันจะยกตัวอย่างการสร้างโซนเพิ่มเติมสำหรับเซิร์ฟเวอร์ Server01 บน Server04 ลำดับของการดำเนินการจะคล้ายกัน

    มาเปลี่ยนพารามิเตอร์ของการถ่ายโอนโซน DNS หลักบนเซิร์ฟเวอร์ระยะไกล

    บน (Server04) ให้เปิดหน้าต่างสแน็ปอิน DNS (ผ่านเมนู Start จากนั้นโปรแกรมและเครื่องมือการดูแลระบบ)

    คลิกขวาที่โซน DNS และเลือกคุณสมบัติ

    บนแท็บการโอนโซน เลือกกล่องกาเครื่องหมายอนุญาตการโอนโซน

    อนุญาตการถ่ายโอนโซนไปยังเซิร์ฟเวอร์ DNS บางตัวเท่านั้น และเลือกตัวเลือกเฉพาะเซิร์ฟเวอร์จากรายการนี้ จากนั้นระบุที่อยู่ IP ของเซิร์ฟเวอร์ DNS ของโดเมนแรก (ในกรณีของเราคือ IP Server01 - 192.168.1.1 หน้าจอ 5)

    ในกรณีนี้ การตั้งค่าที่ง่ายกว่านั้นเป็นไปได้ โดยอนุญาตให้ถ่ายโอนไปยังเซิร์ฟเวอร์ใดก็ได้ แต่สิ่งนี้ทำให้ความปลอดภัยลดลง นอกจากนี้ ตัวอย่างเช่น การตั้งค่าที่อยู่ IP นี้ในรายการเนมเซิร์ฟเวอร์สำหรับโซนปัจจุบันจะมีประสิทธิภาพมากกว่ามาก

    • มาเปิดใช้งานการแจ้งเตือนสำหรับโซนเพิ่มเติมบนเซิร์ฟเวอร์ DNS อื่น ๆ

    คลิกปุ่มแจ้งเตือนบนแท็บการโอนโซน

    ตรวจสอบให้แน่ใจว่าได้เลือกกล่องแจ้งเตือนอัตโนมัติแล้ว

    เลือกตัวเลือกเซิร์ฟเวอร์ที่ระบุเท่านั้น และเพิ่มที่อยู่ IP ของเซิร์ฟเวอร์ลงในรายการการแจ้งเตือนที่จำเป็น

    หากต้องการทำสิ่งนี้ในรายการการแจ้งเตือนให้ป้อนที่อยู่ IP ของเซิร์ฟเวอร์จากย่อหน้าก่อนหน้า (192.168.1.1) ในช่องที่อยู่ IP และคลิกปุ่มเพิ่ม (หน้าจอ 6)

    • มาสร้างโซน DNS เพิ่มเติมบนเซิร์ฟเวอร์ภายในเครื่องกัน

    เปิด (Server01) เปิดหน้าต่าง DNS

    ในแผนผังคอนโซล คลิกขวาที่เซิร์ฟเวอร์ DNS และเลือกโซนใหม่เพื่อเปิดตัวช่วยสร้างโซนใหม่ ซึ่งรูปที่ 7 แสดง

    เลือกประเภทโซน เพิ่มเติม ป้อนชื่อ (D04.local) และที่อยู่ IP ของเซิร์ฟเวอร์หลัก (IP 192.168.1.4) ในช่องที่อยู่ IP แล้วคลิกปุ่มเพิ่ม

    เมื่อสร้างโซนแล้ว จะใช้เวลาสักครู่เพื่อรับข้อมูลจากเซิร์ฟเวอร์หลัก ( ณ จุดนี้โซนหลักควรมีลักษณะดังรูปที่ 8)

    • มาตรวจสอบการกำหนดค่าเซิร์ฟเวอร์ DNS ใหม่

    เปิด (Server01) เปิดหน้าต่างพรอมต์คำสั่ง รันคำสั่ง nslookup.อดีตและป้อนแบบสอบถามสำหรับชื่อ DNS ของโดเมนภายนอก D04 ท้องถิ่น – และผลลัพธ์ของที่อยู่ IP ของตัวควบคุมโดเมนนี้ (หน้าจอ 9)

    นี่คือสิ่งที่เราต้องการ - ตอนนี้เมื่อสร้างความสัมพันธ์ที่เชื่อถือได้ โดเมนปัจจุบันจะสามารถกำหนดที่อยู่บริการที่จำเป็นของโดเมนภายนอกได้

    แน่นอนว่าการคำนวณข้างต้นสามารถนำไปใช้ในโดเมนที่มีการตั้งค่าเริ่มต้นได้ หากเครือข่ายของคุณมีการตั้งค่า DNS พิเศษ คุณควรเปลี่ยนรายการเหล่านี้ให้เหมาะกับความต้องการของคุณ

    ตอนนี้จำเป็นต้องทำซ้ำขั้นตอนก่อนหน้าบนคอนโทรลเลอร์อื่นในโดเมนที่เชื่อถือได้ (Server04) เพื่อให้คอนโทรลเลอร์นี้สามารถรับการจำแนกชื่อและรับรายการบริการสำหรับโดเมนแรก (หน้าจอ 10)


    เมื่อชื่อโดเมนทั้งสองสามารถแก้ไขได้ผ่านเซิร์ฟเวอร์ DNS เราก็สามารถดำเนินการตามขั้นตอนมาตรฐานในการสร้างความสัมพันธ์ที่เชื่อถือได้ทางเดียวภายนอกโดยตรง

    • มาสร้างการเชื่อมต่อจากฝั่งโดเมนที่เชื่อถือได้ (d01.local)

    บนคอนโทรลเลอร์ (Server01) ให้เปิดสแน็ปอิน "Active Directory - Domains and Trusts" (ผ่านเมนู Start จากนั้นโปรแกรมและเครื่องมือการดูแลระบบ)

    ในคอนโซลทรี คลิกขวาที่โหนดโดเมนที่คุณต้องการจัดการ (D01.local) และเลือกคุณสมบัติ (รูปที่ 11)

    เลือกแท็บความน่าเชื่อถือ

    เลือกโดเมนที่โดเมนนี้เชื่อถือ จากนั้นคลิกเพิ่ม

    ป้อนชื่อ DNS แบบเต็มของโดเมน เช่น D04. ท้องถิ่น (สำหรับโดเมน Windows NT เพียงชื่อ - หน้าจอ 12)

    กรอกรหัสผ่านของคุณ (เช่น 12 ว#$) สำหรับความสัมพันธ์ที่ไว้วางใจที่กำหนด รหัสผ่านจะต้องถูกต้องในทั้งสองโดเมน: โดเมนหลักและโดเมนที่เชื่อถือได้ รหัสผ่านนั้นจะใช้เฉพาะในช่วงระยะเวลาของการสร้างความสัมพันธ์ที่เชื่อถือได้เท่านั้น หลังจากสร้างแล้ว รหัสผ่านจะถูกลบ

    นอกจากนี้ เนื่องจากเรากำลังสร้างการเชื่อมต่อที่จำเป็นเพียงหนึ่งในสองการเชื่อมต่อ จึงเป็นไปไม่ได้ที่จะตรวจสอบความสัมพันธ์ของความไว้วางใจในทันที (หน้าจอ 13) คุณควรสร้างสิ่งที่คล้ายกัน แต่คำติชมจากโดเมนที่เชื่อถือได้

    ขณะที่อยู่ในโหมดนี้ คุณสามารถดูคุณสมบัติของการเชื่อมต่อขาออกที่สร้างขึ้นได้ (หน้าจอ 14)

    เรามาทำซ้ำขั้นตอนนี้สำหรับโดเมนที่ประกอบขึ้นเป็นอีกส่วนหนึ่งของความสัมพันธ์ที่เชื่อถือได้โดยตรง


    มาสร้างการเชื่อมต่อจากด้านข้างของโดเมนที่เชื่อถือได้ (d04.local)

    บนตัวควบคุม (Server04) ให้เปิดสแน็ปอิน Active Directory Domains และ Trusts

    ในทรีคอนโซล คลิกขวาที่โหนดโดเมนที่คุณต้องการจัดการ (D04.local) และเลือกคุณสมบัติ

    เลือกแท็บ Trusts (หน้าจอ 15)

    เลือกโดเมนที่เชื่อถือโดเมนนี้ จากนั้นคลิกเพิ่ม

    ป้อนชื่อโดเมน DNS แบบเต็ม - D01 ท้องถิ่น.

    ป้อนรหัสผ่านสำหรับความไว้วางใจนี้ที่คุณระบุไว้ก่อนหน้านี้ (12 W#$ r - หน้าจอ 16)

    เพราะ หากเราได้กำหนดค่าความสัมพันธ์ตรงกันข้ามสำหรับความสัมพันธ์แบบไว้วางใจของเรา เราจำเป็นต้องทดสอบความสัมพันธ์ใหม่ (หน้าจอ 17)

    เมื่อต้องการทำเช่นนี้ คุณต้องระบุบัญชีผู้ใช้ที่มีสิทธิ์ในการเปลี่ยนแปลงความสัมพันธ์ที่เชื่อถือได้จากโดเมนตรงข้าม D01 ภายในเครื่อง นั่นคือบันทึกผู้ดูแลระบบโดเมน d01 (หน้าจอ 18)

    หากข้อมูลประจำตัวถูกต้อง ความสัมพันธ์จะถูก Ping และสร้างความเชื่อถือขึ้น (รูปที่ 19)

    ตอนนี้เรามาดูวิธีทดสอบความสัมพันธ์ของความไว้วางใจภายนอก ตัวอย่างเช่น ลองตรวจสอบความสัมพันธ์จากโดเมนที่เชื่อถือ (D01.local)

    เพื่อทดสอบความสัมพันธ์ของความไว้วางใจ:

    เปิดโดเมน Active Directory และสแน็ปอิน Trusts

    ในคอนโซลทรี คลิกขวาที่โดเมนที่มีส่วนร่วมในความน่าเชื่อถือที่คุณต้องการตรวจสอบ (D01.local) แล้วคลิกคุณสมบัติ

    เลือกแท็บความน่าเชื่อถือ

    ในรายการ Domains Trusted by This Domain ให้เลือกความสัมพันธ์ที่เชื่อถือได้ที่คุณต้องการตรวจสอบ (D04. local) แล้วคลิก Edit (หน้าจอ 20)

    คลิกปุ่มตรวจสอบ


    ในกล่องโต้ตอบที่ปรากฏขึ้น คุณต้องป้อนข้อมูลรับรองของผู้ใช้ที่มีสิทธิ์เปลี่ยนความสัมพันธ์ที่เชื่อถือได้ นั่นคือบันทึกผู้ดูแลระบบโดเมนภายนอก d04 และรหัสผ่านของเขา (หน้าจอ 21)

    เช่นเดียวกับเมื่อก่อน หากข้อมูลการลงทะเบียนถูกต้องและความสัมพันธ์ใช้งานได้ ข้อความยืนยันจะปรากฏขึ้น (หน้าจอ 22)

    ในกรณีที่เกิดข้อผิดพลาด ให้ตรวจสอบโครงสร้างเครือข่ายของคุณ (การตั้งค่าเกตเวย์ ไฟร์วอลล์ เราเตอร์ การแยกเครือข่ายย่อยของโดเมน) การตั้งค่าโครงสร้างพื้นฐาน DNS ความสามารถในการทำงาน การเชื่อมต่อทางกายภาพระหว่างตัวควบคุมโดเมนด้วย ข้อผิดพลาดที่เป็นไปได้ภายในโดเมน Active Directory (โดยการวิเคราะห์บันทึกเหตุการณ์บนตัวควบคุมโดเมน)

    เมื่อสร้างความน่าเชื่อถือจากโดเมนที่เชื่อถือได้แล้ว ขณะนี้คุณสามารถดูทรัพยากรในโดเมนที่เชื่อถือได้โดยใช้การตรวจสอบสิทธิ์ของผู้ใช้ที่ได้รับการรับรองความถูกต้อง (สมาชิกของกลุ่มพิเศษกลุ่ม ALL)

    ตรวจสอบให้แน่ใจว่าเราสามารถใช้วัตถุหลักด้านความปลอดภัยจากโดเมนที่เชื่อถือได้ในโดเมนผู้ไว้วางใจ (บัญชีจากโดเมนท้องถิ่น D04.) ในการดำเนินการนี้ เราจะสร้างทรัพยากรที่ใช้ร่วมกันในโดเมน D01 และให้สิทธิ์การเข้าถึงแก่กลุ่ม "ผู้ใช้โดเมน" ทั่วโลกจากโดเมนที่เชื่อถือได้ D04

    สร้าง D01 ในโดเมน โฟลเดอร์แชร์ในเครื่องบนตัวควบคุมโดเมน Server01

    ดังนั้น จากโดเมนที่เชื่อถือได้ D04 เราจึงสามารถเข้าถึงทรัพยากรในโดเมนที่เชื่อถือได้ D01 ซึ่งเป็นสิ่งที่เราต้องการ

    หากจำเป็น คุณสามารถกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ในทิศทางตรงกันข้าม จากโดเมน D04 ถึง D01 นั่นคือโดเมน D04 จะกลายเป็นโดเมนที่เชื่อถือได้ ภายในเครื่องและโดเมนที่เชื่อถือได้จะเป็น D01 อยู่แล้ว ท้องถิ่น.

    ยูทิลิตี้การเข้ารหัสลับ CryptoPro ใช้ในหลายโปรแกรมที่สร้างโดยนักพัฒนาชาวรัสเซีย จุดประสงค์ของพวกเขาคือการลงนามในเอกสารอิเล็กทรอนิกส์ต่างๆ จัดระเบียบ PKI และจัดการใบรับรอง ในบทความนี้เราจะดูข้อผิดพลาดที่ปรากฏอันเป็นผลมาจากการทำงานกับใบรับรอง - “เกิดข้อผิดพลาดของระบบขณะตรวจสอบความสัมพันธ์ที่เชื่อถือได้”

    สาเหตุของข้อผิดพลาดใน CryptoPro

    การปรากฏข้อความแสดงข้อผิดพลาดของระบบมักเกี่ยวข้องกับ Windows และ CryptoPro เวอร์ชันที่ขัดแย้งกัน ผู้ใช้มักจะทำความคุ้นเคยกับข้อกำหนดของระบบซอฟต์แวร์ คุณสมบัติ และความสามารถของซอฟต์แวร์ได้อย่างรวดเร็ว นั่นคือเหตุผลที่คุณต้องศึกษาคำแนะนำและฟอรัมโดยละเอียดเพิ่มเติมหลังจากเกิดความล้มเหลวเท่านั้น

    บ่อยครั้งที่มีการติดตั้งซอฟต์แวร์บนระบบโดยมีข้อผิดพลาด มีเหตุผลมากมายสำหรับสิ่งนี้:

    • ปัญหาในรีจิสทรีของระบบ Windows
    • ฮาร์ดไดรฟ์เต็มไปด้วยขยะที่ทำให้ซอฟต์แวร์อื่นทำงานไม่ถูกต้อง
    • การมีอยู่ของไวรัสในระบบและอื่นๆ

    การแก้ไขข้อผิดพลาดใบรับรอง

    เกิดความล้มเหลวของระบบในผลิตภัณฑ์ซอฟต์แวร์ CryptoPro: “เกิดข้อผิดพลาดของระบบขณะตรวจสอบความสัมพันธ์ที่เชื่อถือได้” มาลองแก้ปัญหานี้กัน ในบางกรณี โปรแกรมอาจแสดงข้อความบนหน้าจอหากระบบไม่มีการอัพเดตที่เหมาะสม คุณอาจได้รับข้อผิดพลาดหากคุณใช้ CryptoPro เวอร์ชัน 3.6 บนระบบปฏิบัติการ Windows 8.1 สำหรับระบบปฏิบัติการนี้ คุณต้องใช้เวอร์ชัน 4 ขึ้นไป แต่หากต้องการติดตั้งใหม่ คุณต้องถอนการติดตั้งเวอร์ชันเก่าก่อน

    ข้อมูลสำคัญทั้งหมดจากเวอร์ชันก่อนหน้าจะต้องคัดลอกไปยังสื่อแบบถอดได้หรือไปยังโฟลเดอร์ Windows แยกต่างหาก


    จากนั้นคุณต้องเยี่ยมชมเว็บไซต์อย่างเป็นทางการและดาวน์โหลดแพ็คเกจยูทิลิตี้เวอร์ชันล่าสุดดาวน์โหลดและติดตั้งลงในคอมพิวเตอร์ของคุณ ไปที่ที่อยู่ - https://www.cryptopro.ru/downloads เมื่อติดตั้ง ให้ปิดการใช้งาน Windows Firewall และโปรแกรมหรือโปรแกรมป้องกันไวรัสอื่น ๆ ชั่วคราวที่อาจบล็อกการทำงานของ CryptoPro

    คุณสามารถติดตั้งผลิตภัณฑ์ใหม่โดยใช้บัญชีส่วนตัวของคุณบนเว็บไซต์ ในการดำเนินการนี้ คุณจะต้องเข้าสู่ระบบและเข้าสู่ระบบ

    1. จากนั้นไปที่บัญชีส่วนตัวของคุณ
    2. เปิดแท็บ "การจัดการบริการ" ที่ด้านบน
    3. ไปที่ส่วน "สถานที่ทำงานอัตโนมัติ"
    4. จากนั้นค้นหารายการ “ปลั๊กอินและส่วนเสริม” แล้วคลิกที่ CryptoPro เวอร์ชันใดเวอร์ชันหนึ่ง

    การติดตั้งใบรับรองส่วนบุคคล

    ถัดไปคุณต้องติดตั้งใบรับรองในยูทิลิตี้ CryptoPro เพื่อแก้ไขความล้มเหลวของใบรับรอง - เกิดความล้มเหลวเมื่อตรวจสอบความสัมพันธ์ที่เชื่อถือได้ เรียกใช้ซอฟต์แวร์ในฐานะผู้ดูแลระบบ วิธีที่ดีที่สุดในการทำเช่นนี้คือจากเมนูเริ่ม


    วิธีอื่นในการแก้ไขข้อผิดพลาดเมื่อตรวจสอบความสัมพันธ์ที่เชื่อถือได้

    หากคุณใช้ CryptoPro เวอร์ชัน 4 แต่ข้อผิดพลาดยังคงปรากฏขึ้น ให้ลองติดตั้งโปรแกรมใหม่อีกครั้ง ในหลายกรณี การกระทำเหล่านี้ช่วยผู้ใช้ อาจเป็นไปได้ว่าฮาร์ดไดรฟ์ของคุณเต็มไปด้วยไฟล์ที่ไม่จำเป็นและจำเป็นต้องลบออก ยูทิลิตี้ Windows มาตรฐานจะช่วยเราในเรื่องนี้

    1. เปิด Explorer (WIN + E) และเลือกหนึ่งในไดรฟ์ในเครื่องด้วย RMB
    2. คลิกที่ "คุณสมบัติ";
    3. ใต้ภาพพื้นที่ดิสก์ที่ใช้แล้วให้ค้นหาและคลิกปุ่ม "ล้าง"
    4. จากนั้นหน้าต่างจะปรากฏขึ้นในตำแหน่งที่คุณต้องการเลือกไฟล์ที่จะลบ
    5. คุณสามารถเลือกรายการทั้งหมดแล้วคลิก "ตกลง"

    ต้องปฏิบัติตามคำแนะนำนี้สำหรับไดรฟ์ในเครื่องทั้งหมดบนคอมพิวเตอร์ของคุณ จากนั้นทำตามคำแนะนำต่อไปนี้เพื่อตรวจสอบไฟล์ Windows

    1. เปิดเมนูเริ่ม
    2. ป้อน "พร้อมรับคำสั่ง" ในแถบค้นหา
    3. เลือกบรรทัดนี้ด้วย RMB และใช้เมาส์เพื่อชี้ไปที่ "ในนามของผู้ดูแลระบบ";
    4. ป้อนคำสั่งในหน้าต่างนี้เพื่อเริ่มการสแกน “sfc /scannow”;
    5. กดปุ่มตกลง.

    รอให้กระบวนการนี้เสร็จสิ้น หากยูทิลิตี้พบปัญหากับระบบไฟล์ คุณจะเห็นสิ่งนี้ในข้อความสุดท้าย ปิดหน้าต่างทั้งหมดแล้วลองเปิดโปรแกรม CryptoPro เพื่อให้แน่ใจว่าข้อผิดพลาด “ข้อผิดพลาดของใบรับรองเกิดขึ้นขณะตรวจสอบความสัมพันธ์ที่เชื่อถือได้” ได้รับการแก้ไขแล้ว ในกรณีพิเศษ จะมีหมายเลขสนับสนุนทางเทคนิคของซอฟต์แวร์ - 8 800 555 02 75

    บทความที่คล้ายกัน
     
    หมวดหมู่
    วัสดุวิดีโอ
    เป็นที่นิยม
    ใหม่