Що таке пароль комп’ютера в ad і навіщо він потрібен, trainithard

Що таке пароль комп'ютера в AD і навіщо він потрібен?

«The trust relationship between this workstation and the primary domain failed» - напевно багато адміни стикалися з цією помилкою, але не всі можуть пояснити, що ж вона означає. Сьогодні я розповім про те, що таке пароль комп'ютера в AD, навіщо він потрібен, і як виправити цю злощасну помилку.

Не секрет, що в доменній середовищі, всі доменні комп'ютери так чи інакше взаємодіють з контролерами домену (далі - КД). Якщо розглянути процес взаємодії докладніше, то можна сказати, що кожен комп'ютер для взаємодії з КД встановлює безпечний канал комунікації (secure channel, далі - schannel). Спрощуючи, цей канал є сесію між КД і комп'ютером. Щоб ця сесія була безпечною, вона шифрується, за допомогою ключа, відомого тільки КД і самому комп'ютера. Як цього ключа виступає пароль облікового запису комп'ютера в домені (не плутати з паролями доменних користувачів).

При спробі обміну даними з КД, КД в першу чергу перевіряє, чи збігається пароль, який надає комп'ютер для установки schannel, з тим, який зберігається в базі Active Directory. Якщо пароль збігається - канал встановлюється і відбувається подальша комунікація між комп'ютером і КД (наприклад логін користувача). У разі ж, якщо паролі не збігаються, виникає наша нещаслива помилка: «The trust relationship between this workstation and the primary domain failed».

За замовчуванням, в цілях безпеки пароль учеткі комп'ютера автоматично змінюється раз в 30 днів. Зміну пароля ініціює комп'ютер, за умови, що є зв'язок з КД, так як для подальшої успішної установки schannel, пароль повинен змінитися не тільки на локальній машині, а й на контролері. Якщо зв'язку з КД немає, то зміна пароля відкладається до її появи. Зауважу, що така поведінка починається з Windows Vista, в ранніх версіях пароль міг змінитися без зв'язку з КД, що призводило до вищеописаної помилку. Для уникнення цієї ситуації, був передбачений механізм (який зберігся і в поточних версіях Windows), який зберігав старий пароль. Таким чином при спробі логіна, якщо schannel не може бути встановлений з новим паролем, машина завжди намагається використовувати для його установки збережений старий пароль, і іноді це допомагає уникнути появи проблем.

З усього вищесказаного, також випливає важливий висновок: якщо ви робите бекап Active Directory, то намагайтеся робити його не рідше ніж 30 днів. З огляду на, що машини пам'ятають минулий пароль - це максимальний гарантований термін, при якому всі машини зможуть увійти в домен (зі старим або новим паролем) після відновлення. З кожним наступним днем, кількість таких машин буде зменшуватися, аж до того, що на 61 день, в домен не зможе увійти жодна машина.

Що ж робити, якщо все таки у нас виникла така помилка? Як тепер зрозуміло - необхідно змінити паролі учеткі комп'ютера локально і на контролері домену, щоб вони співпадали. Зробити це можна кількома способів:

1. Powershell. Найпростіший спосіб.

Перший командлет покаже вам статус schannel в даний момент часу (true - все ок, false - все погано), другий командлет скине паролі. Зверніть увагу, що для цього потрібен доменні облікові дані, без них нічого не вийде. Сервер вказувати необов'язково, але якщо не виходить вказуєте свій КД.

2. Командний рядок

Те ж саме, що і перший випадок. Тест і зміна. Тест покаже «NERR_Success» в разі успіху, якщо бачите слово «ERROR» - щось йде не так.