RSS
 

Записи по метке ‘dns’

Восстановление доверительных отношений в домене

10 Июн

Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:

  • После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в  домене.
  • Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
  • Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль – просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Основные признаки возможных неполадок учетной записи компьютера:

  • Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
  • Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов  либо связи с доменом или контроллером домена. Одна из таких ошибок – отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
  • Учетная запись компьютера в Active Directory отсутствует.

Как лечить?

Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.

Поэтому необходимо сделать так:

Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.

Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.

C помощью учетной записи, относящейся к локальной группе «Администраторы»:

netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo {Пароль | *}

На компьютере, где утрачены доверительные отношения:

nltest /server:Имя_сервера /sc_reset:ДОМЕН\Контроллер_домена

 
1 комментарий

Опубликовано в рубрике Администрирование

 

Поднял сервер на Windows Server 2008 R2

13 Апр

Развернул на своем стационарном компьютере ОС Windows Server 2008 Standard R2. До этого я ставил Windows Server на виртуальную машину (VirtualBox), но из-за небольшого объема оперативной памяти в моем компьютере (всего 2 ГБ), ОС на виртуальной машине тормозила. В связи с этим я решил установить Windows Server на другой раздел жесткого диска, тем самым у меня теперь при загрузки компьютера есть выбор между Windows 7 и Windows Server 2008 R2.

После того, как установилась Windows Server 2008 R2, я сразу же загрузил все обновления, включая SP1. Затем добавил необходимые роли для сервера: IIS, файловый сервер, Active Directory. При первичной настройки Active Directory устанавливается и роль DNS-сервера. В общем, я сделал так, что, во-первых, у меня работает локальный сайт, доступ к которому я имею непосредственно через IP-адрес сервера с других моих устройств (телефон, ноутбук, iPad), а во-вторых, присоединил свой ноутбук к созданному домену, и создал учетную запись пользователя в Active Directory для ноутбука. Теперь, на ноутбуке можно авторизироваться через учетную запись, занесенную в Active Directory на сервере. Ну и, конечно же, в третьих, я сделал так, что ноутбук отсылает DNS-запросы непосредственно к моему серверу, когда пытается открыть веб-страницы. Естественно, все перестает работать, когда сервер переходит в состояние ВЫКЛ.

Теперь я хочу присвоить локальному сайту имя, чтобы перестать открывать сайт по IP-адресу. Это совсем не сложно.

P.S.: Windows Server 2008 R2 у меня лицензионная, получил лицензионный ключ по программе DreamSpark от Microsoft, за что им большое спасибо! =)

 
Нет комментариев

Опубликовано в рубрике Администрирование

 

Про корневые серверы DNS

14 Янв

Когда мы вводим в строку браузера имя сайта, куда хотим попасть, то имя преобразовывается в IP-адрес, по которому уже идет непосредственное обращение к серверу, на котором располагается запрашиваемый сайт. Преобразованием «имя -> IP-адрес» занимается DNS-сервер. Типов DNS-сервер существует много, есть локальные, перенаправляющие, регистрирующие и др. Но самыми главными являются корневые сервера DNS, которые содержат информацию о доменах верхнего уровня. Основные корневые серверы DNS обозначаются латинскими буквами от A до М. Данные серверы управляются различными организациями, действующими по согласованию с ICANN (Internet Corporation for Assigned Names and Numbers).

Фактически существует 13 корневых серверов DNS, т.к. в DNS-ответ может быть помещено всего 13 серверов. Однако, на самом деле, за этими 13 «виртуальными» серверами стоят куда большее число серверов, называемые «зеркалами».

На сайте root-servers.org приведена таблица, где можно посмотреть список из 13 записей от A до М с названием оператора, места расположения серверов и IP-адресов.

Стоит отметить, что если что-то случится с этими DNS-серверами, то можно будет смело говорить о полной жопе Интернету. Однако, навряд ли что-то может случится со всеми серверами сразу, если только не какой-нибудь апокалипсис снизайдет на Землю. Но тогда, я уверен, нам уже явно будет не до Интернета.

Расположение корневых серверов DNS и их зеркала

 
Нет комментариев

Опубликовано в рубрике Разное