Нарушены доверительные отношения в домене

Posted by

Случалось ли Вам, как системному администратору при работе с доменом видеть, что пользователь в связи с отсутствием на своём рабочем месте довольно длительное время не может зайти в домен. Нарушены доверительные отношения между рабочей станцией и основным домен контроллером.

И столь ненавистное сообщение экране компьютера предвещало время затрачиваемое на устранение проблемы.

Не удалось установить доверительные отношения

Всё дело в том, что каждые 30 дней все рабочие станции, авторизовавшиеся на домен контроллере отправляют запрос на изменение учётной записи компьютера. Т.е. контроллер домена принимает запрос, пароль меняется, а затем изменения передаются на все контроллеры в домене при следующей репликации. Если рабочая станция за этот период ничего не отправила, то домен контроллер считает, что данная рабочая станция больше недействительна.

Чтобы восстановить связь, существует 100% способ:

  • вывести рабочую станцию из домена
  • перезагрузиться
  • ввести рабочую станцию в домен

, но у этого способа есть существенный недостаток – это время, затрачиваемое на эту процедуру.

Но если в Вашем домене такое случается периодически, то можно подкорректировать значение по умолчанию с 30 дней, к примеру, до 90 дней, как на весь домен, так и на отдельную организационную группу компьютеров (OU). В этот срок обязательно сотрудник обязательно воспользуется своим рабочим местом и авторизуется на домен контроллере.

Я покажу на практическом примере применительно ко всему домену, для этого понадобиться зайти на домен контроллер под учётной запись Администратора домена (в моём случае данными правами обладает учётная запись – ekzorchik)

[dc1]

Start – Control Panel – Administrative Tools – Group Policy Management, далее открываем политику Default Domain Policy:

Открываем "Default Domain Policy" на редактированием

Переходим в раздел конфигурирования компьютера:

Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options

Domain member: Maximum machine account password age

определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

было:

Дефолтное значение в 30 дней

Выставил:

Изменяем на 90 дней

Теперь политика настроена, далее следует по мере возможности перезагрузить рабочие станции чтобы применилась политика. Вот собственно и всё, мы устранили наиболее часто встречающуюся проблему нарушения доверительных отношений между компьютером и домен контроллером. Удачи!!!

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

шестнадцать − 10 =