Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Utrata zaufania w domenie Windows

„The trust relationship between this workstation and the primary domain failed” – taki komunikat przy próbie zalogowania się do stacji roboczej lub serwera może przerazić każdego administratora. Chyba że ten wie, z czego wynika problem i jak go rozwiązać.

W środowisku domenowym istnieją konta użytkowników oraz komputerów. Te pierwsze służą do logowania do systemów i aplikacji, a drugie pozwalają potwierdzić, że dane urządzenie (stacja robocza, serwer, maszyna wirtualna) jest częścią domeny. Przedmiotem naszego zainteresowania są konta komputerów.

Problem z zaufaniem między stronami pojawia się wtedy, gdy maszyna nie może ustanowić bezpiecznego kanału komunikacji z domeną Windows. W uproszczeniu: hasło komputera nie jest tożsame z tym przechowywanym na kontrolerze domeny. W rzeczywistości mamy tutaj do czynienia z pewną porcją danych kryptograficznych Kerberos przechowywanych w pliku keytab. Jeśli hasła przechowywane na komputerze i w domenie nie będą zgodne, komputer nie będzie w stanie poprawnie zweryfikować biletu Kerberos otrzymanego z kontrolera domeny, a logowanie się nie powiedzie.

Zgodnie z zasadami grupy każdy komputer będący członkiem domeny wymusza zmianę hasła co 30 dni. Usługa Netlogon weryfikuje ważność hasła, a kiedy ona upływa, inicjuje chęć zmiany w bezpiecznym kanale ustanowionym do kontrolera domeny. Problem pojawia się wówczas, gdy ustanowienie takiego połączenia nie jest możliwe, a w rezultacie zmiana hasła nie ma miejsca. Uwaga! Administrator może zmienić okres ważności hasła dla konta komputera przez zasady grupy albo wyłączyć konieczność zmiany hasła w ustawieniach takiego konta. Podejście to nie jest zalecane ze względów bezpieczeństwa.

Źródła problemu

Można dopatrywać się wielu przyczyn problemu z relacją zaufania, a w konsekwencji niemożnością zalogowania się do systemu. Z taką sytuacją spotkamy się, jeśli komputer nie był używany przez dłuższy czas albo został wdrożony z przygotowanego wcześniej obrazu. Inne najczęściej spotykane przyczyny to brak synchronizacji zegarów na punktach końcowych, przywrócenie urządzenia z kopii zapasowej lub migawki wykonanej dłuższy czas temu oraz niewłaściwie działająca domena, np. z uwagi na problemy z replikacją między kontrolerami. Niezależnie od jednorazowego usunięcia problemu, aby odzyskać dostęp do systemu, zawsze należy ustalić i wyeliminować przyczynę wystąpienia błędu, szczególnie jeśli problem związany jest z nieprawidłowym funkcjonowaniem środowiska Active Directory w organizacji.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej