Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
При попытке входа в учетную запись доменного пользователя компьютер выдаёт «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и никаких вариантов. Ладно если так произошло на одном каком-то компьютерах, а ведь может случиться так что это произошло на всех компьютерах домена одновременно! Вот это атас!!!
Почему так происходит:
Синхронизация времени с контроллером домена
Проблема в следующем: при введении компьютера в домен не синхронизируется время, из-за этого выходят ошибки: — Часы данного сервера не синхронизированы с часами основного контроллера домена, при открытии файловой шары по имени компьютера (по IP всё работает). — Синхронизация не выполнена поскольку нет доступных данных о времени, при выполнении команды w32tm /resync /rediscover на клиентской машине — Нет доступа к компьютеру. Ошибка: Отказано в доступе. При попытке открыть управление локалюными пользователями и группами удаленно через консоль mmc. Нужно выполнить на клиентской машине команды: Узнать с кем синхронизируется время: net time /QUERYSNTP Назначить для синхронизации контроллер домена: net time /SETSNTP:MYDOMAIN.NET Синхронизировать время с указанным ранее сервером: net time /set Но вот прикол, эта команда работает лишь в случае незначительного расхождения во времени между клиентом и контроллером домена! ДОБАВЛЕНО 18 дек. 2015 При попытке проделать это в очередной раз, мой компьютер заявил мол команды устарели и теперь пользуйтесь программой w32tm.exe Поэтому привожу…
Контроллер домена на Linux — Sernet
А теперь к полезному: сейчас я расскажу как поднять контроллер домена на Linux дистрибутиве — Sernet. В отличие от Novell/SUSE Excellent Samba4 Appliance, установка которого описана тут, этот работает у меня без глюков! Тьфу-тьфу-тьфу!!! Итак,… 1. Качай дистрибутив тут. 2. Устанавливаем. a. Если устанавливаете на MS Hyper-V, то при автоматической установке возникнут проблемы. Избавиться от них можно так: SerNet Samba4 и Hyper-V b. Рекомендую устанавливать через Advanced options -> Expert Install. На непонятные вопросы отвечать просто нажатием Enter. c. Настройку сети лучше делать не с помощью dhcp, а вручную. Т.к. это всё-таки контроллер домена, ip должен быть статическим. 3. После установки получаем это: a. Жмём Start Setup b. Hostname. Указываем имя создаваемого контроллера домена. DC c. Realm. Указываем полное имя домена. PBD.NET d. Domain name. Указываем то же самое, только без окончания. PBD e. Administrator password. Указываем пароль администратора (логин при этом будет root) f. Forwarder DNS. После настройки домен-контроллера он…
Включить сетевое обнаружение и общий доступ к файлам Active Directory
Включить сетевое обнаружение и общий доступ к файлам Active Directory можно следующим образом:
Настраиваем правила для Firewall:
Не применяются групповые политики Active Directory
Не применяются групповые политики Active Directory — мне эта тема много парила мозг. Вылазила куча ошибок и невнятных объяснений. Я облазил целую кучу форумов, перечитал много статей. И везде слишком заумные решения, что даже не хотелось пытаться это применить, т.к. всеравно я очень сомневался в их результативности.
Оказалось всё как всегда гениально просто:
Изменение политики паролей Samba4
Через стандртые средства управления групповыми политиками Microsoft невозможно изменить политики паролей, и делается это только на сервере с Samba4 (или через SSH). Поэтому всё делается через команды:
1) Увидеть текущие параметры политик:
# /usr/local/samba/bin/samba-tool domain passwordsettings show
В некоторых случаях программа samba-tool находится в другом месте, поэтому попробуйте сделать так:
# /opt/samba/bin/samba-tool domain passwordsettings showВо-всяком случае, всегда можно воспользоваться командой find -name «*samba-tool*» и найти её.
Контроллер домена на Linux
Выпущенная Samba 4 реализует почти полноценный аналог Active Directory (AD), включая контроллер домена, службу DNS, Kerberos-аутентификацию, групповые политики. Однако, с помощью Samba 4 пока нельзя создавать сложные доменные структуры и иерархии и устанавливать доверительные отношения, что ограничивает применимость в крупных организациях.
Таким образом, на текущий момент наиболее реальными применениями Samba 4 являются построение тестовых инфраструктур, а также внедрения в малом бизнесе.
Тем более, что во многих случаях реальный выбор не так велик. Microsoft предлагает специальные редакции Windows Server 2012 для малого бизнеса — Essentials и Foundation. Первая при цене в $500 представляет собой довольно интересное интегрированное решение для 25 пользователей, вторая предлагается для установки OEM и готова поддерживать 15 пользователей. Но проблема в том, что для большего числа потребуется не только докупать CAL, но и менять серверную лицензию на Standard. Samba 4 таких ограничений лишена и может масштабироваться до любого необходимого уровня. Вероятно, для ее распространения также лучше подошла бы OEM-модель, гарантирующая полную совместимость с оборудованием и отсутствие неожиданностей хотя бы на первых порах.