Если программа работает только в домене

Содержание

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Работа с локальными и доменными пользователями

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Active Directory, учетные записи. Создание домена, групповая политика [Windows Server 2012] #2

trust-relationship-failed-001.jpg

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

Читайте также:
Какой программой открыть файл арк на компьютере

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

trust-relationship-failed-002.jpg

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

trust-relationship-failed-003.jpg

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

trust-relationship-failed-004.jpg

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

trust-relationship-failed-005.jpg

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Дополнительные материалы:

  1. Службы каталогов. Часть 1 — Общие понятия
  2. Службы каталогов. Часть 2 — Реализации служб каталогов
  3. Службы каталогов. Часть 3 — Структура Active Directory
  4. Active Directory — от теории к практике. Часть 1 — общие вопросы
  5. Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
  6. Active Directory — от теории к практике. Часть 3 — настройка DHCP
  7. Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
  8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
  9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
  10. Синхронизация времени Active Directory с внешним источником
  11. Обновление схемы Active Directory
  12. Управление ролями FSMO при помощи Ntdsutil
  13. Управление ролями FSMO с помощью PowerShell
  14. Восстанавливаем доверительные отношения в домене
  15. Очистка метаданных контроллера домена в Active Directory

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Читайте также:
Что будет выведено на экран после выполнения программы begin a 3

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

Источник: interface31.ru

ИСПРАВИТЬ: Приложения, которое выполняется в другом домене приложения пытается загрузить и вызвать в домене приложения по умолчанию

При запуске приложения, которое требуется транзакция, называется управляемая оболочка XA. Оболочка XA связан с неуправляемым кодом. Он работает правильно только в том случае, если приложение выполняется в домене приложения по умолчанию среды CLR. Если приложение выполняется в другом домене приложения, связанных неуправляемых XA оболочки неправильно пытается загрузить и вызвать в домене приложения по умолчанию.

Решение

Эта проблема решена в Накопительное обновление 1 2016 сервера интеграции узла.

Статус

Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».

Ссылки

Узнайте о терминологии Корпорация Майкрософт использует для описания обновлений программного обеспечения.

Источник: support.microsoft.com

Если программа работает только в домене

Иногда бывает, что все настроено, но почему-то домен не работает и сайт недоступен. Для того, чтобы к сайту можно было обращаться по доменному имени, требуется преобразование имени домена в IP-адрес web-сервера на котором размещен сайт. За такое преобразование отвечает глобальная система доменных имен DNS. Для успешного преобразования необходимо одновременное выполнение следующих условий:

  1. Домен должен быть зарегистрирован и делегирован
  2. Серверы имен, которым делегировано управление доменной зоной, должны корректно отдавать ip-адрес web-сервера
  3. На DNS-серверах верхнего уровня должна быть актуальная информация о домене

Если хотя бы одно из перечисленных условий выполняется некорректно, сайт будет недоступен. Рассмотрим подробнее принцип действия и базовые способы диагностики на каждом этапе.

1. Регистрация и делегирование домена

Регистрация домена происходит после его покупки. Наш сервис позволяет подобрать и купить доменное имя во всех популярных зонах. По сути, регистрация домена — это внесение в реестр доменной зоны верхнего уровня информации о вашем домене.

Делегированием называется передача управления доменной зоной конкретному серверу имён. Для того, что-бы делегировать домен, необходимо указать для него адреса DNS-серверов, на которых будут созданы ресурсные записи этого домена. В большинстве случаев адреса DNS-серверов предоставляет провайдер при покупке домена или хостинга, обычно указывают два сервера. Все действия выполняются через панель управления, доступ к которой предоставляет провайдер при покупке домена.

Для проверки статуса домена можно использовать любой онлайн сервис Whois, например whois-service.ru. Если домен зарегистрирован, вы увидете информацию о нем.

Как работает сервис Whois и как проверить информацию о домене

Следует обратить внимание на следующие поля:

  1. «paid-till» — дата окончания оплаченного периода. Нужно убедиться, что указанная дата еще не наступила. Если услуга не будет продлена, после этой даты произойдет блокировка домена до поступления оплаты. При отсутствии оплаты в течении месяца, домен освобождается.
  2. «state» — статус. Необходимо убедиться, что домен имеет статусы «REGISTERED» и «DELEGATED». Это значит, что домен зарегистрирован и делегирован.
  3. «nserver» — адреса DNS-серверов, которым делегировано управление доменой зоной. Необходимо убедиться, что DNS-серверы указаны правильно. Как уже было сказано выше, обычно эти адреса предоставляет провайдер при покупке домена или хостинга.

Если же по вашему запросу система выдала сообщение «Домен свободен», значит домен не зарегистрирован и дальнейшие проверки не имеют смысла, домен необходимо купить. Несмотря на всю очевидность, неопытные пользователи иногда допускают ошибки и пытаются привязать к хостингу несуществующий домен.

Как проверить свободен ли домен?

Если на этом шаге с доменом все в порядке, можно приступать к следующему этапу.

2. Проверка DNS серверов

Серверы имен, которым делегировано обслуживание домена, должны по запросу отдавать ресурсные записи доменной зоны. Ресурсные записи это служебная информация о домене, которая хранится на DNS-сервере. Существуют различные типы ресурсных записей, нас интересует наиболее часто используемая запись типа «А», которая определяет какой ip адрес соответствует домену. Если вы покупаете домен и хостинг у одного провайдера, ресурсные записи могут создаваться автоматически, если же провайдеры разные, их нужно создавать вручную через панель управления, доступ к которой предоставляет провайдер. На скриншоте показаны ресурсные записи тестового домена «domain111.ru», открытые в панели управления DNSManager от компании ISPsystem. Кстати, у нас есть подробная статья «Создание и настройка доменных DNS записей в DNS-manager»

Читайте также:
Как сделать 3ндфл в программе

Проверка DNS серверов

Цель проверки на этом этапе — убедиться что DNS-сервер, которому делегировано управление доменной зоной корректно отдаёт запись типа «А», то есть IP-адрес домена. Для проверки воспользуемся утилитой командной строки «nslookup».

Рассмотрим диагностику на примере домена «domchel.ru». Сервис «Whois» показывает что управление доменной зоной делегировано DNS-серверам «ns1.rugion.ru» и «ns2.rugion.ru», это значит, что каждый из них должен содержать А запись для этого домена и отдавать её по запросу, проверим это.

Откроем командную строку и выполним команду «nslookup domchel.ru ns1.rugion.ru», где в качестве первого аргумента указано имя нашего домена, а в качестве второго имя DNS-сервера, на который будет отправлен запрос. По умолчанию утилита запрашивает А-запись, поэтому в параметрах запроса тип записи не указан. Если в ответ на ваш запрос dns-сервер возвращает имя домена и ip адрес (как на скриншоте), значит все в порядке.

Диагностика работы домена с помощью команды nslookup

Для примера выполним команду еще раз, но укажем несуществующий домен.

Диагностика работы домена с помощью команды nslookup

Сервер не смог найти в своей базе данных запрашиваемый домен и сообщил об этом.

Если при проверке вашего домена DNS-сервер сообщил, что домен не найден, в первую очередь войдите в панель управления и убедитесь, что А-запись существует. Если запись создана, нужно обратиться в техническую поддержку провайдера, скорее всего проблема связана с некорректной работой сервера имен.

При успешной проверке переходим к следующему этапу.

3. Обновление DNS-серверов верхнего уровня

В общих чертах принцип работы глобальной системы доменных имен заключается в том, что DNS-серверы более высокого уровня содержат информацию о DNS-серверах, более низкого уровня. Относительно нашего примера с доменом «domchel.ru», из этого следует, что на всех серверах имен обслуживающих домен «ru» должна быть информация о том, что домен «domchel.ru» обслуживается DNS-серверами ns1.rugion.ru и ns2.rugion.ru.

Учитывая, что состояние доменов нижних уровней постоянно изменяется, домены регистрируются, освобождаются, «переезжают» на обслуживание на другие DNS-серверы, изменяются IP-адреса хостинга, база данных DNS-серверов верхнего уровня должна постоянно обновляться.

Обычно, после делегирования домена и создания ресурсных записей, информация об этом распространяется по сети в течении суток, и только после этого ваш сайт становится доступен из любой точки мира. На этом этапе со стороны пользователя никаких действий не требуется, нужно просто подождать. Если прошло более суток, но сайт по-прежнему недоступен, еще раз воспользуемся утилитой nslookup. Выполним предыдущую команду, но в качестве второго аргумента укажем любой из публичных DNS-серверов, например 8.8.8.8 — публичный DNS-сервер от компании Google.

Итак, выполним команду «nslookup domchel.ru 8.8.8.8»

Если публичный сервер вернул IP-адрес домена, как на скриншоте, значит информация о вашем домене уже распространилась по сети.

Если же прошло достаточно времени, но публичные DNS-серверы по-прежнему отвечают, что домен не найден, обратитесь в техническую поддержку провайдера, который предоставил вам DNS-серверы для вашего домена, возможно проблема связана с передачей информации на сервера имен верхнего уровня.

Кроме проверки ответа от публичных DNS-серверов есть смысл проверить ответ от локального сервера имен, который указан в настройках сетевого подключения на вашем ПК, так как причиной проблемы может быть неправильная конфигурация сетевого адаптера на домашнем компьютере или некорректная работа DNS-серверов вашего Интернет провайдера.

Выполним команду «nslookup domchel.ru» Если в параметрах команды не указан конкретный сервер имен, запрос будет отправлен локальному DNS-серверу.

В случае, когда публичные сервера имен «знают» IP-адрес вашего сайта, но при этом локальный сервер сообщает, что домен не найден, нужно искать проблему в конфигурации сетевого адаптера на вашем ПК или DNS-сервере вашего интернет-провайдера.

Если в результате выполнения команды вы так же получили в ответ IP-адрес домена, значит преобразование доменного имени на всех уровнях проходит успешно.

Описанные действия помогут вам быстро выявить проблему или понять, что она не связана с системой доменных имен.

Источник: profitserver.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru