DCSIMG
Welcome to Agile IT Blog מכונות וירטואליות מאבדות קשר עם ה-Domain - Welcome to Agile IT Blog

עמוד הבית

מכונות וירטואליות מאבדות קשר עם ה-Domain

כמעט כל סביבת מחשוב משתמשת כיום במכונות וירטואליות לבדיקות או אפילו בסביבת הייצור בין אם ב-VirtualBox, Hyper-V, Virtual PC, VMWare וכו’
בין כל היתרונות הדינאמים שיש משימוש במכונות וירטואליות אנחנו יכולים לבצע Revert לצילום (Snapshot) מזמן מוקדם יותר.

דבר קטן וחשוב שלא תמיד לוקחים בחשבון הוא שאם המכונות מקושרות ל-Domain , בתור ברירת מחדל ה-Machine Account שלהן משתנה אחת לכל 30 יום. זאת ע”מ לאבטח את הקשר בין המכונה לשרת
משמעות הדבר היא שאם אנחנו נבצע Revert Back ל-Snapshot שנוצר לפני שינוי הסיסמא האחרון של התחנה – נאבד את האותנטיקציה מול ה-Domain וניתקל באחת מההודעות הבאות:

Windows cannot connect to the domain, either because the domain controller is down or otherwise unavailable,
or because your computer account was not found. Please try again later. If this message continues to appear, contact your system administrator for assistance.

The trust relationship between this workstation and primary domain failed.

Trust Relationship Error

אם אנחנו כבר במצב הזה הדבר היחידי שנותר לעשות הוא להיכנס עם חשבון Admin מקומי ואז נוציא ונכניס את התחנה ל-Domain מחדש (עד לפעם הבאה שנבצע שוב Revert)

ישנו פתרון פשוט הרבה יותר ע”מ לא להגיע למצב הזה כל פעם מחדש, אך חשוב לזכור שלא בכל הארגונים יהיה ניתן לבצע את הפעולה בגלל מדיניות אבטחה או סטנדרליזציה מכיוון שמדובר בהורדת רמת האבטחה של אותן תחנות העבודה.

פתרון 1

לפני מבצבעים Snapshot באפשרותנו לשנות או לבטל לגמרי את איפוס הסיסמא של ה-Machine Account דרך ה-Registry של אותה מכונה.
יש לנווט ל-Key הבא ב-regedit

HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

ע”מ לשנות את מספר הימים לשינוי הסיסמא נשנה את הערך MaximumPasswordAge מ-30 למספר גבוה יותר (יותר מאובטח)

ע”מ לבטל לגמרי את שינוי הסיסמא נשנה את הערך DisablePasswordChange מ-0 ל-1 (פחות מאובטח)

פתרון 2

את אותן פעולות בדיוק  ניתן לבצע גם ב-Group Policy מקומי.
פתיחת gpedit.msc וניתוב אל Computer Configuration\windows Settings\Security settings\Local Policies\Security Options

לשינוי כמות הימים -  Domain member: Maximum machine account Password age

לביטול שינוי הסיסמא - Domain member: Disable machine account Password changes

2 הדרכים מחייבות Restart ע”מ שהשינויים ייכנסו לתוקף ורק אז יש לבצע את ה-Snapshot החדש.

תמיר לוי

פורסם ב:   08/11/2011 Tamir Levy מס' תגובות: 2 |
תגים:, , , , , , , , , ,

תוכן התגובה

???????????? ???????????????????? ???????????? ?????? ???? ??-Domain - Agile IT Blog כתב/ה:

Pingback from  ???????????? ???????????????????? ???????????? ?????? ???? ??-Domain - Agile IT Blog

08/11/2011

Agile IT Blog כתב/ה:

כמעט כל סביבת מחשוב משתמשת כיום במכונות וירטואליות לבדיקות או אפילו בסביבת הייצור בין אם ב-VirtualBox

08/11/2011
שלח תגובה

(שדה חובה)  

(שדה חובה)  

(אופציונלי)

(שדה חובה) 

Please add 4 and 7 and type the answer here:


Enter the numbers above: