מכונות וירטואליות מאבדות קשר עם ה-Domain

8 בNovember 2011


כמעט כל סביבת מחשוב משתמשת כיום במכונות וירטואליות לבדיקות או אפילו בסביבת הייצור בין אם ב-VirtualBox, Hyper-V, Virtual PC, VMWare וכו’
בין כל היתרונות הדינאמים שיש משימוש במכונות וירטואליות אנחנו יכולים לבצע Revert לצילום (Snapshot) מזמן מוקדם יותר.


דבר קטן וחשוב שלא תמיד לוקחים בחשבון הוא שאם המכונות מקושרות ל-Domain , בתור ברירת מחדל ה-Machine Account שלהן משתנה אחת לכל 30 יום. זאת ע”מ לאבטח את הקשר בין המכונה לשרת
משמעות הדבר היא שאם אנחנו נבצע Revert Back ל-Snapshot שנוצר לפני שינוי הסיסמא האחרון של התחנה – נאבד את האותנטיקציה מול ה-Domain וניתקל באחת מההודעות הבאות:


Windows cannot connect to the domain, either because the domain controller is down or otherwise unavailable,
or because your computer account was not found. Please try again later. If this message continues to appear, contact your system administrator for assistance.


The trust relationship between this workstation and primary domain failed.


Trust Relationship Error


אם אנחנו כבר במצב הזה הדבר היחידי שנותר לעשות הוא להיכנס עם חשבון Admin מקומי ואז נוציא ונכניס את התחנה ל-Domain מחדש (עד לפעם הבאה שנבצע שוב Revert)


ישנו פתרון פשוט הרבה יותר ע”מ לא להגיע למצב הזה כל פעם מחדש, אך חשוב לזכור שלא בכל הארגונים יהיה ניתן לבצע את הפעולה בגלל מדיניות אבטחה או סטנדרליזציה מכיוון שמדובר בהורדת רמת האבטחה של אותן תחנות העבודה.


פתרון 1


לפני מבצבעים Snapshot באפשרותנו לשנות או לבטל לגמרי את איפוס הסיסמא של ה-Machine Account דרך ה-Registry של אותה מכונה.
יש לנווט ל-Key הבא ב-regedit


HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters


ע”מ לשנות את מספר הימים לשינוי הסיסמא נשנה את הערך MaximumPasswordAge מ-30 למספר גבוה יותר (יותר מאובטח)


ע”מ לבטל לגמרי את שינוי הסיסמא נשנה את הערך DisablePasswordChange מ-0 ל-1 (פחות מאובטח)


פתרון 2


את אותן פעולות בדיוק  ניתן לבצע גם ב-Group Policy מקומי.
פתיחת gpedit.msc וניתוב אל Computer Configuration\windows Settings\Security settings\Local Policies\Security Options


לשינוי כמות הימים –  Domain member: Maximum machine account Password age


לביטול שינוי הסיסמא – Domain member: Disable machine account Password changes


2 הדרכים מחייבות Restart ע”מ שהשינויים ייכנסו לתוקף ורק אז יש לבצע את ה-Snapshot החדש.



תמיר לוי

הוסף תגובה
facebook linkedin twitter email

Leave a Reply

Your email address will not be published. Required fields are marked *