none
falha na relação de confiança RRS feed

  • Pergunta

  • Bom pessoal, tenho analisando os posts a esse respeito e conclui que todas as opções informadas nos posts sao exatamente os procedimentos que eu faço, agora vamos pensar em outras coisas que talvez podemos chegar a ujm consenso ou conclusao:

    Sempre ao ingressar no dominio um computador, eu sempre usei o metodo  classico eu diria, que é ir em propriedade de meu comptador; nome do computador; ID de Rede; marcar a primeira opção e etc...

    nessa nova empresa onde trabalho, usamos diferente: vamos em propriedades de meu computador, nome do computador; na opção alterar, inserimos o dominio por ali. Ou seja, apenas insere no dominio sem criar usuario, depois damos o comando control userpasswords2 e criamos o usuario.

    Bom, vamos ao problema: nao sei se é esse o fato, porem sempre da essa falha na relação de confiança entre o servidor e a estação, e em varios micros da rede, com frequencia. O pessoal falou de remover do dominio e inserir de novo, outros falaram de remover o computador etc... outros falaram de alterar algumas chaves no registro,outros falaram que  o windows troca a senha a cada 30 dias etc,, mas eu criei um user novo para um micro novo num dia e no outro dia deu esse problema....  todas as dicas dadas aqui sao boas, porem sao coisas massantes e que tem de fazer sempre como uma rotina e nao resolve, pois continua dando nos demais micros da rede, entao concluo que o problema está no windows server 2003. Tudo bem que agora nao tem mais suporte pra ele, mas me pergunto, a MS nao tem nada pra ajudar nisso, afinal os clientes compraram as licenças e pagaram caro por elas e nessa altura do campoeonato, uma empresa com muitos sistemas rodando no servidor que nao pode parar, se sentem obrigados a trocar o SO do servidor, por que esses problemas nos levama entender isso, alguem está nos forçando a atualizar ,e pra atualizar, precisamos parar a empresa etc.. da um big transtorno pra todo mundo, tem custos, etc...

    Bom espero ter sido claro na exposição do problema e se alguem mais tiver outras ideias, por favor, posta ai pra nos ajudar..

    forte abraço a todos.


    www.supremavision.com.br Soluções em TI.

    quarta-feira, 6 de junho de 2012 12:26

Respostas

  • Olá Deuzenildo,

    Bom creio que há algumas confusões de conceitos no que acabei de ler. Vamos a alguns esclarecimentos.

    O comando control userpasswords2 é usado somente para dar acesso administrativo ao computador local, creio que você o usa para isto. Já que os usuários são controlados pelo controlador de domínio.

    Para um computador ingressar no domínio temos duas formas: a primeira é fazer o procedimento que você citou e a segunda é criar uma conta de computador previamente no controlador de domínio. A diferença entre as duas é que na primeira você usa a opção ID de Rede e a conta de computador é criada no caminho padrão do Active Directory, o caminho padrão quando não modificado, é a Contâiner Computers. A opção Alterar é usada normalmente quando já tem uma conta criada no Active Directory. Normalmente a recomendação da Microsoft é que seja criada uma conta de computador no Active Directory com o nome do computador que será inserido no domínio antes de inserir o computador no domínio. Mas o por que disso??? Essa recomendação é feita pois podemos verificar se há algum computador com o mesmo nome na rede ou pelo simples motivo de alocar o computador na OU correta para que sejam aplicadas as GPOs corretamente, em vez de mover a conta do computador da Contâiner Computers para a OU correta depois de inserida no domínio.

    Muitos tratam as contas de computadores como se fossem contas sem tanta importância, mas o fato é que as contas de computador são tão importantes quanto as contas de usuário pois elas tem SID e senhas próprias para que sejam autenticadas no domínio. A falha na relação de confiança entre o servidor e a estação acontece quando há uma inconsistência na conta de computador do Active Directory com a estação de trabalho, por algum motivo, é modificado o SID ou a senha da estação que tenta se autenticar no domínio. E qual pode ser esse motivo? São diversos, pode ser alguma falha de comunicação com a rede, um vírus, algum problema na estação de trabalho, alguém que colocou uma máquina com mesmo nome no domínio com a opção Alterar, caso você tenha dois controladores de domínio no ambiente pode ser problema de replicação entre os controladores, como você pode ver possibilidades são muitas.

    Como dito anteriormente, as contas de computador são tão importantes quanto as contas de usuário. Mas como deve se tratar contas de computadores com problemas de relação de confiança? A Microsoft recomenda que contas de computador com problemas devem ser reiniciadas pelo Active Directory e não apagadas (como a maioria das pessoas fazem) e reinseridas no domínio com a opção Alterar.

    Lendo seu post, vi seu descontentamento com a Microsoft mas a Microsoft acaba com o suporte de certos produtos para que o pessoal use produtos atualizados e hoje temos diversas soluções para que o tempo de parada seja mínimo possível. Como por exemplo, podemos adicionar um novo controlador de domínio Windows Server 2008 R2 em um ambiente que tenha um controlador de domínio Windows Server 2003 e rebaixar o controlador de domínio Windows Server 2003 para que ele não seja mais utilizado, tudo isso sem que o ambiente pare. Assim usamos produtos atualizados para que tenhamos novas funções que facilitem nossa administração da rede e mantermos nosso ambiente mais seguro.

    Quaisquer dúvidas estou a disposição.


    Att,

    Elias Shuiti Yasuda
    MCP | MCTS | MCITP | MCSA 2K8 | ITIL v3 | Cobit
    Digisystem - Analista N2 Servidores
    Mestra - Administrador de redes
    "O ser humano evolui ao reconhecer os próprios erros."



    quinta-feira, 7 de junho de 2012 07:12
    Moderador
  • Olá Deuzenildo,

    Referente a outro hardware, digo que depende da estrutura do local, caso as máquinas sejam muito obsoletas aí não adianta muito querer implantar um SO mais atualizado.

    Caso o hardware seja mais atual e tenha as opções Execute Disable Bit e Virtual Technology, memória e espaço suficiente, por que não implantar um servidor Hyper-V com diversas máquinas virtuais? Assim a migração de SO se torna menos trabalhosa. Atualmente a tecnologia de virtualização está sendo muito implementada

    Infelizmente aplicações legadas apresentam uma pequena dor de cabeça, mas na área de TI temos que pensar em atualizações e infelizmente nem todos pensam desse jeito. Como exemplo vou usar meu cotidiano, antes na empresa usávamos um programa em COBOL e quando saiu a plataforma .NET o desenvolvedor resolver criar um novo programa e agora toda vez que sai uma nova versão do .NET Framework o programa é modificado para que funcione no mesmo. E para que tudo isso funcione, precisamos de pessoas que pensem do mesmo jeito e que trabalhem, porque nesse país há muitas pessoas preguiçosas. Caso seja inviável, seria uma opção virtualizar um sistema operacional para que a aplicação funcione, como por exemplo um Windows XP Mode que funciona no Windows 7.

    Se você decidir seguir carreira nessa área, sugiro fortemente os livros focados em certificações e de preferência os livros voltados para Windows Server 2008 e 2008 R2. Livros em português temos Kit de Treinamentos 70-640 (Active Directory), 70-642 (Infraestrutura de rede), 70-643 (Aplicações) e 70-646 (Server Administrator) que são voltados para Windows Server 2008 e estações Windows Vista. Em inglês temos esses que tem em português e mais a 70-647 (Enterprise Administrator) mas tem a versão mais atualizada focada em Windows Server 2008 R2 e estações Windows 7.


    Att,

    Elias Shuiti Yasuda
    MCP | MCTS | MCITP | MCSA 2K8 | ITIL v3 | Cobit
    Digisystem - Analista N2 Servidores
    Mestra - Administrador de redes
    "O ser humano evolui ao reconhecer os próprios erros."

    sexta-feira, 8 de junho de 2012 17:56
    Moderador

Todas as Respostas

  • Bom Dia Deuzenildo,

    Com relação a perda da relação de confiança entre estação de trabalho x controlador de domínio (ad), a mesma ocorre, porém deve ser resolvida, reiniciando a conta da estação de trabalho no controlador de domínio (ad). Após realizado o procedimento em questão, a estação deve ser reiniciada para que seja validada esta reinicialização da conta.

    Uso os 2 métodos para colocar estação de trabalho no domínio, e sempre obtive êxito em ambos. Criamos os usuários no controlador de domínio, e logamos com o mesmo na estação em questão, para que o perfil do usuário seja criado. Só utilizo control userpasswords2, quando preciso gerenciar uma credencial de senha, para acessar uma máquina que não esteja no domínio, etc..

    Abraços,

    Rodrigo 

    quarta-feira, 6 de junho de 2012 13:20
  • Olá Deuzenildo,

    Bom creio que há algumas confusões de conceitos no que acabei de ler. Vamos a alguns esclarecimentos.

    O comando control userpasswords2 é usado somente para dar acesso administrativo ao computador local, creio que você o usa para isto. Já que os usuários são controlados pelo controlador de domínio.

    Para um computador ingressar no domínio temos duas formas: a primeira é fazer o procedimento que você citou e a segunda é criar uma conta de computador previamente no controlador de domínio. A diferença entre as duas é que na primeira você usa a opção ID de Rede e a conta de computador é criada no caminho padrão do Active Directory, o caminho padrão quando não modificado, é a Contâiner Computers. A opção Alterar é usada normalmente quando já tem uma conta criada no Active Directory. Normalmente a recomendação da Microsoft é que seja criada uma conta de computador no Active Directory com o nome do computador que será inserido no domínio antes de inserir o computador no domínio. Mas o por que disso??? Essa recomendação é feita pois podemos verificar se há algum computador com o mesmo nome na rede ou pelo simples motivo de alocar o computador na OU correta para que sejam aplicadas as GPOs corretamente, em vez de mover a conta do computador da Contâiner Computers para a OU correta depois de inserida no domínio.

    Muitos tratam as contas de computadores como se fossem contas sem tanta importância, mas o fato é que as contas de computador são tão importantes quanto as contas de usuário pois elas tem SID e senhas próprias para que sejam autenticadas no domínio. A falha na relação de confiança entre o servidor e a estação acontece quando há uma inconsistência na conta de computador do Active Directory com a estação de trabalho, por algum motivo, é modificado o SID ou a senha da estação que tenta se autenticar no domínio. E qual pode ser esse motivo? São diversos, pode ser alguma falha de comunicação com a rede, um vírus, algum problema na estação de trabalho, alguém que colocou uma máquina com mesmo nome no domínio com a opção Alterar, caso você tenha dois controladores de domínio no ambiente pode ser problema de replicação entre os controladores, como você pode ver possibilidades são muitas.

    Como dito anteriormente, as contas de computador são tão importantes quanto as contas de usuário. Mas como deve se tratar contas de computadores com problemas de relação de confiança? A Microsoft recomenda que contas de computador com problemas devem ser reiniciadas pelo Active Directory e não apagadas (como a maioria das pessoas fazem) e reinseridas no domínio com a opção Alterar.

    Lendo seu post, vi seu descontentamento com a Microsoft mas a Microsoft acaba com o suporte de certos produtos para que o pessoal use produtos atualizados e hoje temos diversas soluções para que o tempo de parada seja mínimo possível. Como por exemplo, podemos adicionar um novo controlador de domínio Windows Server 2008 R2 em um ambiente que tenha um controlador de domínio Windows Server 2003 e rebaixar o controlador de domínio Windows Server 2003 para que ele não seja mais utilizado, tudo isso sem que o ambiente pare. Assim usamos produtos atualizados para que tenhamos novas funções que facilitem nossa administração da rede e mantermos nosso ambiente mais seguro.

    Quaisquer dúvidas estou a disposição.


    Att,

    Elias Shuiti Yasuda
    MCP | MCTS | MCITP | MCSA 2K8 | ITIL v3 | Cobit
    Digisystem - Analista N2 Servidores
    Mestra - Administrador de redes
    "O ser humano evolui ao reconhecer os próprios erros."



    quinta-feira, 7 de junho de 2012 07:12
    Moderador
  • Bom dia Elias, espero e faço votos de que tudo esteja indo bem.

    Agradeço muito seu esclarecimento o qual me ajudou em muito, agora pude ter uma noção desses problemas estarem ocorrendo, assim daqui para frente tentarei usar esses procedimentos.

    Sobre o uso de produtos Microsoft, confesso que nao estou descontente, a unica coisa que vi e conclui, muito embora equivocadamente, é que a maioria das pessoas falaram a mesma coisa, conforme podes ler no meu post, talvez nao tenha sido claro como deveria, entretanto, uma atualização de SO do server, deve-se ter outro hardware on local disponivel, nao deve? como seria feito esse upgrade? Alem disso, alguns clientes ainda usam aplicações em Clipper etc  e tal dai temos problemas ao inserir a versao 2008 que é 64bits.

    Agora, depois de seu post, entendi claramente que nao são problemas com os produtos Microsoft propriamente dito, e sim, um erro nos procedimentos.

    Um forte abraço, mantenha em contato, se puder me indicar algum livro ou site para leitura, agradeceria muito.


    www.supremavision.com.br Soluções em TI.

    sexta-feira, 8 de junho de 2012 12:08
  • Olá Deuzenildo,

    Referente a outro hardware, digo que depende da estrutura do local, caso as máquinas sejam muito obsoletas aí não adianta muito querer implantar um SO mais atualizado.

    Caso o hardware seja mais atual e tenha as opções Execute Disable Bit e Virtual Technology, memória e espaço suficiente, por que não implantar um servidor Hyper-V com diversas máquinas virtuais? Assim a migração de SO se torna menos trabalhosa. Atualmente a tecnologia de virtualização está sendo muito implementada

    Infelizmente aplicações legadas apresentam uma pequena dor de cabeça, mas na área de TI temos que pensar em atualizações e infelizmente nem todos pensam desse jeito. Como exemplo vou usar meu cotidiano, antes na empresa usávamos um programa em COBOL e quando saiu a plataforma .NET o desenvolvedor resolver criar um novo programa e agora toda vez que sai uma nova versão do .NET Framework o programa é modificado para que funcione no mesmo. E para que tudo isso funcione, precisamos de pessoas que pensem do mesmo jeito e que trabalhem, porque nesse país há muitas pessoas preguiçosas. Caso seja inviável, seria uma opção virtualizar um sistema operacional para que a aplicação funcione, como por exemplo um Windows XP Mode que funciona no Windows 7.

    Se você decidir seguir carreira nessa área, sugiro fortemente os livros focados em certificações e de preferência os livros voltados para Windows Server 2008 e 2008 R2. Livros em português temos Kit de Treinamentos 70-640 (Active Directory), 70-642 (Infraestrutura de rede), 70-643 (Aplicações) e 70-646 (Server Administrator) que são voltados para Windows Server 2008 e estações Windows Vista. Em inglês temos esses que tem em português e mais a 70-647 (Enterprise Administrator) mas tem a versão mais atualizada focada em Windows Server 2008 R2 e estações Windows 7.


    Att,

    Elias Shuiti Yasuda
    MCP | MCTS | MCITP | MCSA 2K8 | ITIL v3 | Cobit
    Digisystem - Analista N2 Servidores
    Mestra - Administrador de redes
    "O ser humano evolui ao reconhecer os próprios erros."

    sexta-feira, 8 de junho de 2012 17:56
    Moderador