none
Сервер сертификатов потерял доверительные отношения с доменом. Как восстановить? RRS feed

  • Вопрос

  • Собственно, сабж.

    Чуть подробнее. 

    10 лет назад был установлен корневой СА на сервере включённом в домен (исходно 2000, апгрейд до 2003). Для учётной записи сервера была запрещена смена пароля, он подолгу (до 10 месяцев) находился в выключенном состоянии и при включении без проблем "появлялся в домене".

    Последний раз был выключен 14.12.2010. Сегодня был включён - трындец. "... Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера".

    Пока он был выключен, производился апгрейд домена до 2008R2 и добавились два DC под 2008R2. Подозреваю, что вновь применившиеся политики при апгрейде сбросили чего не надо, что и привело к выпадению из домена...

    Традиционным способом из ГУИ вывести систему из домена и вновь присоединить (к существующему эккаунту) не могу - кнопка "Изменить" задизейблена, с пояснением "Потому что на этом компьютере установлена служба Центра сертификации". Netdom join говорит "компьютер уже присоединён к домену", remove - "отказано в доступе".

    Есть ли более простой путь, чем бекап, удаление ЦС, разборки с членством в домене, установка ЦС, восстановление из бекапа?


    S.A.
    4 января 2011 г. 16:25

Ответы

  • Есть ли более простой путь, чем бекап, удаление ЦС, разборки с членством в домене, установка ЦС, восстановление из бекапа?

    Ну, собственно, воспользовался именно этим путём, на всякий случай следуя по пунктам описанному здесь http://support.microsoft.com/kb/298138/en-us, достаточно быстро получилось... :). Вытаскивание из домена стало доступно сразу после сноса CA, без перезагрузки перевёл в рабочую группу (указав заведомо неверные реквизиты подключения к домену), добавил обратно в домен (предварительно сбросив эккант компютера на DC), после перезагрузки рабочее членство в домене без сомнений.

    По логам сейчас всё хорошо, на послезавтра обновление сертификата подчинённого выпускающего СА, точно узнаю, всё ли корректно... :)


    S.A.
    • Помечено в качестве ответа Yuriy Lenchenkov 13 января 2011 г. 12:53
    4 января 2011 г. 21:00
  • все норм (:

    Странно, мне казалось что команда netdom помогла бы обновить участие сервера в домене. Попробую сэмулировать на виртуалке (:

    Остается услышать мнения экспертов по этому вопросу, как нужно было поступить лучше, и закрывать пост. Главное ведь что проблема решена (= Кстати вот: имхо именно то что требовалось.
    • Помечено в качестве ответа Yuriy Lenchenkov 13 января 2011 г. 12:53
    5 января 2011 г. 20:38

Все ответы

  • Уровень домена подняли до 2008r2, а один из серверов остался 2003? Если не ошибаюсь это не рекомендовано, боюсь сказать даже запрещено.

    Совпадающие по имени (искомой машины) объекты типа "Компьютер" есть в домене, проверьте. Попробуйте удалить эту запись вообще. Залогиниться на больной сервер под Domain Administrator, хотя скорее  Local Administrator и пробовать:

     NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

    4 января 2011 г. 18:55
  • И еще, если не ошибусь, Root CA в домен не рекомендуется вводить, в принципе.
    4 января 2011 г. 18:57
  • Уровень домена подняли до 2008r2, а один из серверов остался 2003? Если не ошибаюсь это не рекомендовано, боюсь сказать даже запрещено.

    Уровень домена не подняли. Изменена схема леса и домена (пока только корневого) до 2008R2 и добавлены два DC под 2008R2, два существующих DC под 2003 продолжают работать.

    Но корневой СА, конечно же, не на DC. Для корневого СА на совершенно отдельной железке запрещено его оставить под 2003?

    Совпадающие по имени (искомой машины) объекты типа "Компьютер" есть в домене, проверьте. Попробуйте удалить эту запись вообще.

    Других записей, совпадающих по имени, конечно же нет. Если я удалю эту запись вообще, я потеряю GUID машинного эккаунта, на который (предполагаю) AD может содержать ссылки в информации о Enterprise Root CA.

    Залогиниться на больной сервер под Domain Administrator, хотя скорее  Local Administrator и пробовать:

     NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

    Если бы я мог залогиниться на больном с любым доменным эккаунтом, этого вопроса бы не было :). Про RESETPWD, читая хелп, я просто не понимаю смысла написанного :(. Вот под Самбой, в ситуации аналогичной моей, можно сбросить (средствами AD) пароль учетной записи компа, и выполнить rejoin - пароли будут заново синхронизированы. Это оно? Тогда почему для конкретного DC, а не домена?

    И еще, если не ошибусь, Root CA в домен не рекомендуется вводить, в принципе.

    Совершенно справедливо, сейчас я в курсе. В 2000 году был не в курсе :).

    Но, собственно, основная причина - именно та грабля, на которую я наступил. То есть, при выполнении рекомендации "offline Root CA" он выпадает из домена - именно для обхода этой ситуации у меня были организованы персональные OU и политика с параметром "отключить изменение пароля учётных записей компьютера". И до последнего момента проблем не было...


    S.A.
    4 января 2011 г. 19:39
  • Есть ли более простой путь, чем бекап, удаление ЦС, разборки с членством в домене, установка ЦС, восстановление из бекапа?

    Ну, собственно, воспользовался именно этим путём, на всякий случай следуя по пунктам описанному здесь http://support.microsoft.com/kb/298138/en-us, достаточно быстро получилось... :). Вытаскивание из домена стало доступно сразу после сноса CA, без перезагрузки перевёл в рабочую группу (указав заведомо неверные реквизиты подключения к домену), добавил обратно в домен (предварительно сбросив эккант компютера на DC), после перезагрузки рабочее членство в домене без сомнений.

    По логам сейчас всё хорошо, на послезавтра обновление сертификата подчинённого выпускающего СА, точно узнаю, всё ли корректно... :)


    S.A.
    • Помечено в качестве ответа Yuriy Lenchenkov 13 января 2011 г. 12:53
    4 января 2011 г. 21:00
  • Это оно? Тогда почему для конкретного DC, а не домена?
    И еще, если не ошибусь, Root CA в домен не рекомендуется вводить, в принципе.

    То есть, при выполнении рекомендации "offline Root CA" он выпадает из домена - именно для обхода этой ситуации у меня были организованы персональные OU и политика с параметром "отключить изменение пароля учётных записей компьютера".

    Думаю оно самое, а DC и есть яркий представитель управленцев домена (:

    В общем как я понял у вас машина выпала из домена, а локального администратора пароль Вы не знали. Мыслить я начал в иную сторону. Рад что решили все. Не забудьте отметить ответ свой, это полезно.

    ps Получается что удаление учетной записи компьютера было бы не критично.

    5 января 2011 г. 14:03
  • Дико извиняюсь, читая сообщение и задумавшись, совершенно случайно щёлкнул мышью по "Сообщить о нарушении"!!! Если бы знал, как отменить сделанное - немедленно бы отменил... Очень сожалею о содеянном! В качестве моральной компенсации - считаю предыдущее сообщение полезным :).

    По сути - пароль локального админа я как раз знал - иначе как бы делал всё описанное? Моя проблема была в том, что, при установленном сервисе СА, система не позволяет удалить себя из домена (об этом в первом сообщении). Насчёт "не критичности" удаления учётной записи компьютера не уверен - при выполненных мной действиях сервер остался в домене с той же самой учётной записью (существующий объект AD изменялся, но не создавался заново).


    S.A.

    P.S. Да, действительно, если согласно приведённой мной же ссылке, не критичным является перенос СА на совершенно другой сервер, то в моём случае удаление учётной записи компьютера тоже не критично. Возражал зря.

    5 января 2011 г. 19:16
  • все норм (:

    Странно, мне казалось что команда netdom помогла бы обновить участие сервера в домене. Попробую сэмулировать на виртуалке (:

    Остается услышать мнения экспертов по этому вопросу, как нужно было поступить лучше, и закрывать пост. Главное ведь что проблема решена (= Кстати вот: имхо именно то что требовалось.
    • Помечено в качестве ответа Yuriy Lenchenkov 13 января 2011 г. 12:53
    5 января 2011 г. 20:38
  • А что в журналах по событиям "входа" сервера ("logon") на контроллерах?.. Попробуйте на время загрузки сервера вывести из работы новые контроллеры.

    10 января 2011 г. 21:10
    Отвечающий
  • А что в журналах по событиям "входа" сервера ("logon") на контроллерах?.. Попробуйте на время загрузки сервера вывести из работы новые контроллеры.


    В логах (всех DC, "старых" тоже) были события 5722, imho классический случай "рассинхронизации паролей". Собственно, попробовать что-либо я уже не смогу, поскольку ситуация исправлена, как я написал в сообщении 04.01 21:00. Сейчас всё работает.

    Хотя восстановить членство в домене с помощью netdom было бы гораздо проще (и быстрее).

    То есть, конкретная проблема решена... Но волнует вопрос о причинах, поскольку не хотелось бы повторения. 10 лет этот корневой СА включался раз в полгода для обновления списков отзыва (кроме периода обновления 2000 -> 2003 :)), никаких проблем не было, и именно после появления DC на 2008R2 (решённая) проблема возникла. Настораживает это...


    S.A.
    12 января 2011 г. 21:06