ওয়ার্কস্টেশন এবং এডি ডোমেনের মধ্যে ব্রোকেন ট্রাস্ট রিলেশনশিপ মেরামত করা

এই নিবন্ধে আমরা দেখাব কিভাবে একটি ওয়ার্কস্টেশন এবং একটি সক্রিয় ডিরেক্টরি ডোমেনের মধ্যে একটি ভাঙা বিশ্বাসের সম্পর্ক ঠিক করা যায় যখন একজন ব্যবহারকারী তাদের ডোমেন কম্পিউটারে লগইন করতে পারে না। আসুন সমস্যাটির মূল কারণ এবং কম্পিউটার রিবুট না করে এবং ডোমেন পুনরায় যোগদান না করে একটি নিরাপদ চ্যানেলে একটি কম্পিউটার এবং একটি ডোমেন কন্ট্রোলারের মধ্যে বিশ্বাস মেরামত করার সহজ উপায় বিবেচনা করি।

এই ওয়ার্কস্টেশন এবং প্রাথমিক ডোমেনের মধ্যে বিশ্বাসের সম্পর্ক ব্যর্থ হয়েছে৷

সমস্যাটি তখনই প্রকাশ পায় যখন একজন ব্যবহারকারী ডোমেন শংসাপত্র ব্যবহার করে ওয়ার্কস্টেশন বা সদস্য সার্ভারে লগইন করার চেষ্টা করে এবং পাসওয়ার্ড প্রবেশ করার পরে নিম্নলিখিত ত্রুটি ঘটে:

The trust relationship between this workstation and the primary domain failed.

ত্রুটিটি এইরকম দেখতেও পারে:

The security database on the server does not have a computer account for this workstation trust relationship.

অ্যাক্টিভ ডিরেক্টরি ডোমেনে মেশিন (কম্পিউটার) অ্যাকাউন্টের পাসওয়ার্ড

যখন একটি কম্পিউটার একটি অ্যাক্টিভ ডিরেক্টরি ডোমেনে যুক্ত হয়, তখন এটির জন্য একটি পৃথক কম্পিউটার অ্যাকাউন্ট তৈরি করা হয়। ব্যবহারকারীদের মতো, ডোমেনে কম্পিউটারকে প্রমাণীকরণ করতে এবং ডোমেন কন্ট্রোলারের সাথে একটি বিশ্বস্ত সংযোগ স্থাপন করতে প্রতিটি কম্পিউটারের পাসওয়ার্ড থাকে। যাইহোক, ব্যবহারকারীর পাসওয়ার্ডের বিপরীতে, কম্পিউটারের পাসওয়ার্ডগুলি স্বয়ংক্রিয়ভাবে সেট এবং পরিবর্তিত হয়৷

এখানে AD:

• এডি-তে কম্পিউটারের পাসওয়ার্ড নিয়মিত পরিবর্তন করতে হবে (ডিফল্টরূপে 30 দিনে একবার)।টিপ। আপনি ডোমেন সদস্য:সর্বাধিক মেশিন অ্যাকাউন্ট পাসওয়ার্ড বয়স ব্যবহার করে সর্বাধিক কম্পিউটার পাসওয়ার্ড বয়স কনফিগার করতে পারেন নীতিটি কম্পিউটার কনফিগারেশন-> উইন্ডোজ সেটিংস-> নিরাপত্তা সেটিংস-> স্থানীয় নীতি-> নিরাপত্তা বিকল্পের অধীনে অবস্থিত। একটি কম্পিউটার পাসওয়ার্ড লাইফটাইম 0 থেকে 999 দিন পর্যন্ত স্থায়ী হতে পারে (ডিফল্টরূপে 30 দিন);
• ব্যবহারকারীর পাসওয়ার্ডের বিপরীতে, একটি কম্পিউটার পাসওয়ার্ডের মেয়াদ শেষ হতে পারে না। পাসওয়ার্ড পরিবর্তন কম্পিউটার দ্বারা শুরু হয়, ডোমেন কন্ট্রোলার নয়। একটি কম্পিউটার পাসওয়ার্ড ডোমেন পাসওয়ার্ড নীতির অধীন নয়; এমনকি যদি একটি কম্পিউটার 30 দিন বা তার বেশি সময়ের জন্য বন্ধ থাকে, আপনি এটি চালু করতে পারেন এবং এটি আপনার ডিসি-তে পুরানো পাসওয়ার্ড দিয়ে প্রমাণীকৃত হবে। তারপর স্থানীয় নেটলগন পরিষেবা তার স্থানীয় ডাটাবেসে কম্পিউটারের পাসওয়ার্ড পরিবর্তন করবে (পাসওয়ার্ডটি রেজিস্ট্রি HKLM\SECURITY\Policy\Secrets\$machine.ACC এ সংরক্ষিত আছে ) এবং তারপর এটি সক্রিয় ডিরেক্টরিতে কম্পিউটার অ্যাকাউন্টের পাসওয়ার্ড আপডেট করবে।
• একটি কম্পিউটার পাসওয়ার্ড নিকটতম DC-তে পরিবর্তন করা হয়, পরিবর্তনগুলি PDC এমুলেটর FSMO ভূমিকা সহ ডোমেন নিয়ন্ত্রকের কাছে পাঠানো হয় না (অর্থাৎ, যদি একটি কম্পিউটার একটি ডিসিতে তার পাসওয়ার্ড পরিবর্তন করে থাকে তবে এটি প্রমাণীকরণ করতে সক্ষম হবে না AD পরিবর্তনগুলি প্রতিলিপি না হওয়া পর্যন্ত অন্য DC-তে।

কম্পিউটার যে পাসওয়ার্ডটি ডোমেন কন্ট্রোলারকে পাঠায় তার হ্যাশ যদি AD ডাটাবেসের কম্পিউটার অ্যাকাউন্টের পাসওয়ার্ডের সাথে মেলে না, কম্পিউটারটি DC-এর সাথে একটি নিরাপদ সংযোগ স্থাপন করতে পারে না এবং বিশ্বস্ত সংযোগ ত্রুটি ফেরত দিতে পারে না৷

কেন সমস্যাটি ঘটে:

1. একটি পুরানো পুনরুদ্ধার পয়েন্ট থেকে একটি কম্পিউটার পুনরুদ্ধার করা হয়েছে বা একটি স্ন্যাপশট (ভার্চুয়াল মেশিনের ক্ষেত্রে) AD এ কম্পিউটার পাসওয়ার্ড পরিবর্তন করার আগে তৈরি করা হয়েছে৷ আপনি যদি কম্পিউটারটিকে আগের অবস্থায় ফিরিয়ে দেন, তাহলে এটি তার পুরানো পাসওয়ার্ড ব্যবহার করে ডিসি-তে প্রমাণীকরণ করার চেষ্টা করবে। এটি সবচেয়ে সাধারণ সমস্যা;
2. এডিতে একই নামের একটি কম্পিউটার তৈরি করা হয়েছে, অথবা কেউ ADUC কনসোল (dsa.msc) ব্যবহার করে ডোমেনে কম্পিউটার অ্যাকাউন্টটি পুনরায় সেট করেছে );
3. ডোমেনের কম্পিউটার অ্যাকাউন্ট অ্যাডমিনিস্ট্রেটর দ্বারা নিষ্ক্রিয় করা হয়েছে (উদাহরণস্বরূপ, নিষ্ক্রিয় AD বস্তুগুলি নিষ্ক্রিয় করার একটি নিয়মিত প্রক্রিয়া চলাকালীন);
4. একটি বিরল ঘটনা যখন একটি কম্পিউটারে সিস্টেমের সময় ভুল হয়।

কম্পিউটার এবং ডোমেনের মধ্যে বিশ্বাসের সম্পর্ক মেরামত করার ক্লাসিক্যাল উপায় এখানে:

1. এডিতে কম্পিউটার অ্যাকাউন্ট রিসেট করুন;
2. কম্পিউটারটিকে ডোমেন থেকে স্থানীয় প্রশাসকের অধীনে একটি ওয়ার্কগ্রুপে সরান;
3. রিবুট;
4. কম্পিউটারে ডোমেনে পুনরায় যোগ দিন;
5. কম্পিউটার পুনরায় চালু করুন

পদ্ধতিটি সহজ বলে মনে হচ্ছে, কিন্তু এটি খুব আনাড়ি, কম্পিউটারের কমপক্ষে দুটি রিস্টার্ট প্রয়োজন এবং 10-30 মিনিট সময় নেয়। এছাড়াও আপনি পুরানো স্থানীয় ব্যবহারকারী প্রোফাইল ব্যবহার করতে সমস্যা সম্মুখীন হতে পারেন.

ডোমেনে পুনরায় যোগদান বা কম্পিউটার পুনরায় চালু না করে PowerShell ব্যবহার করে বিশ্বাসের সম্পর্ক মেরামত করার একটি স্মার্ট উপায় রয়েছে।

PowerShell ব্যবহার করে কম্পিউটার এবং ডোমেনের মধ্যে বিশ্বাসের সম্পর্ক পরীক্ষা করুন এবং পুনরুদ্ধার করুন

যদি আপনি একটি ডোমেন অ্যাকাউন্টের অধীনে একটি কম্পিউটারে প্রমাণীকরণ করতে না পারেন এবং নিম্নলিখিত ত্রুটিটি উপস্থিত হয়:এই ওয়ার্কস্টেশন এবং প্রাথমিক ডোমেনের মধ্যে বিশ্বাসের সম্পর্ক ব্যর্থ হয়েছে , আপনাকে আপনার স্থানীয় প্রশাসক অ্যাকাউন্ট ব্যবহার করে কম্পিউটারে লগইন করতে হবে৷ এছাড়াও আপনি নেটওয়ার্ক কেবলটি আনপ্লাগ করতে পারেন এবং ক্যাশেড শংসাপত্র ব্যবহার করে সম্প্রতি কম্পিউটারে লগ ইন করা ডোমেন অ্যাকাউন্টের মাধ্যমে কম্পিউটারে প্রমাণীকরণ করতে পারেন৷

উন্নত PowerShell কনসোল খুলুন এবং Test-ComputerSecureChannel ব্যবহার করুন cmdlet নিশ্চিত করুন যে স্থানীয় কম্পিউটারের পাসওয়ার্ডটি AD এ সংরক্ষিত পাসওয়ার্ডের সাথে মেলে কিনা৷

Test-ComputerSecureChannel –verbose

যদি পাসওয়ার্ড মেলে না এবং কম্পিউটার ডোমেনের সাথে বিশ্বাসের সম্পর্ক স্থাপন করতে না পারে, তাহলে কমান্ডটি False ফিরে আসবে – The Secure channel between the local computer and the domain woshub.com is broken .

AD এ কম্পিউটার অ্যাকাউন্টের পাসওয়ার্ড জোর করে পুনরায় সেট করতে, এই কমান্ডটি চালান:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

একটি পাসওয়ার্ড রিসেট করতে, একটি কম্পিউটার অ্যাকাউন্ট পাসওয়ার্ড রিসেট করার বিশেষাধিকার আছে এমন একটি ব্যবহারকারীর অ্যাকাউন্টের শংসাপত্রগুলি লিখুন৷ ব্যবহারকারীকে অবশ্যই অ্যাক্টিভ ডিরেক্টরিতে কম্পিউটার পরিচালনার অনুমতি অর্পণ করতে হবে (আপনি ডোমেন অ্যাডমিন গ্রুপের সদস্যও ব্যবহার করতে পারেন)।

তারপরে এটি সত্য ফিরে আসে তা নিশ্চিত করতে আবার টেস্ট-কম্পিউটারসিকিউর চ্যানেল চালান (The Secure channel between the local computer and the domain woshub.com is in good condition )।

তাই কম্পিউটারের পাসওয়ার্ড রিস্টার্ট বা ম্যানুয়াল ডোমেইন রিজইন ছাড়াই রিসেট করা হয়েছে। এখন আপনি আপনার ডোমেন অ্যাকাউন্ট ব্যবহার করে কম্পিউটারে লগইন করতে পারেন।

Reset-ComputerMachinePassword -Server mun-dc01.woshub.com -Credential woshub\adm_user1

mun-dc01.woshub.com কম্পিউটারের পাসওয়ার্ড পরিবর্তন করার জন্য সবচেয়ে কাছের ডিসির নাম।

একটি ভার্চুয়াল মেশিন স্ন্যাপশট বা একটি কম্পিউটার পুনরুদ্ধার পয়েন্ট তৈরি করার আগে প্রতিবার একটি কম্পিউটার পাসওয়ার্ড রিসেট করা মূল্যবান৷ কম্পিউটারের আগের অবস্থায় ফিরে আসা আপনার পক্ষে সহজ হবে।

আপনার যদি একটি বিকাশ বা পরীক্ষার পরিবেশ থাকে, যেখানে আপনাকে প্রায়শই একটি স্ন্যাপশট থেকে পূর্ববর্তী VM অবস্থা পুনরুদ্ধার করতে হয়, আপনি GPO ব্যবহার করে এই কম্পিউটারগুলির জন্য ডোমেনে পাসওয়ার্ড পরিবর্তন অক্ষম করতে চাইতে পারেন। এটি করতে, ডোমেন সদস্য:মেশিন অ্যাকাউন্ট পাসওয়ার্ড পরিবর্তনগুলি অক্ষম করুন সেট করুন৷ কম্পিউটার কনফিগারেশন -> নীতি -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> স্থানীয় নীতি -> নিরাপত্তা বিকল্পগুলিতে অবস্থিত নীতি৷ আপনি পরীক্ষার কম্পিউটারের মাধ্যমে OU-তে নীতি লক্ষ্য করতে পারেন বা GPO WMI ফিল্টার ব্যবহার করতে পারেন।

Get-ADComputer cmdlet ব্যবহার করে (Windows PowerShell-এর জন্য অ্যাক্টিভ ডিরেক্টরি মডিউল থেকে), আপনি AD এ শেষ কম্পিউটার পাসওয়ার্ড পরিবর্তনের তারিখ পরীক্ষা করতে পারেন:

Get-ADComputer –Identity mun-wks5431 -Properties PasswordLastSet

আপনি এই কমান্ডটি ব্যবহার করে কম্পিউটার এবং একটি ডিসির মধ্যে একটি সুরক্ষিত চ্যানেল আছে কিনা তাও পরীক্ষা করতে পারেন:

nltest /sc_verify:woshub.com

নিম্নলিখিত লাইনগুলি নিশ্চিত করে যে বিশ্বাস সফলভাবে মেরামত করা হয়েছে:

Trusted DC Connection Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

Netdom ব্যবহার করে ডোমেন ট্রাস্ট মেরামত করুন

Windows 7/2008R2 এবং PowerShell 3.0 ছাড়া পূর্ববর্তী Windows সংস্করণগুলিতে, আপনি কম্পিউটার পাসওয়ার্ড রিসেট করতে এবং ডোমেনের সাথে বিশ্বাসের সম্পর্ক মেরামত করতে Test-ComputerSecureChannel এবং Reset-ComputerMachinePassword cmdlets ব্যবহার করতে পারবেন না। এই ক্ষেত্রে, netdom.exe ব্যবহার করুন ডোমেন কন্ট্রোলারের সাথে একটি সুরক্ষিত চ্যানেল পুনরুদ্ধার করার জন্য টুল।

নেটডম Windows Server 2008 বা তার পরবর্তীতে অন্তর্ভুক্ত, এবং RSAT (রিমোট সার্ভার অ্যাডমিনিস্ট্রেশন টুলস) থেকে ব্যবহারকারীদের কম্পিউটারে ইনস্টল করা যেতে পারে। বিশ্বাসের সম্পর্ক মেরামত করতে, স্থানীয় প্রশাসকের শংসাপত্রের অধীনে লগ ইন করুন ( .\Administrator টাইপ করে লগইন স্ক্রিনে) এবং নিম্নলিখিত কমান্ডটি চালান:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

The machine account password for the local machine has successfully reset.

• সার্ভার যে কোনো উপলব্ধ ডোমেন কন্ট্রোলারের নাম হল
• ইউজারডি ডোমেন প্রশাসকের অনুমতি সহ ব্যবহারকারীর নাম বা কম্পিউটার অ্যাকাউন্ট ধারণকারী OU-তে অর্পিত বিশেষাধিকার রয়েছে
• পাসওয়ার্ডডি ব্যবহারকারীর পাসওয়ার্ড

Netdom resetpwd /Server:mun-dc01 /UserD:jsmith /PasswordD:Pra$$w0rd

কমান্ডটি চালানোর পরে, আপনাকে কম্পিউটার রিবুট করতে হবে না:শুধু লগ অফ করুন এবং আপনার ডোমেন অ্যাকাউন্ট ব্যবহার করে আবার লগ ইন করুন৷

আপনি দেখতে পাচ্ছেন, একটি কম্পিউটার এবং একটি ডোমেনের মধ্যে বিশ্বাস মেরামত করা বেশ সহজ৷