Выявление проблемы безопасного канала

lps-01_mini_oszone

Лучший способ обнаружить проблему безопасного канала — задействовать функцию I_NetLogonControl2. I_NetlogonControl2 — это одна из функций, используемых службой NetLogon (она есть на любом компьютере с Windows любой версии) для поддержания сведений о доступных доменах и DC. В распоряжении администратора есть три простых инструмента для вызова этой функции и быстрого получения информации о возможности подключения к определенному домену и DC: NLTest, PowcrShcll и WML NLTest.exe. Утилита NLTest.exe была выпущена в комплекте средств поддержки Windows 2000 и Windows Server 2003 и включена по умолчанию в большинство более новых версий Windows. Параметр sc_verify вызывает I_NetlogonControl2, и вам остается указать проблемный домен.
C:\>nltest/sc_verify: americas
Flags: ЬО HASJP HASJIMESERV
Trusted DC Name\\DD3 — AM — DC — 03. americas.fabrikam.com
Trusted DC Connection Status Status = 0OxONERR_Success
Trust Verification Status = 0OxONERR_Success
The command completed successfully Если проблема безопасного канала не исчезает, то есть если общий секрет на компьютере не совпадает с общим секретом в AD для этого компьютера, исправить ошибку поможет параметр sc_reset. PowerShell. В PowerShell 2.0 добавлена команда PowerShell Test — ComputerSecureChannel, которая также вызывает I_NetLogonControl2, но обеспечивает минимум информации, возвращая ответ True, если безопасный канал домена исправен, a DC доступен, либо, в противном случае, ответ False.
PS С:\> Test — ComputerSecureChannel
True
Подобно NLTest.exe, команда Test — ComputerSecureChannel может применяться и для исправления ошибки с использованием ключа Repair. С помощью класса win32_ ntdomain инструментарий управления Windows (WMI) позволяет запросить вес домены, о которых знает компьютер. WMI полезен в случаях, когда на тестируемом компьютере нельзя рассчитывать на средства PowerShell. Заметим, что в приведенном ниже примере (где Win32_NTDomain вызывается через команду PowerShell Get — WMIObject с использованием псевдонима GWMI) в качестве ответа возвращается только локальный домен,
но может быть возвращен любой домен, связанный с локальным доменом отношениями доверия. PS С:\> gwmi win32_nidomain ClientSiteName: ТХ DcSiteName: ТХ Description: AMERICAS DnsForestName: americas.tabrikam.com DomainControllerAddress: \\ DomainControilerName : WDD3 — AM — DC — 03 DomainName : AMERICAS
Roles : Status : OK
Заметим, что состояние OK в этом примере соответствует ответу True или False, возвращаемому командой Test — ComputerSecureChanncl, и указывает на работоспособность или неработоспособность безопасного канала.
Устранение проблемы безопасного канала
Пользователям, обращающимся в службу поддержки Microsoft, высылается дополнительный пакет сбора данных. Вместо собственной команды PowerShell Test — Computers ecu re Channel в пакете используется WMI — класс Win32_NTDomain (вызываемый из PowerShell), что позволяет запускать тест даже на более старых операционных системах, таких как Windows ХР и Windows 2003. Для иллюстрации применения теста ниже приведены два примера сценариев, которые можно самостоятельно запустить в окне PowerShell (см. листинг 1 и листинг 2). В первом примере выполняется сбор информации о безопасном канале текущего домена, а также основных сведений о лесе. На экране 2 приведены результаты.
Для выявления любой проблемы создается тест как сценарий PowerShell (файл.ps 1), а к возвращаемому состоянию добавляется условный оператор ЧР. Можно также указать имя домена, как показано в примере в листинге 2. В практике диагностики Microsoft этот сценарий превращен в простую функцию, которую можно использовать повторно. Обнаружение проблем безопасного канала в корпоративной среде — сложная задача, зато их устранение может оказаться значительно проще. Надеюсь, эта статья предоставит вам удобные инструменты диагностики.