iT邦幫忙

0

想請教關於電腦加入網域後,沒幾天就出現與工作站信任關係失敗的問題

  • 分享至 

  • xImage

關於最近待的單位,有群PC加入網域後,沒幾天就出現與工作站信任關係失敗的問題
有裝還原卡EZ-Back SYSTEM

附圖為GCB的設定
https://ithelp.ithome.com.tw/upload/images/20220217/20121397ynZA73Vpwx.png
https://ithelp.ithome.com.tw/upload/images/20220217/20121397ozOEhXCLVt.png
https://ithelp.ithome.com.tw/upload/images/20220217/20121397cnbUVBtl92.png

但還原卡廠商是這樣回覆的 以下為廠商回覆,想請問板友 真是GCB的設定影響到PC嗎?

目前會發生【網域信任關係失敗】之PC,是因為網域規則內有一個規則為: 【網域成員:最長電腦帳號戶密碼有效期】設定到30天。(或者更短的日期)

如下圖所示
https://ithelp.ithome.com.tw/upload/images/20220217/20121397OvmbNbXB4z.png
請協助看一下 電腦裡面的【本機安全原則】→【安全性選項】→【網域成員:最長電腦帳號戶密碼有效期】是否為30天

若有管理權限,可以試著將30天的設定延長

進入登入編輯器:regedit

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
路徑下:將
"DisablePasswordChange" 將此值改為1,[停用電腦帳戶密碼變更] 改為[已啟用]。
MaximumPasswordAge 將此值改為 f4240 可延長為1000000天。
https://ithelp.ithome.com.tw/upload/images/20220217/20121397Du7gk77yBy.png

但是若再次套用網域規則(或GCB規則後),若此設定值修正為30天。可能就必須要將此電腦脫離網域,才有可能解決單位登入問題。

還原卡不適合加入網域的電腦使用,如果你非要使用能夠重開就系統還原的話,你應該用子系VHD開機並且以READ-ONLY去啟動系統,這樣你每次重開機回到原始的狀態,如果你的系統有必要更新,那就是選擇父系VHD開機,接著就是做好更新的動作,再重新建立子系VHD,之後用新的子系VHD開機,有不少商用環境是這麼做的,例如巨X電腦之類補教業者
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

9
Ray
iT邦大神 1 級 ‧ 2022-02-17 17:31:30
最佳解答

如果他的還原卡要求這樣才能過的話, 代表這家還原卡不能與 GCB 相容.

再來就要看決策單位決定怎麼做了:

  1. 違反上級資安命令, 撤銷 GCB 設定
  2. 全面廢除 EZ-Back, 改用其他方案
  3. 每隔 30 天重做一次還原 Image

上面三個挑一個做就可以.....


還原卡會跟這條 GCB 牴觸的原因是這樣:

還原卡一旦做還原的 Image 時, 他連當時的 Computer Password 也一併寫入 Image 了. 問題是, 這個 Password token 被寫定之後, 就不會再變動, 所以他會永遠停在 D Day.

接下來:
如果你的電腦在 D+30 天以內執行還原:
此時跟 DC 之間驗證的 Computer password token 尚未輪替, 所以還原回來的 token, 跟你目前使用的 token 相同, 驗證就沒有問題, 不會被踢出網域.

如果你的電腦在 D+30 天以後執行還原:
此時跟 DC 之間驗證的 Computer password token 已經替換成新版的, 還原回來的舊 token, 跟你目前使用的新 token 不同, 驗證不過關, 只好被踢出網域.


這個 Token 為何要經常輪替?

這是資安的需要, 避免有人竊取某台電腦的 Token 之後, 偽造自己的身分直接就進入網域.

所以, 如果你真的把 GCB 關掉, 將來萬一出現上面這種狀況, 導致單位內發生資安事件而資料受損的話, 請問這條鍋要叫誰出來背? (當然是:誰下令關掉的, 誰就要出來當砲灰)

追根究底, 這是還原卡廠商不瞭解 Windows 還原的正確作法, 又不知道如何解, 所以才教你這種棄械投降式的解法; 這種還原卡缺乏資安專業, 遲早會讓你的單位出事...

(正確的作法: 應該要在執行還原的時候, 先把當初記下來的舊 Token 砍掉, 跟 DC 重新同步過拿到新的 Token, 恢復網域之後, 才將電腦還給使用者, 這個動作可以用 Sysprep 程序來做前處理; 但還原卡廠商大部分只知道如何做到單機還原, 它們並不懂如何做網域內的還原, 這方面可能許多世界級的備份軟體要比他們懂很多....)

我要發表回答

立即登入回答