是什么导致工作站失去对域控制器的信任?


Answers:


32

您可能已经知道这一点,但是请忍受我。

就像用户一样,计算机在AD中也有密码。我们不知道计算机的密码,它会通过内置逻辑定期更改。

简短的答案是计算机的密码不再有效,因此AD不再信任此计算机进行登录。

为什么?怎么样?原因很多。某些东西干扰了密码更改过程,或导致机器恢复为旧密码。可能的罪魁祸首包括:

  • 从备份还原。
  • 关闭电源的时间足以使密码过期,然后出现网络问题。
  • 一般间歇性网络问题,时机不佳。
  • 病毒,恶意软件等
  • 目前可能还没有发生的更多事情。

希望对您有所帮助。


4
其实我不知道。谢谢你解释。是的,它确实有帮助。
leeand00

1
密码更改失败确实不会影响安全通道失败。默认情况下,您将不得不等待60天才能成为问题。但是,重设密码将解决问题(至少与您要进行身份验证的DC有关)。
Jim B

9

扩展凯瑟琳的答案:

如果工作站的帐户已被覆盖,它将失去对域控制器的信任。完全有可能(具有正确的权限)添加域中已经存在的名称的计算机,但这将导致以前称为该名称的计算机失去对域控制器的信任。


3

原因可能是时钟漂移。如果工作站时钟偏离服务器时钟的时间超过5分钟,它将失去与域的连接。这可能来自不稳定的硬件,或者是当系统关闭了很长时间后,或者有时是笔记本电脑经常不在网络中等情况。


有趣。我要去片状的硬件。
leeand00 '16

2

AD计算机的密码处理过程(此处记录)没有太大变化,并且肯定不是破坏频道问题的根本原因。(实际上是更改密码的客户端,并且密码不受密码过期策略的限制。现在,取决于客户端操作系统的情况才变得有趣。锁定的原因之一是XP。如果是XP,并且低于XP,则客户端将对其进行更改。密码-然后尝试将新密码传达给DC。在7或更高版本中,客户端直到与DC的连接后才会尝试。域复制问题可能会导致schannel故障。最常见的情况是系统重新映像时间同步问题也会导致schannel出现问题,在大多数情况下,您可以通过启用netlogon日志记录来评估发生的情况(如果您愿意的话)https://support.microsoft.com/zh-cn/kb/109626),并检查日志以了解schannel设置失败的原因。未能对图像进行sysprep似乎也导致了问题(我还没有弄清楚原因,但是断开连接和重新连接似乎总是可以解决问题)


1

另一种方法是使用ADUC并重置计算机帐户(如果刚与域不同步),只需右键单击计算机名称并选择“重置帐户”(大约80%的时间可以解决您的问题) )。


1
这并没有真正回答原始问题。他问为什么,而不是如何解决。
凯瑟琳·维尔德

1

“原因”是,在Microsoft Windows 2003中,他们扩展了目录的实现,包括强制工作站每30天左右重置一次密码。我很清楚,它破坏了我当时维护的许多SAMBA安装。

通常,这种密码重置是完全自动的,但是我已经看到很多很多情况下这种设计不起作用。当我关闭笔记本电脑一段时间后,尝试使用非缓存帐户登录时,无论使用哪种2000版Microsoft操作系统,我都会立即收到该错误消息。

因此,在这种故障模式设计的情况下,保持网络透明工作的最简单方法是在域级别上修改或关闭该策略设置:组策略/ Windows设置/安全设置/本地策略/安全选项,然后查找:域成员:计算机帐户密码的最长使用期限域成员:禁用计算机帐户密码的更改

我希望这有帮助。


1
请重新阅读OP的问题。您解决症状的方法是轶事,无法回答问题。SE网站不是常见的论坛。请考虑游览
jscott
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.