msindle Asked: 2012-06-20 10:23:39 +0800 CST2012-06-20 10:23:39 +0800 CST 2012-06-20 10:23:39 +0800 CST Windows 7 信任问题 772 像许多人一样,我的网络遇到了可怕的“此工作站与主域之间的信任关系失败”错误。更改计算机名称后,我将计算机从域中删除重新加入到域中,一切都恢复正常。我有一个 2008 R2 DC,如何防止这种情况发生?我可以推送组策略或脚本吗? active-directory windows-7 windows-server-2008-r2 2 个回答 Voted Best Answer MDMarra 2012-06-20T12:09:55+08:002012-06-20T12:09:55+08:00 发生这种情况有几个常见原因。 具有重复名称的计算机已加入域。这将导致原来的与域不再有信任关系,因为它的计算机帐户现在实际上是具有重复名称的新计算机的帐户。 时间同步搞砸了。如果时间超过 5 分钟,您将无法登录。Kerberos 依赖于客户端和服务器上至少处于同一范围内的时间。确保将担任 PDC 模拟器角色的 DC 设置为可靠的时间源,并且所有其他 DC 都从它同步。还要确保没有通过 GPO 或本地策略为您的客户端配置备用时间源。客户端应从登录服务器同步时间。 计算机帐户已重置或密码不同步。计算机像用户一样登录到 AD,并且它们有密码。此密码会在后台定期更改。如果您遇到复制问题并且一台计算机更改了一个 DC 上的密码,然后尝试登录到另一个 DC 并且由于任何原因复制失败,则您的计算机将不会被信任登录,因为计算机密码在客户端和登录之间不同服务器。 当然,还有其他极端情况会导致这种情况发生。这些是最常见的,也是您应该开始进行故障排除的地方。没有脚本、GPO 或神奇的仙尘可洒,因为没有正常的原因会发生这种情况。 HopelessN00b 2012-06-20T12:02:52+08:002012-06-20T12:02:52+08:00 如果这种情况发生的次数超过千载难逢,您需要追查根本原因以确定破坏信任关系的原因。没有神奇的政策或脚本可以为您做这件事。 您需要确保不是某些脚本或其他管理员从域中删除这些机器,这些机器没有被“逻辑删除”,并且您的 AD 是健康的(dcdiag 等)。换句话说,您的基本 AD 管理/故障排除步骤。
发生这种情况有几个常见原因。
具有重复名称的计算机已加入域。这将导致原来的与域不再有信任关系,因为它的计算机帐户现在实际上是具有重复名称的新计算机的帐户。
时间同步搞砸了。如果时间超过 5 分钟,您将无法登录。Kerberos 依赖于客户端和服务器上至少处于同一范围内的时间。确保将担任 PDC 模拟器角色的 DC 设置为可靠的时间源,并且所有其他 DC 都从它同步。还要确保没有通过 GPO 或本地策略为您的客户端配置备用时间源。客户端应从登录服务器同步时间。
计算机帐户已重置或密码不同步。计算机像用户一样登录到 AD,并且它们有密码。此密码会在后台定期更改。如果您遇到复制问题并且一台计算机更改了一个 DC 上的密码,然后尝试登录到另一个 DC 并且由于任何原因复制失败,则您的计算机将不会被信任登录,因为计算机密码在客户端和登录之间不同服务器。
当然,还有其他极端情况会导致这种情况发生。这些是最常见的,也是您应该开始进行故障排除的地方。没有脚本、GPO 或神奇的仙尘可洒,因为没有正常的原因会发生这种情况。
如果这种情况发生的次数超过千载难逢,您需要追查根本原因以确定破坏信任关系的原因。没有神奇的政策或脚本可以为您做这件事。
您需要确保不是某些脚本或其他管理员从域中删除这些机器,这些机器没有被“逻辑删除”,并且您的 AD 是健康的(dcdiag 等)。换句话说,您的基本 AD 管理/故障排除步骤。