leeand00 Asked: 2016-05-04 07:48:03 +0800 CST2016-05-04 07:48:03 +0800 CST 2016-05-04 07:48:03 +0800 CST 是什么导致工作站失去与域控制器的信任? 772 我在 Windows 7 工作站和笔记本电脑上多次收到错误,它失去了对域控制器的信任,我知道如何修复它,但为什么会这样? workstation-management domain-controller active-directory 6 个回答 Voted Best Answer Katherine Villyard 2016-05-04T09:06:43+08:002016-05-04T09:06:43+08:00 您可能已经知道这一点,但请耐心等待。 计算机在 AD 中有密码,就像用户一样。我们不知道我们计算机的密码,它通过内置逻辑定期更改。 简短的回答是计算机的密码不再有效,因此 AD 不再信任这台机器进行登录。 为什么?如何?很多事情导致了这个。密码更改过程受到干扰,或导致机器恢复为旧密码。可能的罪魁祸首包括: 从备份恢复。 关闭电源的时间足以使密码过期,然后是网络问题。 时间差的一般间歇性网络问题。 病毒、恶意软件等 可能还有更多目前没有发生在我身上的事情。 我希望这会有所帮助。 Gino 2016-05-04T12:23:39+08:002016-05-04T12:23:39+08:00 扩展凯瑟琳的回答: 如果工作站的帐户已被覆盖,工作站将失去与域控制器的信任。完全有可能(具有正确的权限)添加一个名称已经存在于域中的计算机,但这会导致以前称为该名称的计算机失去对域控制器的信任。 wazoox 2016-05-06T10:00:34+08:002016-05-06T10:00:34+08:00 一个原因可能是时钟漂移。如果工作站时钟偏离服务器时钟超过 5 分钟,它将失去与域的连接。这可能来自于不稳定的硬件,或者当系统关闭了很长时间,或者有时当笔记本电脑经常远离网络等时。 Jim B 2016-05-04T18:03:03+08:002016-05-04T18:03:03+08:00 AD 计算机密码过程(在此处记录)没有太大变化,当然不是破坏 schannel 问题的根本原因。(事实上,更改密码的是客户端,并且密码不受密码过期策略的约束。现在取决于客户端操作系统是事情变得有趣的地方。锁定的一个原因是 XP。如果是 XP 及以下客户端将更改它密码 - 然后尝试将新密码传递给 DC。在 7 或更高版本中,客户端在连接到 DC 之前不会尝试。域复制问题可能导致 schannel 失败。最常见的原因是系统的重新映像重用了相同的名称。时间同步问题也可能导致 schannel 出现问题,并且在大多数情况下,您可以通过启用 netlogon 日志记录来评估发生的情况(如果您愿意的话)(https://support.microsoft.com/en-us/kb/109626)并检查日志以了解 schannel 设置失败的原因。无法对映像进行 sysprep 似乎也会导致问题(我还没有弄清楚原因,但分离和重新加入似乎总能解决问题) Pinkwho 2016-05-04T14:31:39+08:002016-05-04T14:31:39+08:00 另一种方法是使用 ADUC 并重置计算机帐户(如果它刚刚与域不同步)只需右键单击计算机名称并选择“重置帐户”(大约 80% 的时间这将解决您的问题)。 ummyeah 2016-05-04T19:01:21+08:002016-05-04T19:01:21+08:00 “为什么”是在 Microsoft Windows 2003 中,他们扩展了目录实施,包括强制工作站每 30 天左右重置一次密码。我很清楚,它破坏了我当时维护的许多 SAMBA 安装。 通常这个密码重置是自动的,但我见过很多很多这种设计不起作用的情况。当我关闭笔记本一段时间,然后尝试使用非缓存帐户登录时,无论我使用哪种 2000 后 Microsoft 操作系统,我都会立即收到该错误消息。 因此,在这种故障模式设计情况下保持网络透明工作的最简单方法是在域级别修改或关闭该策略设置:组策略/Windows 设置/安全设置/本地策略/安全选项,然后查找:域成员:最大机器帐户密码使用期限域成员:禁用机器帐户密码更改 我希望这有帮助。
您可能已经知道这一点,但请耐心等待。
计算机在 AD 中有密码,就像用户一样。我们不知道我们计算机的密码,它通过内置逻辑定期更改。
简短的回答是计算机的密码不再有效,因此 AD 不再信任这台机器进行登录。
为什么?如何?很多事情导致了这个。密码更改过程受到干扰,或导致机器恢复为旧密码。可能的罪魁祸首包括:
我希望这会有所帮助。
扩展凯瑟琳的回答:
如果工作站的帐户已被覆盖,工作站将失去与域控制器的信任。完全有可能(具有正确的权限)添加一个名称已经存在于域中的计算机,但这会导致以前称为该名称的计算机失去对域控制器的信任。
一个原因可能是时钟漂移。如果工作站时钟偏离服务器时钟超过 5 分钟,它将失去与域的连接。这可能来自于不稳定的硬件,或者当系统关闭了很长时间,或者有时当笔记本电脑经常远离网络等时。
AD 计算机密码过程(在此处记录)没有太大变化,当然不是破坏 schannel 问题的根本原因。(事实上,更改密码的是客户端,并且密码不受密码过期策略的约束。现在取决于客户端操作系统是事情变得有趣的地方。锁定的一个原因是 XP。如果是 XP 及以下客户端将更改它密码 - 然后尝试将新密码传递给 DC。在 7 或更高版本中,客户端在连接到 DC 之前不会尝试。域复制问题可能导致 schannel 失败。最常见的原因是系统的重新映像重用了相同的名称。时间同步问题也可能导致 schannel 出现问题,并且在大多数情况下,您可以通过启用 netlogon 日志记录来评估发生的情况(如果您愿意的话)(https://support.microsoft.com/en-us/kb/109626)并检查日志以了解 schannel 设置失败的原因。无法对映像进行 sysprep 似乎也会导致问题(我还没有弄清楚原因,但分离和重新加入似乎总能解决问题)
另一种方法是使用 ADUC 并重置计算机帐户(如果它刚刚与域不同步)只需右键单击计算机名称并选择“重置帐户”(大约 80% 的时间这将解决您的问题)。
“为什么”是在 Microsoft Windows 2003 中,他们扩展了目录实施,包括强制工作站每 30 天左右重置一次密码。我很清楚,它破坏了我当时维护的许多 SAMBA 安装。
通常这个密码重置是自动的,但我见过很多很多这种设计不起作用的情况。当我关闭笔记本一段时间,然后尝试使用非缓存帐户登录时,无论我使用哪种 2000 后 Microsoft 操作系统,我都会立即收到该错误消息。
因此,在这种故障模式设计情况下保持网络透明工作的最简单方法是在域级别修改或关闭该策略设置:组策略/Windows 设置/安全设置/本地策略/安全选项,然后查找:域成员:最大机器帐户密码使用期限域成员:禁用机器帐户密码更改
我希望这有帮助。