Я несколько раз получал сообщение об ошибке на рабочих станциях и ноутбуках Windows 7, где он теряет доверие к контроллеру домена, и я знаю, как это исправить, но почему это происходит?
Ответы:
Вы, наверное, уже знаете это, но терпите меня.
Компьютеры имеют пароли в AD, как и пользователи. Мы не знаем пароль нашего компьютера, и он регулярно меняется с помощью встроенной логики.
Короткий ответ: пароль компьютера больше не действителен, и поэтому AD больше не доверяет этой машине вход в систему.
Зачем? Как? Многие вещи вызывают это. Что-то помешало процессу смены пароля или заставило машину вернуться к старому паролю. Возможные виновники включают в себя:
Надеюсь, это поможет.
Продолжая ответ Кэтрин:
Рабочая станция потеряет доверие к контроллеру домена, если ее учетная запись будет перезаписана. Вполне возможно (с соответствующими разрешениями) добавить компьютер с именем, которое уже существует в домене, но это приведет к тому, что компьютер, ранее известный как это имя, потерял доверие к контроллеру домена.
Причиной может быть смещение часов. Если часы рабочей станции отойдут более чем на 5 минут от часов сервера, они потеряют связь с Доменом. Это может происходить из-за нестабильного аппаратного обеспечения, или когда система отключена на довольно длительное время, или иногда, когда ноутбук часто находится вдали от сети и т. Д.
Процесс паролей компьютера AD (описанный здесь) не сильно изменился и, конечно, не является основной причиной проблем со сломанным каналом. (на самом деле это КЛИЕНТ, который меняет пароль, и пароль освобождается от политики истечения срока действия пароля. Теперь, в зависимости от клиентской ОС, все становится интереснее. 1 причина блокировки - XP. Если это XP и ниже, клиент изменит его. пароль - и затем попытайтесь передать новый пароль контроллеру домена. В версии 7 или выше клиент не будет пытаться подключиться до тех пор, пока у него не будет подключения к контроллеру домена. Проблемы с репликацией домена могут привести к сбоям в канале. Наиболее распространенной причиной является перезапись системы где одно и то же имя использовалось повторно. Проблемы синхронизации времени также могут вызывать проблемы с schannel, и в большинстве случаев вы можете оценить, что произошло (если вы так склонны), включив ведение журнала netlogon (https://support.microsoft.com/en-us/kb/109626 ) и изучите журналы, чтобы выяснить, почему не удалось настроить канал. Неудачная попытка sysprep для изображения, кажется, также вызывает проблему (я не выяснил точно, почему, но кажется, что разъединение и воссоединение всегда решают проблему)
Другой способ - использовать ADUC и сбросить учетную запись компьютера (если она только что вышла из синхронизации с доменом), просто щелкните правой кнопкой мыши имя компьютера и выберите «Сбросить учетную запись» (примерно в 80% случаев это решит вашу проблему). ).
«Почему» заключается в том, что в Microsoft Windows 2003 они расширили реализацию своих каталогов и теперь заставляют рабочие станции сбрасывать свои пароли каждые 30 дней или около того. Я знаю это хорошо, он сломал много установок SAMBA, которые я поддерживал в то время.
Обычно этот сброс пароля полностью автоматический, но я видел много, много случаев, когда этот дизайн просто не работает. Когда я на некоторое время выключаю ноутбук, затем пытаюсь войти в систему с не кэшированной учетной записью, я сразу получаю это сообщение об ошибке независимо от того, какую ОС Microsoft после 2000 года я использую.
Таким образом, самый простой способ обеспечить прозрачную работу сети в этой ситуации, связанной с отказом, - это изменить или отключить этот параметр политики на уровне домена: групповые политики / настройки Windows / параметры безопасности / локальные политики / параметры безопасности, а затем найдите: Член домена: максимальный срок действия пароля учетной записи компьютера. Участник домена: отключение изменения пароля учетной записи компьютера.
Надеюсь, это поможет.