Что приводит к потере доверия рабочей станции к контроллеру домена?


25

Я несколько раз получал сообщение об ошибке на рабочих станциях и ноутбуках Windows 7, где он теряет доверие к контроллеру домена, и я знаю, как это исправить, но почему это происходит?


Посмотрите на вопрос «Почему?», Подумал, что это хорошая тема ... community.spiceworks.com/topic/…
Билл

Ответы:


32

Вы, наверное, уже знаете это, но терпите меня.

Компьютеры имеют пароли в AD, как и пользователи. Мы не знаем пароль нашего компьютера, и он регулярно меняется с помощью встроенной логики.

Короткий ответ: пароль компьютера больше не действителен, и поэтому AD больше не доверяет этой машине вход в систему.

Зачем? Как? Многие вещи вызывают это. Что-то помешало процессу смены пароля или заставило машину вернуться к старому паролю. Возможные виновники включают в себя:

  • Восстановление из резервной копии.
  • Выключение питания достаточно долго для истечения срока действия пароля, после чего возникают проблемы с сетью.
  • Общие неустойчивые проблемы с сетью с плохим временем.
  • Вирусы, вредоносные программы и т. Д.
  • Больше вещей, которые не происходят со мной в данный момент, вероятно.

Надеюсь, это поможет.


4
На самом деле я этого не знал. Спасибо, что объяснили это. И да, это помогает.
leeand00

1
Ошибка смены пароля действительно не влияет на отказы безопасного канала. Вы должны были бы пойти 60 дней по умолчанию, чтобы это было проблемой. Сброс пароля, однако, решит проблему (по крайней мере, с DC, с которым вы аутентифицируетесь).
Джим Б.

9

Продолжая ответ Кэтрин:

Рабочая станция потеряет доверие к контроллеру домена, если ее учетная запись будет перезаписана. Вполне возможно (с соответствующими разрешениями) добавить компьютер с именем, которое уже существует в домене, но это приведет к тому, что компьютер, ранее известный как это имя, потерял доверие к контроллеру домена.


3

Причиной может быть смещение часов. Если часы рабочей станции отойдут более чем на 5 минут от часов сервера, они потеряют связь с Доменом. Это может происходить из-за нестабильного аппаратного обеспечения, или когда система отключена на довольно длительное время, или иногда, когда ноутбук часто находится вдали от сети и т. Д.


Интересный. Я пойду с ненадежным оборудованием.
leeand00

2

Процесс паролей компьютера AD (описанный здесь) не сильно изменился и, конечно, не является основной причиной проблем со сломанным каналом. (на самом деле это КЛИЕНТ, который меняет пароль, и пароль освобождается от политики истечения срока действия пароля. Теперь, в зависимости от клиентской ОС, все становится интереснее. 1 причина блокировки - XP. Если это XP и ниже, клиент изменит его. пароль - и затем попытайтесь передать новый пароль контроллеру домена. В версии 7 или выше клиент не будет пытаться подключиться до тех пор, пока у него не будет подключения к контроллеру домена. Проблемы с репликацией домена могут привести к сбоям в канале. Наиболее распространенной причиной является перезапись системы где одно и то же имя использовалось повторно. Проблемы синхронизации времени также могут вызывать проблемы с schannel, и в большинстве случаев вы можете оценить, что произошло (если вы так склонны), включив ведение журнала netlogon (https://support.microsoft.com/en-us/kb/109626 ) и изучите журналы, чтобы выяснить, почему не удалось настроить канал. Неудачная попытка sysprep для изображения, кажется, также вызывает проблему (я не выяснил точно, почему, но кажется, что разъединение и воссоединение всегда решают проблему)


1

Другой способ - использовать ADUC и сбросить учетную запись компьютера (если она только что вышла из синхронизации с доменом), просто щелкните правой кнопкой мыши имя компьютера и выберите «Сбросить учетную запись» (примерно в 80% случаев это решит вашу проблему). ).


1
Это не совсем ответ на оригинальный вопрос. Он спросил почему, а не как это исправить.
Кэтрин Вилльярд

1

«Почему» заключается в том, что в Microsoft Windows 2003 они расширили реализацию своих каталогов и теперь заставляют рабочие станции сбрасывать свои пароли каждые 30 дней или около того. Я знаю это хорошо, он сломал много установок SAMBA, которые я поддерживал в то время.

Обычно этот сброс пароля полностью автоматический, но я видел много, много случаев, когда этот дизайн просто не работает. Когда я на некоторое время выключаю ноутбук, затем пытаюсь войти в систему с не кэшированной учетной записью, я сразу получаю это сообщение об ошибке независимо от того, какую ОС Microsoft после 2000 года я использую.

Таким образом, самый простой способ обеспечить прозрачную работу сети в этой ситуации, связанной с отказом, - это изменить или отключить этот параметр политики на уровне домена: групповые политики / настройки Windows / параметры безопасности / локальные политики / параметры безопасности, а затем найдите: Член домена: максимальный срок действия пароля учетной записи компьютера. Участник домена: отключение изменения пароля учетной записи компьютера.

Надеюсь, это поможет.


1
Пожалуйста, перечитайте вопрос ОП. Ваш подход к устранению симптома является анекдотичным и не отвечает на вопрос. Сайты SE не являются общими форумами. Пожалуйста, рассмотрите тур
Jscott
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.