• 此工作站和主域间的信任关系失败


    此工作站和主域间的信任关系失败 在服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下: 在域中总是会有计算机由于某种原因,导致计算机账户的密码无法和 lsa secret 同步
    系统会在计算机登陆到域的时候,提示已经丢失域的信任关系。
    日志大致如下:
    Event ID: 5
    Source NETLOGON
    Type Error
    Description The session setup from the computer TEST_COMP1 failed to authenticate. The name of the
    account referenced in the security database is TEST_COMP1$. The following error occurred: Access is
    denied.
    察看了 kb175468 Effects of Machine Account Replication on a Domain 了解了有可能导致这一现象的原 因 察看了 kb154501 How to disable automatic machine account password changes 知道了如何停止这一同

    察看了 Q216393 Resetting computer accounts in Windows 2000 and Windows XP 和 KB260575 HOW
    TO:使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码
    但似乎即便到出现问题的工作站上执行了 netdom ,也无法再次让这个同步回复正常。只能 reset this
    computer account in active diretory ,然后 rejoin domain 。 我的解决办法是:
    先使用本地管理员账户连接到工作站(此时,由于丢失了和域的信任关系, domain admins 无法登陆到工 作站), nslookup 确认 dns 解析的正常。确认 dns 后缀是否正确。
    然后使用 gpresult 察看,最后一次是哪一台 dc 验证了此工作站的登陆。 net time /querysntp 察看时间服 务是否指向正确位置,如果没有特别指定,应该是登陆的那台 dc。
    再次到那台 dc 上,使用该命令确认是否指定了时间源,如果域中没有设置 time server ,那么可以将时间
    源指向自己,如果是子域可以指向 root。 最后把此工作站重新加域。
    由于这样的问题一直没有得到官方的答案, 特地询问了微软的工程师, 陆续的回答中我做了一些整理如下: 通常情况下,我们建议客户采取下面的措施:
    1 不要在客户机上长时间不登陆域。 2 把客户机从域中移走时,尽量先移到工作组中,而不是直接重装。否则要注意删掉相应的机器帐号。
    3 域中的机器时间要同步。 4 把客户机加入域之前,确认域中没有其他同名的机器帐号。 同时您可以尝试下面的命令:
    netdom reset computername /domain:domainname /server:servername
    /userO:computernameadministrator /passwordO:*
    然后在提示时输入 computername 本机管理员的密码。但是如果您现在并不能用域用户登陆
    computername ,那么意味着安全通道已经无法建立,这样做就可能没有用。
    对于 Netdom.exe 和 Nltest.exe 工具而言,它们是用来重置已经建立好的安全通道同时同步计算机帐户的
    密码。如果安全通道已经断掉,通讯不正常了,就不能用这些工具了。我们需要在客户端重新加入域或者 运行 Network Identification Wizard ( 在系统属性里 )重建安全通道。
    这在 Q216393 Resetting computer accounts in Windows 2000 and Windows XP 中同样提到:
    These tools allow for remote and non-remote administration. Netdom.exe and Nltest.exe are
    command-line tools that reset a successfully established security channel. You cannot use these tools
    when the security channel is broken, and communication is not working correctly. 后面我查到 kb 中还有一个关于此问题的论述:
    如果确实有固定的机器是频繁的发生这种事情, 可以修改本地计算机注册表禁止计算机和 dc 之间的这个定 期的密码同步动作。 方法可以参考: Q154501 How to disable automatic machine account passwordchanges 地址在 http://support.microsoft.com/default.aspx?scid=kb;EN-US;154501 如果您需要进一步了解计算机帐户与域控制器密码同步的问题,可以参考
    http://support.microsoft.com/default.aspx?scid=kb;en-us;810977 至此,这个问题应该算是定论了!如果有朋友仍然有自己的看法和建议,欢迎提出来大家讨论一下!

  • 相关阅读:
    VMware vSphere Esxi各版本差别及各套件差别
    vue3组件封装
    JavaScript前端时间库moment.js
    vue3语法糖script setup
    vue3的reactive对象赋值后失去响应式的问题
    vscode插件安装和配置支持vue3
    Kettle 获取存储过程的返回值
    java.sql.Types中定义的JDBC类型的对应int值
    kettle报错:Unexpected problem reading shared objects from XML file:null
    Kettle转换用上一步返回结果集作为下一步输入参数
  • 原文地址:https://www.cnblogs.com/niewd/p/11167932.html
Copyright © 2020-2023  润新知