Frage Was bewirkt, dass eine Arbeitsstation das Vertrauen in den Domänencontroller verliert?


Ich habe den Fehler mehrmals auf Windows 7 Workstations und Laptops erhalten, wo er das Vertrauen zum Domänencontroller verliert, und ich weiß, wie ich ihn beheben kann, aber warum tut er das?


25
2018-05-03 15:48


Ursprung


Sehen Sie, warum, dachte, das war ein guter Faden ...community.spiceworks.com/topic/... - Bill


Antworten:


Sie wissen das wahrscheinlich schon, aber ertragen Sie mit mir.

Computer haben Kennwörter in AD, genau wie Benutzer. Wir kennen das Passwort unseres Computers nicht und es ändert sich regelmäßig über die eingebaute Logik.

Die kurze Antwort lautet, dass das Kennwort des Computers nicht mehr gültig ist und AD daher diesem System für Logins nicht mehr vertraut.

Warum? Wie? Viele Dinge verursachen das. Etwas störte das Passwort Änderungsprozessoder hat die Maschine dazu veranlasst, zu einem alten Passwort zurückzukehren. Mögliche Schuldige sind:

  • Wiederherstellen von der Sicherung.
  • Lange ausgeschaltet sein, damit das Kennwort abläuft, gefolgt von Netzwerkproblemen.
  • Allgemeine intermittierende Netzwerkprobleme mit schlechtem Timing.
  • Viren, Malware usw.
  • Mehr Dinge, die mir im Moment wahrscheinlich nicht passieren.

Ich hoffe das hilft.


32
2018-05-03 17:06



Eigentlich wusste ich das nicht. Danke, dass du es erklärst. Und ja, es hilft. - leeand00
Der Fehler bei der Kennwortänderung wirkt sich nicht auf die Fehler des sicheren Kanals aus. Sie müssten standardmäßig 60 Tage gehen, um das Problem zu beheben. Durch das Zurücksetzen des Passworts wird das Problem jedoch behoben (zumindest bei dem Domänencontroller, mit dem Sie sich authentifizieren). - Jim B


Erweitern auf Katherines Antwort:

Eine Arbeitsstation verliert das Vertrauen zum Domänencontroller, wenn ihr Konto überschrieben wurde. Es ist durchaus möglich (mit den richtigen Berechtigungen), einen Computer mit einem Namen hinzuzufügen, der bereits in der Domäne vorhanden ist. Dies führt jedoch dazu, dass der Computer, der zuvor als dieser Name bekannt war, das Vertrauen zum Domänencontroller verliert.


9
2018-05-03 20:23





Ein Grund kann eine Taktabweichung sein. Wenn die Workstation-Uhr mehr als 5 Minuten vom Server abweicht, verliert sie die Verbindung zur Domain. Dies kann von flockiger Hardware herrühren, oder wenn das System für eine ziemlich lange Zeit ausgeschaltet ist, oder manchmal, wenn ein Laptop oft vom Netzwerk entfernt ist, usw.


3
2018-05-05 18:00



Interessant. Ich werde mit flockiger Hardware gehen. - leeand00


Der AD-Computer-Passwort-Prozess (hier dokumentiert) hat sich nicht viel verändert und ist sicherlich nicht die Ursache von gebrochenen Schannel-Problemen. (In Wirklichkeit ist es der CLIENT, der das Passwort ändert und das Passwort ist von der Passwortablaufrichtlinie ausgenommen. Jetzt hängt es vom Client OS ab, wo die Dinge interessant werden. 1 Grund für die Aussperrung ist XP. Wenn es XP ist und der Client es ändert Kennwort - und versuchen Sie dann, das neue Kennwort an den Domänencontroller zu senden In 7 oder höher wird der Client nicht versuchen, bis es eine Verbindung zu einem Domänencontroller hat Domänenreplikationsprobleme können zu Schannelfehlern führen Die häufigste Ausnahme ist das erneute Erstellen eines Systems Derselbe Name wurde wiederverwendet, Probleme bei der Zeitsynchronisierung können auch Probleme mit dem Schannel verursachen, und in den meisten Fällen können Sie bewerten, was passiert ist (wenn Sie dazu geneigt sind), indem Sie die Netlogon-Protokollierung aktivieren.https://support.microsoft.com/en-us/kb/109626) und die Protokolle untersuchen, warum der Schannel nicht eingerichtet werden konnte. Fehler beim Sysprep eines Bildes scheinen ebenfalls ein Problem zu verursachen (ich habe nicht genau herausgefunden warum, aber ein disjoin und rejoin scheint das Problem immer zu lösen)


2
2018-05-04 02:03





Das "Warum" ist, dass sie in Microsoft Windows 2003 ihre Verzeichnisimplementierung so erweitert haben, dass Workstations ihre Passwörter alle 30 Tage zurücksetzen müssen. Ich weiß es gut, es hat eine Menge SAMBA-Installationen kaputt gemacht, die ich zu der Zeit aufrechterhalten habe.

Normalerweise ist das Zurücksetzen des Passworts alles automatisch, aber ich habe viele, viele Fälle gesehen, in denen dieses Design einfach nicht funktioniert. Wenn ich ein Notebook für eine Weile ausschalte und dann versuche, mich mit einem nicht zwischengespeicherten Konto anzumelden, erhalte ich sofort diese Fehlermeldung, unabhängig davon, welches Post-2000-Microsoft-Betriebssystem ich verwende.

Der einfachste Weg, um ein Netzwerk transparent zu halten, besteht darin, diese Richtlinieneinstellung auf Domänenebene zu ändern oder zu deaktivieren: Gruppenrichtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen, dann suchen Sie nach: Domänenmitglied: Das Kennwort für das Alter des Computerkontos Domänenmitglied: Deaktivieren Sie die Kennwortänderungen für das Computerkonto

Ich hoffe das hilft.


2
2018-05-04 03:01



Bitte lesen Sie die Frage des OP erneut. Ihr Ansatz, das Symptom anzugehen, ist anekdotisch und beantwortet die Frage nicht. Die SE-Sites sind keine gemeinsamen Foren. Beachten Sie bitte die Reise - jscott


Die andere Möglichkeit wäre, ADUC zu verwenden und das Computerkonto zurückzusetzen (wenn es gerade nicht mit der Domäne synchronisiert ist), klicken Sie einfach mit der rechten Maustaste auf den Computernamen und wählen Sie "Konto zurücksetzen" (ca. 80% der Zeit wird Ihr Problem behoben ).


1
2018-05-03 22:31



Dies beantwortet nicht wirklich die ursprüngliche Frage. Er fragte warum, nicht wie er es beheben könne. - Katherine Villyard