Ich habe den Fehler mehrmals auf Windows 7-Arbeitsstationen und -Laptops erhalten, auf denen das Vertrauen in den Domänencontroller verloren gegangen ist, und ich weiß, wie ich ihn beheben kann. Warum funktioniert das?
Ich habe den Fehler mehrmals auf Windows 7-Arbeitsstationen und -Laptops erhalten, auf denen das Vertrauen in den Domänencontroller verloren gegangen ist, und ich weiß, wie ich ihn beheben kann. Warum funktioniert das?
Antworten:
Du weißt das wahrscheinlich schon, aber ertrage es mit mir.
Computer haben in AD genau wie Benutzer Kennwörter. Wir kennen das Passwort unseres Computers nicht und es ändert sich regelmäßig über die eingebaute Logik.
Die kurze Antwort lautet, dass das Kennwort des Computers nicht mehr gültig ist und daher AD diesem Computer für Anmeldungen nicht mehr vertraut.
Warum? Wie? Viele Dinge verursachen dies. Der Passwortänderungsprozess wurde gestört oder das Gerät wurde auf ein altes Passwort zurückgesetzt. Mögliche Schuldige sind:
Ich hoffe das hilft.
Erweitere die Antwort von Katherine:
Eine Arbeitsstation verliert das Vertrauen zum Domänencontroller, wenn ihr Konto überschrieben wurde. Es ist durchaus möglich (mit den richtigen Berechtigungen), einen Computer mit einem Namen hinzuzufügen, der bereits in der Domäne vorhanden ist. Dies führt jedoch dazu, dass der Computer, der zuvor als dieser Name bezeichnet wurde, das Vertrauen zum Domänencontroller verliert.
Ein Grund kann eine Zeitverschiebung sein. Wenn die Uhr der Arbeitsstation mehr als 5 Minuten vom Server entfernt ist, wird die Verbindung zur Domäne unterbrochen. Dies kann von flockiger Hardware herrühren, oder wenn das System längere Zeit ausgeschaltet war, oder manchmal, wenn ein Laptop häufig nicht im Netzwerk ist usw.
Der AD-Computerkennwortprozess (hier dokumentiert) hat sich nicht wesentlich geändert und ist sicherlich nicht die Hauptursache für Probleme mit unterbrochenen Kanälen. (Tatsächlich ist es der KUNDE, der das Passwort ändert, und das Passwort ist von der Passwortablaufrichtlinie ausgenommen. Je nach Client-Betriebssystem wird es jetzt interessant. 1 Grund für die Sperrung ist XP. Wenn es XP und darunter ist, ändert der Client es password - und versuchen Sie dann, dem Domänencontroller das neue Kennwort mitzuteilen. In Version 7 oder höher versucht der Client es erst, wenn eine Verbindung zu einem Domänencontroller hergestellt wurde. Probleme mit der Domänenreplikation können zu Kanalfehlern führen Wo derselbe Name wiederverwendet wurde Zeitsynchronisierungsprobleme können auch Probleme mit dem Kanal verursachen.https://support.microsoft.com/en-us/kb/109626 ) und Untersuchen der Protokolle, warum der Kanal nicht eingerichtet werden konnte. Das Nicht-Sysprepieren eines Bildes scheint ebenfalls ein Problem zu sein (ich habe nicht genau herausgefunden, warum, aber ein Trennen und erneutes Trennen scheint das Problem immer zu lösen).
Die andere Möglichkeit wäre, ADUC zu verwenden und das Computerkonto zurückzusetzen (falls es gerade nicht mit der Domäne synchronisiert wurde). Klicken Sie einfach mit der rechten Maustaste auf den Computernamen und wählen Sie "Konto zurücksetzen" (in etwa 80% der Fälle wird dies Ihr Problem beheben) ).
Das "Warum" ist, dass in Microsoft Windows 2003 die Verzeichnisimplementierung so erweitert wurde, dass Arbeitsstationen gezwungen werden, ihre Kennwörter etwa alle 30 Tage zurückzusetzen. Ich weiß es gut, es hat viele SAMBA-Installationen, die ich zu der Zeit betreute, kaputt gemacht.
Normalerweise erfolgt das Zurücksetzen des Passworts automatisch, aber ich habe viele, viele Fälle gesehen, in denen dieses Design einfach nicht funktioniert. Wenn ich ein Notebook für eine Weile ausschalte und versuche, mich mit einem nicht zwischengespeicherten Konto anzumelden, wird diese Fehlermeldung sofort angezeigt, unabhängig davon, welches Microsoft-Betriebssystem ich nach 2000 verwende.
Die einfachste Möglichkeit, ein Netzwerk in dieser vom Fail-Mode bestimmten Situation transparent zu halten, besteht darin, die Richtlinieneinstellung auf Domänenebene zu ändern oder zu deaktivieren: Gruppenrichtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen. Suchen Sie dann nach: Domänenmitglied: Maximales Kennwortalter des Computerkontos Domänenmitglied: Deaktivieren Sie Kennwortänderungen des Computerkontos
Ich hoffe das hilft.