Was führt dazu, dass eine Arbeitsstation das Vertrauen zum Domänencontroller verliert?


Antworten:


32

Du weißt das wahrscheinlich schon, aber ertrage es mit mir.

Computer haben in AD genau wie Benutzer Kennwörter. Wir kennen das Passwort unseres Computers nicht und es ändert sich regelmäßig über die eingebaute Logik.

Die kurze Antwort lautet, dass das Kennwort des Computers nicht mehr gültig ist und daher AD diesem Computer für Anmeldungen nicht mehr vertraut.

Warum? Wie? Viele Dinge verursachen dies. Der Passwortänderungsprozess wurde gestört oder das Gerät wurde auf ein altes Passwort zurückgesetzt. Mögliche Schuldige sind:

  • Wiederherstellung aus dem Backup.
  • Sie müssen lange genug ausgeschaltet sein, damit das Kennwort abläuft, gefolgt von Netzwerkproblemen.
  • Allgemeine intermittierende Netzwerkprobleme mit schlechtem Timing.
  • Viren, Malware usw.
  • Weitere Dinge, die mir im Moment wahrscheinlich nicht einfallen.

Ich hoffe das hilft.


4
Eigentlich wusste ich das nicht. Danke, dass du es erklärt hast. Und ja, es hilft.
leeand00

1
Ein Fehler beim Ändern des Kennworts hat keinen Einfluss auf den Ausfall des sicheren Kanals. Sie müssten standardmäßig 60 Tage unterwegs sein, um das Problem zu beheben. Durch Zurücksetzen des Kennworts wird das Problem jedoch behoben (zumindest mit dem DC, mit dem Sie sich authentifizieren).
Jim B

9

Erweitere die Antwort von Katherine:

Eine Arbeitsstation verliert das Vertrauen zum Domänencontroller, wenn ihr Konto überschrieben wurde. Es ist durchaus möglich (mit den richtigen Berechtigungen), einen Computer mit einem Namen hinzuzufügen, der bereits in der Domäne vorhanden ist. Dies führt jedoch dazu, dass der Computer, der zuvor als dieser Name bezeichnet wurde, das Vertrauen zum Domänencontroller verliert.


3

Ein Grund kann eine Zeitverschiebung sein. Wenn die Uhr der Arbeitsstation mehr als 5 Minuten vom Server entfernt ist, wird die Verbindung zur Domäne unterbrochen. Dies kann von flockiger Hardware herrühren, oder wenn das System längere Zeit ausgeschaltet war, oder manchmal, wenn ein Laptop häufig nicht im Netzwerk ist usw.


Interessant. Ich werde mit schuppiger Hardware gehen.
leeand00

2

Der AD-Computerkennwortprozess (hier dokumentiert) hat sich nicht wesentlich geändert und ist sicherlich nicht die Hauptursache für Probleme mit unterbrochenen Kanälen. (Tatsächlich ist es der KUNDE, der das Passwort ändert, und das Passwort ist von der Passwortablaufrichtlinie ausgenommen. Je nach Client-Betriebssystem wird es jetzt interessant. 1 Grund für die Sperrung ist XP. Wenn es XP und darunter ist, ändert der Client es password - und versuchen Sie dann, dem Domänencontroller das neue Kennwort mitzuteilen. In Version 7 oder höher versucht der Client es erst, wenn eine Verbindung zu einem Domänencontroller hergestellt wurde. Probleme mit der Domänenreplikation können zu Kanalfehlern führen Wo derselbe Name wiederverwendet wurde Zeitsynchronisierungsprobleme können auch Probleme mit dem Kanal verursachen.https://support.microsoft.com/en-us/kb/109626 ) und Untersuchen der Protokolle, warum der Kanal nicht eingerichtet werden konnte. Das Nicht-Sysprepieren eines Bildes scheint ebenfalls ein Problem zu sein (ich habe nicht genau herausgefunden, warum, aber ein Trennen und erneutes Trennen scheint das Problem immer zu lösen).


1

Die andere Möglichkeit wäre, ADUC zu verwenden und das Computerkonto zurückzusetzen (falls es gerade nicht mit der Domäne synchronisiert wurde). Klicken Sie einfach mit der rechten Maustaste auf den Computernamen und wählen Sie "Konto zurücksetzen" (in etwa 80% der Fälle wird dies Ihr Problem beheben) ).


1
Dies beantwortet nicht wirklich die ursprüngliche Frage. Er fragte warum, nicht wie man es repariert.
Katherine Villyard

1

Das "Warum" ist, dass in Microsoft Windows 2003 die Verzeichnisimplementierung so erweitert wurde, dass Arbeitsstationen gezwungen werden, ihre Kennwörter etwa alle 30 Tage zurückzusetzen. Ich weiß es gut, es hat viele SAMBA-Installationen, die ich zu der Zeit betreute, kaputt gemacht.

Normalerweise erfolgt das Zurücksetzen des Passworts automatisch, aber ich habe viele, viele Fälle gesehen, in denen dieses Design einfach nicht funktioniert. Wenn ich ein Notebook für eine Weile ausschalte und versuche, mich mit einem nicht zwischengespeicherten Konto anzumelden, wird diese Fehlermeldung sofort angezeigt, unabhängig davon, welches Microsoft-Betriebssystem ich nach 2000 verwende.

Die einfachste Möglichkeit, ein Netzwerk in dieser vom Fail-Mode bestimmten Situation transparent zu halten, besteht darin, die Richtlinieneinstellung auf Domänenebene zu ändern oder zu deaktivieren: Gruppenrichtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen. Suchen Sie dann nach: Domänenmitglied: Maximales Kennwortalter des Computerkontos Domänenmitglied: Deaktivieren Sie Kennwortänderungen des Computerkontos

Ich hoffe das hilft.


1
Bitte lesen Sie die Frage des OP erneut durch. Ihr Ansatz zur Behandlung des Symptoms ist anekdotisch und beantwortet die Frage nicht. Die SE-Sites sind keine gemeinsamen Foren. Bitte beachten Sie die Tour
jscott
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.