我之前写过一篇文章,说如何解决“服务器上的安全数据库没有此工作站信任关系的计算机账户”问题,前天我再次遇到了这个问题,我就照着那篇文章的方法操作,可以登陆到域,后来我开始安装SCVMM 2008 R2,遇到了问题,大概的意思是我没有完整的计算机名(我把DNS后缀清除了),无法安装,这下郁闷了,不过经过一天的努力,最后彻底的解决了这个问题

 

原因:

 

我先说一下出现问题的经过,公司重新给我配置了一台新电脑,把旧电脑调剂给别人用,所以我就新计算机安装了操作系统,由于公司计算机命名有要求,所以新电脑的计算机名要和旧计算机名一样,所以我将旧计算机退出域,此时在AD中仍然能搜索到旧计算机的计算机名,然后使用旧计算机的计算机名称命名新的计算机,然后加入域,重启后登陆到域,就出现了“服务器上的安全数据库没有此工作站信任关系的计算机账户”的问题

 

我有一台运行的Windows 2008 R2的额外域控制器,经过查看Windows的系统日志(在Windows 2008 R2系统上可以看到)有ID号为11的错误

 

再说“服务器上的安全数据库没有此工作站信任关系的计算机账户”问题_第1张图片 

 

点击事件日志联机帮助,将会打开一个网页,看后猜测由于在域中出现重复的SPN(服务主体名称),导致验证失败,才会出现前面的问题。之所以出现重复的SPN,我认为是由于我用不同计算机使用相同的计算机加入到同一个域中(此时旧计算机已经退出域)也许还有其它的原因,但目前不得而知

 

说明:服务主体名(SPNs) 是运行在服务器上服务的唯一标识符。每一个使用Kerberos 身份验证的服务都需要有个SPN以使客户端能够在网络上标识这个服务。没有正确的设置SPNs, Kerberos 身份验证就是不可能的。

 

解决办法:

 

1、 使用setspn –x检索重复的SPN(此命令在Windows 2003 R2上没有-x参数)

 

2、  在结果中查看类似以下条目

已在以下账户中注册host/its-yefeng.xxx.xx(日志中出现的计算机名称)

CN=Name1……

CN=Name2……

……

 

3、  Active Directory用户和计算机中搜索Name1Name2,然后将他们删除

 

4、  将出现问题的计算机重新加入域,登陆成功。