与域控制器失去信任关系问题排查

     相信在部署有域环境的公司 兼职过网络管理员的技术员都遇到过此类报障:


    与域控制器失去信任关系


原因可能是:


1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除

DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新

原因:DNS开启了安全动态更新,如果老化时间过长,在第一台机器开机更新后,注册了一个IP地址,而其关机后,此IP地址被另外一台机器用,另外一台机器开机了,因为老化时间未到,以及没有清理过时的记录,这个电脑又注册了这个ip地址,就造成了2个名称注册一个A记录

wKiom1R1NzyiNTIIAAGC15cTU_0115.jpg


2、计算机超过30天没有登陆过域,导致安全通道密码发生变化,需要重置安全通道密码

 这种情况多出现在常需要出差的笔记本上,在外地(域环境外)登录域,是以保存在本地的域密码对照,并为域域服务器沟通,最终导致 安全通道密码过期。

原因:域客户端和域控制器信任关系丢失,断线登录使用的凭据

windows系统的电脑有一个电脑账户密码历史记录machineaccountpasswordhistory为了让windows系统的电脑登录域,这台电脑必须要与预控建立一个安全通道用来身份验证,客户端电脑上的netlogon服务会使用这台客户端的电脑账户machineaccount和一个相关密码去建立安全通道,如果这个计算机账户密码和LSA不同步,那么这台电脑将无法链接到域。默认计算机账户密码30天会变更一次。


解决方法

1、缓解方法:拔网线登录域,登录成功后再插入网线;

2、将这台有问题的电脑退域,重新加域(注意:重新加域需要先在域服务器删除该计算机名,再重新添加。或者直接使用具有域管理员权限的账号为电脑重新加域,可免除先在域服务器删除计算机名的步骤);

wKioL1R1QyXg_Bg3AAIVtyocyyU291.jpg


不建议使用netdom.exe加域:

1、xp与win7的netdom.exe,名字相同,内容不同,容易混淆;

2、netdom.exe其实就是一个加域过程,不比手动加域要快,只是多了一个加域途径;


 

你可能感兴趣的:(ad,信任关系,域服务器,netdom)