与域控制器失去信任关系问题排查

     相信在部署有域环境的公司 兼职过网络管理员的技术员都遇到过此类报障：

    与域控制器失去信任关系

原因可能是：

1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除

DNS----清理果实的资源记录，设置老化时间，开启安全的动态更新

原因：DNS开启了安全动态更新，如果老化时间过长，在第一台机器开机更新后，注册了一个IP地址，而其关机后，此IP地址被另外一台机器用，另外一台机器开机了，因为老化时间未到，以及没有清理过时的记录，这个电脑又注册了这个ip地址，就造成了2个名称注册一个A记录

2、计算机超过30天没有登陆过域，导致安全通道密码发生变化，需要重置安全通道密码

 这种情况多出现在常需要出差的笔记本上，在外地(域环境外)登录域，是以保存在本地的域密码对照，并为域域服务器沟通，最终导致 安全通道密码过期。

原因：域客户端和域控制器信任关系丢失，断线登录使用的凭据

windows系统的电脑有一个电脑账户密码历史记录machineaccountpasswordhistory为了让windows系统的电脑登录域，这台电脑必须要与预控建立一个安全通道用来身份验证，客户端电脑上的netlogon服务会使用这台客户端的电脑账户machineaccount和一个相关密码去建立安全通道，如果这个计算机账户密码和LSA不同步，那么这台电脑将无法链接到域。默认计算机账户密码30天会变更一次。

解决方法：

1、缓解方法：拔网线登录域，登录成功后再插入网线；

2、将这台有问题的电脑退域，重新加域(注意：重新加域需要先在域服务器删除该计算机名，再重新添加。或者直接使用具有域管理员权限的账号为电脑重新加域，可免除先在域服务器删除计算机名的步骤)；

不建议使用netdom.exe加域：

1、xp与win7的netdom.exe，名字相同，内容不同，容易混淆；

2、netdom.exe其实就是一个加域过程，不比手动加域要快，只是多了一个加域途径；