Windows 2008 R2 AD系列五：如何解决用户出差，脱域的问题

相信大家都碰到过这个问题，某个用户出差，连同已加域的笔记本一起带出，时间较长，回来之后，我们常常发现该用户的计算机已经无法登陆域，错误提示通常为：此工作站和主域间的信任关系失败（长时间不使用或脱离域环境的电脑也会碰到这个情况），常见的解决办法就是退出域再重新加入，如果这种情况多的话，每次这样操作都比较麻烦，那么我们如何从根本上解决这一问题呢？

 

首先要知道这个问题形成的原因，先来看看微软的官方解释：

默认情况下，在一个域环境中，为了保证账号的安全，在默认域策略中设置了“最长密码有效期”。域客户端即使在脱机的情况下，依然会受这条Group Policy的限制。当密码到期前的14天开始，该笔记本会提示用户更改密码，但由于无法连接到域控制器，所以密码无法修改成功。一旦超过了这个期限，该域账号将被锁定，用户将无法再次登陆系统。

每个基于windows系统的电脑都有一个电脑账户密码历史记录(machine account password history)， 为了让这台windows系统的电脑登陆域，这台电脑必须要与域控建立一个安全通道以用来身份验证。客户端电脑上的Netlogon服务会使用这台客户端的电脑账户（machine account）和一个相关密码去建立安全通道。 如果这个计算机帐户密码和LSA不同步，那么这台电脑将无法连接到域，会有错误提示：此工作站和主域间的信任关系失败。也就是说此时安全通道已经坏掉了。（默认计算机帐户密码30天会变更一次）

 

解决方法：

一、在DC上运行gpmc.msc，在需要设置的GPO上右键编辑，依次展开计算机配置→策略 →Windows设置→安全设置→本地策略→安全选项，找到：

域成员： 计算机帐户密码最长使用期限  （默认30天，设置长一点）

域成员： 禁用计算机帐户密码更改 （设为已启用）

域控制器： 拒绝计算机帐户密码更改（设为已启用）

 

二、在计算机配置→策略 →Windows设置→安全设置→帐户策略→密码策略，找到密码最长使用期限，默认为42天，建议这里修改为与计算机帐户密码最长使用期限一致。