此工作站和主域间的信任关系失败

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

此工作站和主域间的信任关系失败在服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下:在域中总是会有计算机由于某种原因,导致计算机账户的密码无法和lsasecret同步系统会在计算机登陆到域的时候,提示已经丢失域的信任关系。日志大致如下:EventID:5SourceNETLOGONTypeErrorDescriptionThesessionsetupfromthecomputerTEST_COMP1failedtoauthenticate.ThenameoftheaccountreferencedinthesecuritydatabaseisTEST_COMP1$.Thefollowingerroroccurred:Accessisdenied.察看了kb175468EffectsofMachineAccountReplicationonaDomain了解了有可能导致这一现象的原因察看了kb154501Howtodisableautomaticmachineaccountpasswordchanges知道了如何停止这一同步察看了Q216393ResettingcomputeraccountsinWindows2000andWindowsXP和KB260575HOWTO:使用Netdom.exe重置Windows2000域控制器的机器帐户密码但似乎即便到出现问题的工作站上执行了netdom,也无法再次让这个同步回复正常。只能resetthiscomputeraccountinactivediretory,然后rejoindomain。我的解决办法是:先使用本地管理员账户连接到工作站(此时,由于丢失了和域的信任关系,domainadmins无法登陆到工作站),nslookup确认dns解析的正常。确认dns后缀是否正确。然后使用gpresult察看,最后一次是哪一台dc验证了此工作站的登陆。nettime/querysntp察看时间服务是否指向正确位置,如果没有特别指定,应该是登陆的那台dc。再次到那台dc上,使用该命令确认是否指定了时间源,如果域中没有设置timeserver,那么可以将时间源指向自己,如果是子域可以指向root。最后把此工作站重新加域。由于这样的问题一直没有得到官方的答案,特地询问了微软的工程师,陆续的回答中我做了一些整理如下:通常情况下,我们建议客户采取下面的措施:1不要在客户机上长时间不登陆域。2把客户机从域中移走时,尽量先移到工作组中,而不是直接重装。否则要注意删掉相应的机器帐号。3域中的机器时间要同步。4把客户机加入域之前,确认域中没有其他同名的机器帐号。同时您可以尝试下面的命令:netdomresetcomputername/domain:domainname/server:servername/userO:computernameadministrator/passwordO:*然后在提示时输入computername本机管理员的密码。但是如果您现在并不能用域用户登陆computername,那么意味着安全通道已经无法建立,这样做就可能没有用。对于Netdom.exe和Nltest.exe工具而言,它们是用来重置已经建立好的安全通道同时同步计算机帐户的密码。如果安全通道已经断掉,通讯不正常了,就不能用这些工具了。我们需要在客户端重新加入域或者运行NetworkIdentificationWizard(在系统属性里)重建安全通道。这在Q216393ResettingcomputeraccountsinWindows2000andWindowsXP中同样提到:Thesetoolsallowforremoteandnon-remoteadministration.Netdom.exeandNltest.exearecommand-linetoolsthatresetasuccessfullyestablishedsecuritychannel.Youcannotusethesetoolswhenthesecuritychannelisbroken,andcommunicationisnotworkingcorrectly.后面我查到kb中还有一个关于此问题的论述:如果确实有固定的机器是频繁的发生这种事情,可以修改本地计算机注册表禁止计算机和dc之间的这个定期的密码同步动作。方法可以参考:Q154501Howtodisableautomaticmachineaccountpasswordchanges地址在=kb;EN-US;154501如果您需要进一步了解计算机帐户与域控制器密码同步的问题,可以参考=kb;en-us;810977至此,这个问题应该算是定论了!如果有朋友仍然有自己的看法和建议,欢迎提出来大家讨论一下!

1 / 2
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功