it-swarm.com.de

Was führt dazu, dass eine Workstation das Vertrauen zum Domänencontroller verliert?

Ich habe den Fehler mehrmals auf Windows 7-Workstations und -Laptops erhalten, auf denen das Vertrauen in den Domänencontroller verloren geht, und ich weiß, wie er behoben werden kann. Warum wird dies jedoch durchgeführt?

26
leeand00

Du weißt das wahrscheinlich schon, aber ertrage es mit mir.

Computer haben in AD Kennwörter, genau wie Benutzer. Wir kennen das Passwort unseres Computers nicht und es ändert sich regelmäßig über die integrierte Logik.

Die kurze Antwort lautet, dass das Kennwort des Computers nicht mehr gültig ist und AD diesem Computer daher nicht mehr für Anmeldungen vertraut.

Warum? Wie? Viele Dinge verursachen dies. Etwas hat den Passwortänderungsprozess gestört oder dazu geführt, dass der Computer auf ein altes Passwort zurückgesetzt hat. Mögliche Schuldige sind:

  • Wiederherstellung aus dem Backup.
  • Wird lange genug ausgeschaltet, damit das Kennwort abläuft, gefolgt von Netzwerkproblemen.
  • Allgemeine intermittierende Netzwerkprobleme mit schlechtem Timing.
  • Viren, Malware usw.
  • Weitere Dinge, die mir momentan wahrscheinlich nicht einfallen.

Ich hoffe das hilft.

33

Erweiterung auf Katherines Antwort:

Eine Workstation verliert das Vertrauen zum Domänencontroller, wenn ihr Konto überschrieben wurde. Es ist durchaus möglich (mit den richtigen Berechtigungen), einen Computer mit einem Namen hinzuzufügen, der bereits in der Domäne vorhanden ist. Dies führt jedoch dazu, dass der Computer, der zuvor als dieser Name bekannt war, das Vertrauen in den Domänencontroller verliert.

10
Gino

Ein Grund kann die Zeitverschiebung sein. Wenn die Workstation-Uhr mehr als 5 Minuten vom Server entfernt ist, wird die Verbindung zur Domäne unterbrochen. Dies kann auf schuppige Hardware zurückzuführen sein oder wenn das System längere Zeit ausgeschaltet ist oder wenn ein Laptop häufig nicht im Netzwerk ist usw.

4
wazoox

Der AD-Computerkennwortprozess (hier dokumentiert) hat sich nicht wesentlich geändert und ist sicherlich nicht die Hauptursache für fehlerhafte Kanalprobleme. (Tatsächlich ist es der KUNDE, der das Kennwort ändert, und das Kennwort ist von der Kennwortablaufrichtlinie ausgenommen. Je nach Client-Betriebssystem wird es jetzt interessant. Ein Grund für die Sperrung ist XP. Wenn es XP und ist Unterhalb des Clients wird das Kennwort geändert. Anschließend wird versucht, das neue Kennwort an den Domänencontroller zu übermitteln. Ab Version 7 versucht der Client erst, wenn eine Verbindung zu einem Domänencontroller besteht. Domänenreplikationsprobleme können zu Kanalfehlern führen casue ist ein Bild eines Systems, in dem derselbe Name wiederverwendet wurde. Zeitsynchronisierungsprobleme können auch Probleme mit dem Kanal verursachen. In den meisten Fällen können Sie bewerten, was passiert ist (wenn Sie dazu neigen), indem Sie die Netlogon-Protokollierung aktivieren ( https: //support.Microsoft.com/en-us/kb/109626 ) und Untersuchen der Protokolle, warum der Schannel nicht eingerichtet werden konnte. Wenn ein Image nicht sysprepiert wird, scheint dies ebenfalls ein Problem zu verursachen (ich habe es nicht genau herausgefunden warum aber ein Disjoin und Rejoin scheint das Problem immer zu lösen)

3
Jim B

Die andere Möglichkeit wäre, ADUC zu verwenden und das Computerkonto zurückzusetzen (wenn es gerade nicht mehr mit der Domäne synchronisiert ist). Klicken Sie einfach mit der rechten Maustaste auf den Computernamen und wählen Sie "Konto zurücksetzen" (in etwa 80% der Fälle wird dies Ihr Problem beheben ).

1
Pinkwho

Das "Warum" ist, dass sie in Microsoft Windows 2003 ihre Verzeichnisimplementierung dahingehend erweitert haben, dass Workstations gezwungen werden, ihre Kennwörter etwa alle 30 Tage zurückzusetzen. Ich weiß es gut, es hat viele SAMBA-Installationen kaputt gemacht, die ich zu der Zeit gewartet habe.

Normalerweise erfolgt das Zurücksetzen des Passworts automatisch, aber ich habe viele, viele Fälle gesehen, in denen dieses Design einfach nicht funktioniert. Wenn ich ein Notizbuch für eine Weile ausschalte und mich dann mit einem nicht zwischengespeicherten Konto anmelde, erhalte ich sofort diese Fehlermeldung, unabhängig davon, welches Microsoft-Betriebssystem nach 2000 ich verwende.

Der einfachste Weg, um ein Netzwerk in dieser Situation im Fail-Modus transparent zu halten, besteht darin, diese Richtlinieneinstellung auf Domänenebene zu ändern oder zu deaktivieren: Gruppenrichtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen. Suchen Sie dann nach: Domänenmitglied: Maximales Alter des Computerkontokennworts Domänenmitglied: Deaktivieren Sie die Kennwortänderungen des Computerkontos

Ich hoffe das hilft.

1
ummyeah