Co powoduje, że stacja robocza traci zaufanie do kontrolera domeny?

Odpowiedzi:

32

Prawdopodobnie już to wiesz, ale trzymaj się mnie.

Komputery mają hasła w AD, podobnie jak użytkownicy. Nie znamy hasła do naszego komputera i zmienia się ono regularnie dzięki wbudowanej logice.

Krótka odpowiedź brzmi: hasło komputera nie jest już ważne, dlatego AD nie ufa już temu komputerowi w zakresie logowania.

Czemu? W jaki sposób? Powoduje to wiele rzeczy. Coś zakłóciło proces zmiany hasła lub spowodowało, że urządzenie powróciło do starego hasła. Możliwe przyczyny to:

  • Przywracanie z kopii zapasowej.
  • Wyłączenie zasilania na tyle długo, aby hasło wygasło, a następnie problemy z siecią.
  • Ogólne sporadyczne problemy z siecią przy niewłaściwym taktowaniu.
  • Wirusy, złośliwe oprogramowanie itp.
  • Prawdopodobnie więcej rzeczy, które w tej chwili mi się nie zdarzają.

Mam nadzieję że to pomogło.

Katherine Villyard
źródło
4
Właściwie to nie wiedziałem. Dziękuję za wyjaśnienie. I tak to pomaga.
leeand00
1
Błąd zmiany hasła naprawdę nie wpływa na awarie bezpiecznego kanału. Aby to był problem, domyślnie musiałbyś spędzić 60 dni. Zresetowanie hasła rozwiąże jednak problem (przynajmniej z DC, z którym się uwierzytelniasz).
Jim B
9

Rozszerzając odpowiedź Katherine:

Stacja robocza straci zaufanie do kontrolera domeny, jeśli jego konto zostanie zastąpione. Jest całkowicie możliwe (z odpowiednimi uprawnieniami) dodanie komputera o nazwie, która już istnieje w domenie, ale spowoduje to, że komputer, który był wcześniej znany jako ta nazwa, straci zaufanie do kontrolera domeny.

Gino
źródło
3

Przyczyną może być przesunięcie zegara. Jeśli zegar stacji roboczej dryfuje dalej niż 5 minut od serwera, utraci połączenie z domeną. Może to wynikać z niestabilnego sprzętu lub gdy system jest wyłączany przez dość długi czas lub czasami, gdy laptop jest często z dala od sieci itp.

wazoox
źródło
Ciekawy. Idę z niestabilnym sprzętem.
leeand00
2

Proces hasła komputera AD (tutaj udokumentowany) niewiele się zmienił i na pewno nie jest główną przyczyną zepsutych problemów Schannela. (w rzeczywistości to KLIENT zmienia hasło, a hasło jest zwolnione z zasady wygasania hasła. Teraz, w zależności od systemu operacyjnego klienta, rzeczy stają się interesujące. 1 powodem blokady jest XP. Jeśli jest to XP, a poniżej klient się zmieni, to jest to hasło - a następnie spróbuj przekazać nowe hasło do kontrolera domeny. W wersji 7 lub nowszej klient nie będzie próbował, dopóki nie będzie miał połączenia z kontrolerem domeny. Problemy z replikacją domeny mogą powodować awarie Schannela. Najczęstszą sprawą jest reimage systemu gdzie ta sama nazwa została ponownie użyta. Problemy z synchronizacją czasu mogą również powodować problemy z systemem Schannel, aw większości przypadków możesz ocenić, co się stało (jeśli masz na to ochotę), włączając logowanie do Netlogon (https://support.microsoft.com/en-us/kb/109626 ) i sprawdzanie dzienników, dlaczego nie udało się skonfigurować schannel. Brak sysprepowania obrazu wydaje się również powodować problem (nie dowiedziałem się dokładnie, dlaczego zdejmowanie i ponowne dołączanie zawsze rozwiązuje problem)

Jim B.
źródło
1

Innym sposobem byłoby użycie ADUC i zresetowanie konta komputera (jeśli właśnie zsynchronizowało się ono z domeną), wystarczy kliknąć prawym przyciskiem myszy nazwę komputera i wybrać „Resetuj konto” (około 80% czasu to rozwiąże problem) ).

Pinkwho
źródło
1
To tak naprawdę nie odpowiada na pierwotne pytanie. Zapytał dlaczego, a nie jak to naprawić.
Katherine Villyard
1

„Dlaczego” polega na tym, że w Microsoft Windows 2003 rozszerzyli implementację katalogu o wymuszanie resetowania haseł co 30 dni. Wiem to dobrze, zepsuło to wiele instalacji SAMBA, które wtedy utrzymywałem.

Zwykle resetowanie hasła odbywa się automatycznie, ale widziałem wiele, wiele przypadków, gdy ten projekt po prostu nie działa. Kiedy na chwilę wyłączam notebooka, a następnie próbuję zalogować się na konto niebuforowane, natychmiast otrzymuję ten komunikat o błędzie bez względu na to, jakiego systemu operacyjnego Microsoft 2000 używam.

Zatem najłatwiejszym sposobem, aby sieć działała transparentnie w tej zaprojektowanej w trybie awaryjnym sytuacji, jest zmodyfikowanie lub wyłączenie tego ustawienia zasad na poziomie domeny: Zasady grupy / Ustawienia systemu Windows / Ustawienia zabezpieczeń / Zasady lokalne / Opcje bezpieczeństwa, a następnie poszukaj: Członek domeny: Maksymalny wiek hasła konta komputera Członek domeny: Wyłącz zmiany hasła konta komputera

Mam nadzieję, że to pomoże.

ummyeah
źródło
1
Przeczytaj ponownie pytanie PO. Twoje podejście do rozwiązania problemu jest niepotwierdzone i nie odpowiada na pytanie. Witryny SE nie są częstymi forami. Proszę wziąć pod
jscott