Що змушує робочу станцію втрачати довіру до контролера домену?

Я кілька разів отримував помилку на робочих станціях та ноутбуках Windows 7, де вона втрачає довіру до контролера домену, і я знаю, як її виправити, але чому це робиться?

Ви, напевно, це вже знаєте, але потерпіть зі мною.

Комп'ютери мають паролі в AD, як і користувачі. Ми не знаємо пароль нашого комп'ютера, і він регулярно змінюється за допомогою вбудованої логіки.

Коротка відповідь полягає в тому, що пароль комп'ютера вже не дійсний, а тому AD вже не довіряє цій машині для входу.

Чому? Як? Багато речей викликають це. Щось заважало процесу зміни пароля або призвело до повернення машини до старого пароля. Можливими винуватцями є:

• Відновлення з резервного копіювання.
• Вимкнено достатньо довго, щоб термін дії пароля закінчився, після чого виникла проблема з мережею.
• Загальні проблеми з переривчастою мережею із поганими термінами.
• Віруси, зловмисне програмне забезпечення тощо.
• Можливо, більше речей, які у мене зараз не трапляються.

Я сподіваюся, що це допомагає.

Продовження відповіді Кетрін:

Робоча станція втратить довіру до контролера домену, якщо його обліковий запис буде перезаписано. Цілком можливо (з правильними дозволами) додати комп'ютер з іменем, яке вже існує в домені, але це призведе до втрати довіри до Контролера домену комп'ютер, який раніше був відомий під назвою.

Причиною може бути дрейф годинника. Якщо годинник робочої станції переміститься більше ніж за 5 хвилин від сервера, він втратить зв’язок із доменом. Це може виникати від невмілих апаратних засобів, або коли система вимикається досить тривалий час, або іноді, коли ноутбук часто знаходиться вдалині від мережі тощо.

Процес пароля комп’ютера AD (задокументований тут) мало змінився і, безумовно, не є першопричиною зламаних проблем з schannel. (насправді КЛІЄНТ змінює пароль, і пароль виключається з політики терміну дії пароля. Тепер залежно від ОС клієнта десь цікаво. 1 причина блокування - XP. Якщо це XP і нижче, клієнт змінить це пароль - а потім спробуйте донести новий пароль до постійного струму. Через 7 або більше клієнт не буде намагатися, поки він не підключиться до постійного струму. Проблеми реплікації домену можуть спричинити збої у сканелі. Найпоширеніший випадок - це зображення зображення системи там, де те ж саме ім'я було використане повторно. Проблеми синхронізації з часом також можуть спричинити проблеми з schannel, і в більшості випадків ви можете оцінити, що сталося (якщо ви так схильні), включивши реєстрацію в мережі Netlogon (https://support.microsoft.com/en-us/kb/109626 ) та вивчення журналів на те, чому не вдалося налаштувати сканнел. Якщо не синхронізувати зображення, здається, це також спричинить проблему (я не зрозумів, чому саме, але, здається, завжди не вирішує проблему)

Інший спосіб - використовувати ADUC і скинути обліковий запис комп'ютера (якщо він просто синхронізувався з доменом), просто клацніть правою кнопкою миші ім’я комп’ютера та виберіть "Скинути рахунок" (приблизно 80% часу це вирішить вашу проблему ).

Причина полягає в тому, що в Microsoft Windows 2003 вони розширили реалізацію каталогу, включаючи примушування робочих станцій скидати паролі кожні 30 днів або близько того. Я це добре знаю, він зламав багато встановлень SAMBA, які я підтримував у той час.

Зазвичай це скидання пароля все автоматично, але я бачив багато, багато випадків, коли ця конструкція просто не працює. Коли я вимикаю ноутбук на деякий час, а потім намагаюся ввійти з не кешованим обліковим записом, я одразу отримую це повідомлення про помилку, незалежно від того, якою ОС Microsoft після 2000 року я користуюся.

Тому найпростіший спосіб забезпечити прозорість роботи мережі в цій непрацездатній ситуації - це змінити або вимкнути це налаштування політики на рівні домену. Учасник домену: Максимальний вік пароля облікового запису. Член домену: Вимкнення змін пароля облікового запису машини

Я сподіваюся, що це допомагає.