msi*_*dle 3 active-directory windows-7 windows-server-2008-r2
像许多人一样,我的网络出现了可怕的“此工作站与主域之间的信任关系失败”错误。更改计算机名称后,我将计算机从域中删除,然后将其重新加入域,一切都恢复正常了。我有一个 2008 R2 DC,如何防止这种情况发生?是否有我可以推送的组策略或脚本?
发生这种情况有几个常见原因。
具有重复名称的计算机已加入域。这将导致原来的域不再具有信任关系,因为它的计算机帐户现在实际上是具有重复名称的新计算机的帐户。
时间同步搞砸了。如果休息时间超过 5 分钟,您将无法登录。Kerberos 依赖于至少在客户端和服务器上处于同一范围内的时间。确保您的拥有 PDC 模拟器角色的 DC 设置为可靠的时间源,并且您的所有其他 DC 都从中同步。还要确保没有通过 GPO 或本地策略为您的客户端配置备用时间源。客户端应该从登录服务器同步时间。
计算机帐户已重置或密码不同步。计算机和用户一样登录 AD,并且他们有密码。该密码在幕后定期更改。如果您遇到复制问题并且计算机更改了一个 DC 上的密码,然后尝试登录另一台 DC 并且由于任何原因复制失败,则您的计算机将不会被信任登录,因为客户端和登录之间的计算机密码不同服务器。
当然,还有其他边缘情况为什么会发生这种情况。这些是最常见的,也是您的故障排除应该开始的地方。没有脚本、GPO 或魔法仙尘可撒,因为没有正常的原因发生这种情况。
| 归档时间: |
|
| 查看次数: |
3290 次 |
| 最近记录: |