Sau*_*001 5 active-directory group-policy amazon-web-services windows-server-2012
我正在 Amazon Web Services 上设置一个测试环境,包括 2 个 Web 服务器、1 个数据库服务器和 1 个域控制器。所有这些都是 Windows Server 2012 并加入域。偶尔,成员服务器随机抛出错误the trust relationship between this workstation and the primary domain failed。我可以通过在有问题的计算机上进行本地登录然后执行 PowerShell 命令来解决此问题Reset-ComputerMachinePassword。之后就没有问题了。
但是,我想知道问题的根本原因是否是因为组策略设置“禁用机器帐户密码更改”当前被禁用,因此迫使我手动重置机器密码。
我是否应该启用此策略,如果我启用此策略会产生什么后果?
“机器帐户密码最长期限”设置的值为 30 天。
几乎永远不应该启用禁用计算机帐户密码更改设置。它根据机器密码最长期限设置确定域计算机是否定期更改其计算机帐户密码。
Microsoft 对此设置的描述来自链接的 Technet 文档:
域成员:禁用计算机帐户密码更改策略设置确定域成员是否定期更改其计算机帐户密码。将其值设置为“启用”可防止域成员更改计算机帐户密码。将其设置为禁用允许域成员更改由域成员的值指定的计算机帐户密码:最长计算机帐户密码期限策略设置,默认情况下为每 30 天。
属于某个域的运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的计算机的默认配置是自动要求它们每 30 天更改一次帐户密码。禁用此功能会导致运行这些操作系统的计算机保留与其计算机帐户相同的密码。不再能够自动更改其帐户密码的计算机面临恶意用户确定系统域帐户密码的风险。
链接的 Technet 文档中针对此设置的 Microsoft 最佳实践:
不要启用此策略设置。计算机帐户密码用于在成员与域控制器之间以及域内的域控制器之间建立安全通道通信。建立后,安全通道将传输做出身份验证和授权决策所需的敏感信息。
请勿使用此策略设置来尝试支持使用同一计算机帐户的双启动方案。如果您想要双引导加入同一域的安装,请为两个安装指定不同的计算机名称。此策略设置已添加到 Windows 操作系统中,以便组织可以更轻松地存储几个月后投入生产的预构建计算机;这些计算机不必重新加入域。
如上所述,创建此设置的目的是允许组织预构建计算机并在最长计算机帐户密码期限后将其投入生产,而不会导致您遇到的信任关系失败错误。
生成该特定错误的原因是域控制器上的计算机帐户密码与计算机本地存储的计算机帐户密码不匹配,或者因为计算机帐户密码已超过最长期限设置(这意味着它已过期)。
通常,计算机帐户密码过期是由于抛出错误的计算机和域控制器无法在最大计算机帐户密码有效期内进行通信或无法安全地进行通信而导致的。例如,如果您将第二台计算机加入具有现有名称的域,则会发生计算机帐户密码不匹配 - 计算机帐户被覆盖,并创建新的计算机帐户密码,因此第一台计算机不再具有正确的计算机帐户密码进行身份验证。
在您的具体情况下,我的第一个怀疑是防火墙阻止了域控制器和不断生成此错误的计算机之间的 Active Directory 流量,特别是当新密码出现时域控制器和计算机同步密码的流量。生成的。机器在尝试创建安全通信通道时抛出错误,甚至在尝试自动更新其机器帐户密码时出错,也是一种明显的可能性。无论如何,您应该能够通过查看本机和域控制器上的事件日志来确定问题所在。您正在查找在两台服务器之间建立连接时出现的错误,以及任一计算机上的任何安全子系统引发的任何错误,以查明此问题的确切原因。
| 归档时间: |
|
| 查看次数: |
5286 次 |
| 最近记录: |