Apa yang menyebabkan workstation kehilangan kepercayaan dengan pengontrol domain?

Jawaban:

32

Anda mungkin sudah tahu ini, tetapi bersabarlah.

Komputer memiliki kata sandi dalam AD, seperti halnya pengguna. Kami tidak tahu kata sandi komputer kami, dan itu berubah secara teratur melalui logika bawaan.

Jawaban singkatnya adalah kata sandi komputer tidak lagi valid, dan karena itu AD tidak mempercayai mesin ini lagi untuk login.

Mengapa? Bagaimana? Banyak hal yang menyebabkan ini. Sesuatu mengganggu proses perubahan kata sandi , atau menyebabkan mesin kembali ke kata sandi lama. Kemungkinan penyebab meliputi:

  • Mengembalikan dari cadangan.
  • Dimatikan cukup lama untuk kata sandi berakhir, diikuti oleh masalah jaringan.
  • Masalah jaringan intermiten umum dengan waktu yang buruk.
  • Virus, malware, dll.
  • Lebih banyak hal yang tidak terjadi pada saya saat ini, mungkin.

Saya harap itu membantu.

Katherine Villyard
sumber
4
Sebenarnya saya tidak tahu itu. Terima kasih menjelaskannya. Dan ya itu memang membantu.
leeand00
1
Kegagalan perubahan kata sandi benar-benar tidak mempengaruhi kegagalan saluran aman. Anda harus pergi 60 hari secara default untuk itu menjadi masalah. Namun pengaturan ulang kata sandi akan menyelesaikan masalah (setidaknya dengan DC yang Anda autentikasikan).
Jim B
9

Memperluas jawaban Katherine:

Workstation akan kehilangan kepercayaan dengan pengontrol domain jika akunnya telah ditimpa. Sangat mungkin (dengan izin yang tepat) untuk menambahkan komputer dengan nama yang sudah ada di domain, tetapi ini akan menyebabkan komputer yang sebelumnya dikenal sebagai nama itu kehilangan kepercayaan dengan Kontroler Domain.

Gino
sumber
3

Alasannya bisa jam melayang. Jika jam workstation melayang lebih dari 5 menit dari server, itu akan kehilangan koneksi ke Domain. Ini mungkin berasal dari perangkat keras yang terkelupas, atau ketika sistem dimatikan untuk waktu yang cukup lama, atau kadang-kadang ketika laptop sering jauh dari jaringan, dll.

wazoox
sumber
Menarik. Aku akan pergi dengan perangkat keras bersisik.
leeand00
2

Proses kata sandi komputer AD (didokumentasikan di sini) tidak banyak berubah dan tentu saja bukan akar penyebab masalah schannel yang rusak. (sebenarnya KLIEN-lah yang mengubah kata sandi dan kata sandi dikecualikan dari kebijakan kedaluwarsa kata sandi. Sekarang tergantung pada OS klien di mana hal-hal menjadi menarik. 1 alasan untuk lockout adalah XP. Jika itu XP dan di bawah klien akan berubah itu kata sandi - dan kemudian coba komunikasikan kata sandi baru ke DC. Pada 7 atau di atas klien tidak akan mencoba sampai memiliki koneksi ke DC. Masalah replikasi domain dapat menyebabkan kegagalan saluran. Kasue yang paling umum adalah reimage dari suatu sistem di mana nama yang sama digunakan kembali. Masalah sinkronisasi waktu juga dapat menyebabkan masalah dengan schannel, dan dalam kebanyakan kasus, Anda dapat mengevaluasi apa yang terjadi (jika Anda cenderung) dengan mengaktifkan pencatatan log netlogon (https://support.microsoft.com/en-us/kb/109626 ) dan memeriksa log untuk alasan mengapa schannel gagal diatur. Gagal mem-sysprep sebuah gambar tampaknya juga menyebabkan masalah (saya belum menemukan alasan persisnya, tetapi disjoin dan bergabung kembali tampaknya selalu menyelesaikan masalah)

Jim B
sumber
1

Cara lain adalah dengan menggunakan ADUC dan mengatur ulang akun komputer (jika baru saja tidak sinkron dengan domain) cukup klik kanan nama komputer dan pilih "Reset Akun" (sekitar 80% dari waktu ini akan memperbaiki masalah Anda ).

Pink yang
sumber
1
Ini tidak benar-benar menjawab pertanyaan awal. Dia bertanya mengapa, bukan bagaimana cara memperbaikinya.
Katherine Villyard
1

Yang 'mengapa' adalah bahwa di Microsoft Windows 2003 mereka memperluas implementasi direktori mereka termasuk memaksa workstation untuk mereset kata sandi mereka setiap 30 hari atau lebih. Saya tahu betul, itu merusak banyak instalasi SAMBA yang saya pertahankan saat itu.

Biasanya pengaturan ulang kata sandi ini otomatis, tetapi saya telah melihat banyak, banyak kasus ketika desain ini tidak berfungsi. Ketika saya mematikan notebook untuk sementara waktu, kemudian mencoba dan masuk dengan akun yang tidak di-cache, saya segera menerima pesan kesalahan itu tidak masalah post-2000 Microsoft OS yang saya gunakan.

Jadi cara termudah untuk menjaga agar jaringan tetap bekerja secara transparan dalam situasi mode gagal ini adalah memodifikasi atau mematikan pengaturan kebijakan pada level Domain: Kebijakan Grup / Pengaturan Windows / Pengaturan Keamanan / Kebijakan Lokal / Opsi Keamanan, kemudian cari: Anggota domain: Usia kata sandi akun mesin maksimum Anggota domain: Nonaktifkan perubahan kata sandi akun mesin

Saya harap ini membantu.

ummyeah
sumber
1
Harap baca kembali pertanyaan OP. Pendekatan Anda untuk mengatasi gejala adalah anekdotal dan tidak menjawab pertanyaan. Situs SE bukan forum umum. Silakan pertimbangkan tur
jscott