此工作站和主域间的信任关系失败 又一解决办法_域与主机失去信任关系

2022-11-02 16:04:49 浏览数 (1)

大家好,又见面了,我是你们的朋友全栈君。

在服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下:

在域中总是会有计算机由于某种原因,导致计算机账户的密码无法和lsa secret同步

系统会在计算机登陆到域的时候,提示已经丢失域的信任关系。 日志大致如下: Event ID:

5

Source NETLOGON Type Error

Description The session setup from the computer TEST_COMP1 failed

to authenticate. The name of the account referenced in the security

database is TEST_COMP1$. The following error occurred: Access is

denied. 察看了kb175468

Effects of Machine Account Replication on a Domain

了解了有可能导致这一现象的原因 察看了kb154501 How

to disable automatic machine account password changes

知道了如何停止这一同步 察看了Q216393

Resetting computer accounts in Windows 2000 and Windows XP

和KB260575 HOW

TO:使用 Netdom.exe 重置

Windows 2000 域控制器的机器帐户密码 但似乎即便到出现问题的工作站上执行了netdom,也无法再次让这个同步回复正常。只能reset

this computer account in active diretory,然后rejoin

domain。 我的解决办法是: 先使用本地管理员账户连接到工作站(此时,由于丢失了和域的信任关系,domain

admins 无法登陆到工作站),nslookup确认dns解析的正常。确认dns

后缀是否正确。 然后使用gpresult 察看,最后一次是哪一台dc验证了此工作站的登陆。net time

/querysntp 察看时间服务是否指向正确位置,如果没有特别指定,应该是登陆的那台dc。

再次到那台dc上,使用该命令确认是否指定了时间源,如果域中没有设置time server,那么可以将时间源指向自己,如果是子域可以指向root。

最后把此工作站重新加域。 由于这样的问题一直没有得到官方的答案,特地询问了微软的工程师,陆续的回答中我做了一些整理如下:

通常情况下,我们建议客户采取下面的措施:1 不要在客户机上长时间不登陆域。

2 把客户机从域中移走时,尽量先移到工作组中,而不是直接重装。否则要注意删掉相应的机器帐号。

3 域中的机器时间要同步。 4 把客户机加入域之前,确认域中没有其他同名的机器帐号。 同时您可以尝试下面的命令:netdom reset computername /domain:domainname /server:servername

/userO:computernameadministrator

/passwordO:* 然后在提示时输入computername本机管理员的密码。但是如果您现在并不能用域用户登陆computername,那么意味着安全通道已经无法建立,这样做就可能没有用。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/180187.html原文链接:https://javaforall.cn

0 人点赞