Я получал ошибку несколько раз на рабочих станциях и ноутбуках с Windows 7, когда он терял доверие к контроллеру домена, и я знаю, как ее исправить, но почему он это делает?
Вы, наверное, уже это знаете, но потерпите меня.
У компьютеров есть пароли в AD, как и у пользователей. Мы не знаем пароль нашего компьютера, и он регулярно меняется с помощью встроенной логики.
Короткий ответ заключается в том, что пароль компьютера больше не действителен, и поэтому AD больше не доверяет этой машине для входа в систему.
Зачем? Как? Это вызвано многими вещами. Что-то мешало процесс смены пароля, или заставил машину вернуться к старому паролю. Возможные виновники включают:
Надеюсь, это поможет.
Продолжая ответ Кэтрин:
Рабочая станция потеряет доверие к контроллеру домена, если ее учетная запись была перезаписана. Вполне возможно (с соответствующими разрешениями) добавить компьютер с именем, которое уже существует в домене, но это приведет к тому, что компьютер, который ранее был известен как это имя, потеряет доверие с Контроллером домена.
Причиной может быть смещение часов. Если часы рабочей станции отстают от сервера более чем на 5 минут, соединение с доменом теряется. Это может происходить из-за нестабильного оборудования, или когда система отключена на довольно долгое время, или иногда, когда ноутбук часто находится вдали от сети и т. Д.
Процесс ввода пароля компьютера AD (описанный здесь) не сильно изменился и, конечно же, не является основной причиной неисправных проблем с каналом. (на самом деле это КЛИЕНТ, который меняет пароль, и пароль освобождается от политики истечения срока действия пароля. Теперь все становится интереснее в зависимости от клиентской ОС. 1 причина блокировки - XP. Если это XP и ниже, клиент изменит его пароль - а затем попытайтесь передать новый пароль на контроллер домена. В версии 7 или выше клиент не будет пытаться, пока не установит соединение с контроллером домена. Проблемы репликации домена могут вызвать сбои канала. Наиболее распространенной причиной является повторное создание образов системы. где то же имя было повторно использовано. Проблемы с синхронизацией времени также могут вызвать проблемы с schannel, и в большинстве случаев вы можете оценить, что произошло (если вы так склонны), включив ведение журнала netlogon (https://support.microsoft.com/en-us/kb/109626) и изучив журналы, почему не удалось настроить канал. Отказ sysprep изображения, похоже, также вызывает проблему (я точно не понял, почему, но разъединение и повторное присоединение, похоже, всегда решает проблему)
Другой способ - использовать ADUC и сбросить учетную запись компьютера (если она только что рассинхронизировалась с доменом), просто щелкните правой кнопкой мыши имя компьютера и выберите «Сбросить учетную запись» (примерно в 80% случаев это решит вашу проблему. ).
«Почему» заключается в том, что в Microsoft Windows 2003 они расширили реализацию каталога, включив принуждение рабочих станций сбрасывать свои пароли каждые 30 дней или около того. Я это хорошо знаю, он сломал много установок SAMBA, которые я поддерживал в то время.
Обычно этот сброс пароля происходит автоматически, но я видел много, много случаев, когда такая конструкция просто не работает. Когда я на некоторое время выключаю ноутбук, а затем пытаюсь войти в систему с учетной записью без кеширования, я сразу получаю это сообщение об ошибке независимо от того, какую ОС Microsoft после 2000 года я использую.
Таким образом, самый простой способ сохранить прозрачную работу сети в этой спроектированной ситуации с отказом - это изменить или отключить этот параметр политики на уровне домена: Групповые политики / Параметры Windows / Параметры безопасности / Локальные политики / Параметры безопасности, а затем искать: Член домена: Максимальный возраст пароля учетной записи компьютера Член домена: Отключить изменение пароля учетной записи компьютера
Надеюсь, это поможет.