Я настраиваю тестовую среду на Amazon Web Services, состоящую из 2 веб-серверов, 1 сервера базы данных и 1 контроллера домена. Все они являются Windows Server 2012 и присоединены к домену. Иногда рядовые серверы случайным образом выдавали ошибку the trust relationship between this workstation and the primary domain failed. Я могу решить эту проблему, выполнив локальный вход на компьютер-нарушитель, а затем выполнив команду PowerShell. Reset-ComputerMachinePassword. После этого никаких проблем.
Однако мне интересно, является ли основная причина проблемы тем, что параметр групповой политики «Отключить изменение пароля учетной записи компьютера» в настоящее время отключен и, следовательно, вынуждает меня вручную сбросить пароль компьютера.
Должен ли я активировать эту политику и каковы были бы последствия, если бы я включил эту политику?
Параметр «Максимальный срок действия пароля учетной записи компьютера» имеет значение 30 дней.
Изменение пароля учетной записи для отключения компьютера параметр почти никогда не должен быть включен. Он определяет, будет ли компьютер домена периодически менять пароль своей учетной записи на основе максимального срока действия пароля компьютера.
Описание этого параметра Microsoft из связанной документации Technet:
Член домена: параметр политики «Отключить изменение пароля учетной записи компьютера» определяет, будет ли член домена периодически изменять пароль учетной записи компьютера. Установка его значения на Enabled запрещает члену домена изменять пароль учетной записи компьютера. Установка для него значения Disabled позволяет члену домена изменять пароль учетной записи компьютера в соответствии со значением параметра Domain member: Maximum machine account age policy setting, которое по умолчанию составляет каждые 30 дней.
Конфигурация по умолчанию для компьютеров под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, которые принадлежат домену, заключается в том, что им автоматически требуется менять пароли для своих учетных записей каждые 30 дней. Отключение этой функции заставляет компьютеры, работающие под управлением этих операционных систем, сохранять те же пароли, что и их учетные записи компьютеров. Компьютеры, которые больше не могут автоматически изменять пароль своей учетной записи, подвергаются риску того, что злоумышленник определит пароль для учетной записи домена системы.
Рекомендации Microsoft для этого параметра из связанной документации Technet:
Не включайте этот параметр политики. Пароли учетных записей компьютеров используются для установления связи по безопасному каналу между участниками и контроллерами домена, а также между контроллерами домена внутри домена. После того, как он установлен, защищенный канал передает конфиденциальную информацию, необходимую для принятия решений об аутентификации и авторизации.
Не используйте этот параметр политики для поддержки сценариев двойной загрузки, в которых используется одна и та же учетная запись компьютера. Если вы хотите, чтобы установки с двойной загрузкой были присоединены к одному домену, дайте двум установкам разные имена компьютеров. Этот параметр политики был добавлен в операционную систему Windows, чтобы упростить организациям, которые хранят готовые компьютеры, которые запускаются в производство через несколько месяцев; эти компьютеры не нужно повторно присоединять к домену.
Как уже говорилось, этот параметр был создан для того, чтобы позволить организациям предварительно собирать машины и запускать их в производство по истечении максимального срока действия пароля учетной записи компьютера, не приводя к полученной ошибке неудачных доверительных отношений.
Эта конкретная ошибка возникает из-за того, что пароль учетной записи компьютера на контроллере домена не совпадает с паролем учетной записи компьютера, который машина хранила локально, или из-за того, что пароль учетной записи компьютера превысил максимальный срок действия, что означает, что срок его действия истек.
Как правило, истечение срока действия пароля учетной записи компьютера происходит из-за того, что машина, выдавшая ошибку, и контроллер домена не могут связаться в течение максимального срока действия пароля учетной записи компьютера или не могут сделать это безопасно. Несоответствие пароля учетной записи компьютера происходит, если, например, вы присоединяете второй компьютер к домену с существующим именем - учетная запись компьютера перезаписывается и создается новый пароль учетной записи компьютера, поэтому на первом компьютере больше нет правильной учетной записи компьютера. пароль для аутентификации.
В вашем конкретном случае мое первое подозрение будет заключаться в том, что брандмауэр блокирует трафик Active Directory между контроллером домена и компьютером, который продолжает генерировать эту ошибку, в частности трафик, в котором контроллер домена и машина синхронизируют пароль, когда новый генерируется. Также существует явная вероятность того, что машина выдает ошибки при попытке создать этот безопасный канал связи или даже что она выдает ошибку при попытке автоматически обновить пароль своей учетной записи. В любом случае вы сможете определить, в чем проблема, просмотрев журналы событий на этом компьютере и на контроллере домена. Вы ищите ошибки, устанавливающие соединения между двумя серверами, и любые ошибки, выдаваемые любой из подсистем безопасности на любом компьютере, чтобы точно определить причину этой проблемы.
Эта политика или соответствующий раздел реестра полезны при создании виртуальных машин, которые будут частью лаборатория тестирования или разработки, особенно когда эти виртуальные машины могут быть отключены или отключены в течение продолжительных периодов времени.
Но вообще не рекомендуется использовать его в производстве.