У нас проблема с набором компьютеров в нашем домене. они постоянно теряют доверительные отношения с доменом. Впервые это произошло на прошлой неделе, а через 8 дней повторилось. На сервере мы получаем ошибки NETLOGON с событием 5722.
The session setup from the computer ComputerName failed to
authenticate. The name of the account referenced in the security database is
AccountName$.
The following error occurred:
Access is denied.
Мне было интересно, есть ли способ определить, почему это происходит? Я проверил журналы ошибок и, похоже, ничего не произошло до появления этих ошибок. Я думал о переосмыслении всей группы машин. Если я их все заново создаю, не лучше ли мне полностью удалить компьютерные объекты из AD и позволить им создавать новые компьютерные объекты, когда я снова присоединяю их к домену? Лучше всего присоединиться к ним вручную или есть лучший метод? Мне придется переименовать машины, чтобы получить к ним доступ локально.
Сервер - Windows Server 2008 R2 SP1, машины - Windows 7 SP1
Изменить: - В ответ на комментарии: -
Эти машины работают под управлением Windows 7, Office и Adobe Audition, в этом нет ничего странного. Они точно такие же, как десять других машин в комнате, с которыми у нас нет проблем.
AD работает на Server 2008 R2 с вторичным контроллером домена под управлением Windows Server 2008. Машины синхронизируют время с PDC и проверяют это, они находятся в правильное время.
В AD нет повторяющихся имен.
Если я удалю их и снова добавлю, они снова будут работать нормально, это то, что я сделал в прошлый раз, а затем через 8 дней все они снова отпали.
Одна странность:
В соседней комнате была такая же проблема. Я удалил комп из домена. Удалил учетные записи компьютеров из AD. Очистил кеш DNS и удалил записи машин из DNS. Затем я повторно добавил их в домен. они могут связаться с доменом, но их учетные записи компьютеров нигде не отображаются в AD. Напутало меня что-то тухлое.
Один из сценариев, при котором это может произойти, - это восстановление резервной копии компьютера на втором компьютере. Когда этот второй компьютер подключается к сети, пароль машины (который машина меняет каждые 30 дней по умолчанию) не совпадает с паролем в AD и отключает учетную запись машины.
Использование восстановления системы также может восстановить предыдущий пароль учетной записи компьютера.
Обратите внимание, что на пароль компьютера не распространяется политика истечения срока действия пароля домена. Он контролируется службой входа в сеть компьютера.
У вас есть что-нибудь, изменяющее время на ПК независимо от домена?
Был ли предыдущий PDC? DNS работает отлично (пинги работают наоборот)? Разница во времени между машинами? И, наконец, не могли бы вы попробовать изменить пароль пользователя с рабочей станции или даже наоборот?
Когда рабочая станция присоединяется к домену, она устанавливает доверительные отношения между контроллером домена и рабочей станцией. Теперь есть ряд причин, которые могут можно найти здесь (Хотя большинство из них только для Server 2000) и более свежие статья здесь это может предотвратить это.
К сожалению, эта проблема исчезла сама собой, как только мы развернули образ домена с самостоятельным присоединением с помощью WDS. Мы удалили все имена компьютеров из AD, предварительно настроили все машины и больше никогда не сталкивались с подобными проблемами.