У меня есть контроллер домена Windows Server 2012 в домене DOM1, работающий в домене Windows Server 2008 R2 и на функциональном уровне. Все остальные контроллеры домена в DOM1 - 2008 R2. DOM1 имеет двустороннее нетранзитивное доверие с другим доменом DOM2, работающим в лесу Windows Server 2003 и на функциональном уровне.
В DOM1 есть одна машина с Windows 7, которая находится в той же локальной сети, что и контроллер домена. Когда пользователь с учетной записью в DOM2 пытается войти на этот компьютер, он получает сообщение об ошибке:
База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции.
Когда я выключаю контроллер домена 2012, ошибка не появляется, и пользователь может войти в систему. Когда я снова включаю контроллер домена, пользователь получает сообщение об ошибке.
Вчера я включил DC, отключил машину Windows 7 от DOM1, а затем снова подключился к ней. Затем пользователь смог войти в систему. Однако сегодня пользователь снова получил ошибку. Я выключил DC, и пользователь вошел в систему.
Я заметил, что после повторного присоединения компьютера с Windows 7 к домену учетная запись компьютера отображается в AD как отключенная.
Несколько других компьютеров в том же месте также получают ошибку, однако большинство нет.
Вот мои вопросы:
Why does the error occur only when the 2012 DC is on?
How is the user able to log into the Windows 7 machine even if the computer account is disabled?
Почему ошибка возникает только при включенном DC 2012?
Поскольку компьютер подключается к контроллеру домена Windows 2012, у которого нет его записи. Это указывает на проблему синхронизации Active Directory между этим контроллером домена и остальными контроллерами домена.
Как пользователь может войти в систему с Windows 7, даже если учетная запись компьютера отключена?
Возможно, кэшированные учетные данные, позволяющие пользователю обойти проверку домена, или, возможно, учетная запись не отключена на контроллере домена, по которому выполняется проверка компьютера.
В любом случае, вы хотите исправить свой несинхронизированный домен как можно скорее - чем дольше это будет продолжаться, тем хуже и сложнее будет справиться с этим.
Как пользователь может войти в систему с Windows 7, даже если учетная запись компьютера отключена?
Для этой части попробуйте отсоединить физический кабель LAN от вашего компьютера и попробуйте снова войти в систему с обычными учетными данными. Пароль кеша должен быть доступен для входа в систему, однако, пока вы находитесь в системе, вам все равно нужно будет повторно присоединиться к домену на этом компьютере, в противном случае он останется прежним после перезагрузки компьютера с снова подключенным кабелем LAN.