我在运行Windows Server 2008 R2域和function级别的域DOM1上有一个Windows Server 2012域控制器。 DOM1中的所有其他域控制器都是2008 R2。 DOM1与在Windows Server 2003林和function级别运行的另一个域DOM2具有双向非传递信任。
DOM1上有一台与域控制器位于同一LAN上的Windows 7计算机。 当有一个在DOM2中的帐户的用户试图login到这台机器,他们得到错误:
服务器上的安全数据库没有该工作站信任关系的计算机帐户。
当我closures2012域控制器时,错误不会出现,用户可以login。当我打开DC时,用户会收到错误。
昨天我打开了DC,从DOM1退出了Windows 7机器,然后重新join。 用户然后可以login。然而,今天,用户再次得到错误。 我关掉DC,用户login。
我注意到在将Windows 7计算机重新join域后,计算机帐户在AD中显示为禁用。
在同一地点的其他几台电脑也会出现这个错误,但是大部分都不会。
这是我的问题:
Why does the error occur only when the 2012 DC is on? How is the user able to log into the Windows 7 machine even if the computer account is disabled? 为什么错误只在2012年的时候发生?
因为计算机连接到Windows 2012域控制器,它没有它的logging。 这指向该域控制器和其他域控制器之间的Active Directory同步问题。
即使计算机帐户被禁用,用户如何能够login到Windows 7计算机?
允许用户绕过域检查的可能caching的凭据,或者计算机正在检查的域控制器上可能没有禁用该帐户。
无论哪种方式,您都希望尽快纠正您的不同步域 – 只是越来越难处理这种情况。
即使计算机帐户被禁用,用户如何能够login到Windows 7计算机?
对于这部分,尝试从计算机上拔下物理LAN电缆,然后尝试使用通常的凭据重新login。 caching密码应该仍然可用于login,但是当您处于login状态时,您仍然需要重新join该计算机上的域,否则在重新启动计算机并重新插入LAN电缆后,caching密码将保持不变。