我今天早上醒来很多(但不是全部)办公室PC都无法访问他们的networking共享。 这些电脑也有login问题。
错误信息基本上是这些PC已经失去了与域控制器的信任关系。
一些电脑随着时间的推移随机恢复,我们结合重新启动和等待。
我不知道这里到底发生了什么事。 我们有一个小型办公室–10台电脑主要运行Vista和一台Windows 2003R2服务器。 在过去的几个星期里一切正常,没有什么变化可言。
更新:检查出日志后,事实certificate我的networking拓扑结构是错误的。 我的本地服务器上的日志,PDC没有结果。 但是,客户端机器上散布着日志中的错误,指的是不同服务器上的Kerberos问题。 事实certificate,我们有一个运行Win2003服务器的卫星办公室,除了备份复制服务之外,该服务器应该与本地办公室没有任何关系。 但由于某种原因,信任关系与卫星服务器断绝了,我的客户以某种方式将其用于身份validation和kerberos票据。 显然,这是我的头(我们外包系统pipe理),将不得不让人看看它。
我强烈build议检查本地2K3服务器上的系统,应用程序和安全日志(如果这不是你的DC,请检查本地机器,看看它们正在进行身份validation的DC。 检查本地计算机上的日志,这可以揭示这个问题。
前一天晚上在域名或本地networking上是否有任何更改? 任何通过中央位置部署的远程软件,如Altiris等? 离开蝙蝠,不知道你的networking我build议你的域名上有人或某事改变了,可能没有完全复制到你的办公室。
此外,检查复制,全局编录状态等。如果重新启动“把他们带回”,这听起来像它可能只是你的机器无法findDCauthentication的情况下,等等。
有关可以共享的域/networking设置的更多信息或详细信息?
这些PC是否join了域名? 如果他们确认他们的时间设置为与服务器相同。
微软有一个可笑的假设,就是DC可以随时交谈。 如果在卫星办公室有一个DC,并且链路在错误的时间closures,Kerberos密钥将不同步,并且您的客户也可能不同步。 修复这是一个很大的痛苦,我们必须logging与微软的支持电话。 在我们的情况下,在我们修好之后,我们设置了一个组策略来防止Kerberos密钥的改变。
做到这一点:
Computer Config -> Windows Settings -> Security Settings -> Local Policies/Security Options -> Domain Member -> Domain member: Disable machine account password changes = Enabled 据说这会降低安全性(如果有人拦截你的Kerberos密钥并将其破解),但是我个人并不认为这是一个很大的风险。
起床到不能login的办公室是更大的风险。