像许多人一样,我的networking已经遇到了“工作站和主域之间的信任关系失败”的错误。 我将计算机从域中删除,在更改计算机名称后将其重新连接到域,并且所有事情都恢复正常。 我有一个2008 R2 DC,我怎样才能防止这种情况发生? 是否有可以推送的组策略或脚本?
发生这种情况有几个常见的原因。
具有重复名称的计算机已join到域中。 这将导致原件不再与域的信任关系,因为它的计算机帐户现在是新机器的名称重复的帐户。
时间同步被搞砸了。 如果时间超过5分钟,您将无法login。 Kerberos至less依靠客户端和服务器上的同一个球场。 确保你拥有PDC模拟器angular色的DC被设置为一个可靠的时间源,并且你所有的DC同步它。 还要确保没有通过GPO或本地策略为您的客户端configuration备用时间源。 客户端应该从login服务器同步时间。
计算机帐户被重置或密码不同步。 电脑login到AD就像用户一样,他们有一个密码。 该密码在幕后定期更改。 如果您有复制问题,并且计算机在一个DC上更改了密码,然后又尝试login到另一个DC,并且由于某种原因复制失败,则您的计算机将不会被信任login,因为计算机密码在客户端和login之间不同服务器。
当然,还有其他边缘情况,为什么会发生这种情况。 这些是最常见的,并且是您的故障排除应该开始的地方。 没有剧本,GPO,或魔术粉尘洒,因为这是不正常的原因发生。
如果在蓝月亮里发生的事情比以往任何时候都多,那么就需要找出根本原因,以确定是什么打破了信任关系。 没有魔术策略或脚本来为你做。
您需要确保它不是某些脚本或其他pipe理员从域中删除这些机器,机器没有被“墓碑”,而且您的AD是健康的(如dcdiag等)。 换句话说,您的基本ADpipe理/故障排除步骤。