ワークステーションがドメインコントローラーとの信頼を失う原因は何ですか？

ドメインコントローラーとの信頼関係を失ったWindows 7ワークステーションおよびラップトップでエラーを何度か受け取りましたが、その修正方法を知っていますが、なぜそうするのですか？

あなたはおそらくこれをすでに知っていますが、私に耐えてください。

ADは、ユーザーと同様にコンピューターにパスワードがあります。私たちはコンピューターのパスワードを知らず、組み込みのロジックを介して定期的に変更します。

簡単な答えは、コンピューターのパスワードが無効になったため、ADがこのマシンのログインを信頼しないことです。

どうして？どうやって？多くのことが原因です。何かがパスワード変更プロセスに干渉したか、マシンを古いパスワードに戻しました。考えられる原因は次のとおりです。

• バックアップからの復元。
• パスワードの有効期限が切れるのに十分な時間だけ電源をオフにしてから、ネットワークの問題が発生する。
• タイミングの悪い一般的な断続的なネットワークの問題。
• ウイルス、マルウェアなど
• おそらく私には今起きていないより多くのこと。

それがお役に立てば幸いです。

キャサリンの答えを拡張する：

ワークステーションは、アカウントが上書きされた場合、ドメインコントローラーとの信頼を失います。ドメインに既に存在する名前のコンピューターを追加することは（適切なアクセス許可を使用して）完全に可能ですが、これにより、以前はその名前として知られていたコンピューターがドメインコントローラーとの信頼を失います。

理由としては、クロックドリフトが考えられます。ワークステーションのクロックがサーバーから5分以上ずれると、ドメインへの接続が失われます。これは、不安定なハードウェアに起因する場合や、システムの電源が長時間オフになっている場合、またはラップトップがネットワークから離れていることが多い場合などです。

ADコンピューターのパスワードプロセス（ここに記載）はあまり変更されておらず、破損したSchannel問題の根本原因ではありません。（実際、パスワードを変更するのはクライアントであり、パスワードはパスワード有効期限ポリシーから免除されます。今では、クライアントOSに応じて興味深いことがあります。ロックアウトの1つの理由はXPです。XP以下の場合、クライアントは変更されますパスワード-その後、DCに新しいパスワードを伝えようとします。7以上では、クライアントはDCに接続するまで試行しません。ドメイン複製の問題により、schannel障害が発生する可能性があります。時間同期の問題はschannelでも問題を引き起こす可能性があり、ほとんどの場合、netlogonのログを有効にすることで（もしそうなら）何が起こったのかを評価できます（https://support.microsoft.com/en-us/kb/109626）およびschannelがセットアップに失敗した理由についてログを調べます。イメージのsysprepに失敗すると、問題も発生するようです（理由を正確に把握できていませんが、分離と再結合によって常に問題が解決されるようです）

もう1つの方法は、ADUCを使用してコンピューターアカウントをリセットすることです（ドメインと同期しなくなった場合）。コンピューター名を右クリックし、[アカウントのリセット]を選択します（約80％の時間で問題が解決します） ）。

「理由」は、Microsoft Windows 2003で、30日ごとにパスワードをリセットするようにワークステーションを強制するようにディレクトリ実装を拡張したことです。私はそれをよく知っていて、それは私がその時に維持していた多くのSAMBAインストールを壊しました。

通常、このパスワードリセットはすべて自動的に行われますが、この設計が機能しない場合、多くの場合を見てきました。ノートブックをしばらくオフにして、キャッシュされていないアカウントでログインしようとすると、どのポスト2000 Microsoft OSを使用しても、すぐにそのエラーメッセージが表示されます。

したがって、このフェイルモードで設計された状況でネットワークを透過的に動作させ続ける最も簡単な方法は、ドメインレベルでそのポリシー設定を変更またはオフにすることです：グループポリシー/ Windows設定/セキュリティ設定/ローカルポリシー/セキュリティオプション、次に探します：ドメインメンバー：マシンアカウントのパスワードの最大有効期間ドメインメンバー：マシンアカウントのパスワードの変更を無効にする

これがお役に立てば幸いです。