ワークステーションがドメインコントローラーとの信頼を失う原因は何ですか?


25

ドメインコントローラーとの信頼関係を失ったWindows 7ワークステーションおよびラップトップでエラーを何度か受け取りましたが、その修正方法を知っていますが、なぜそうするのですか?


理由については、これが良いスレッドだと思いました... community.spiceworks.com/topic/…–
ビル

回答:


32

あなたはおそらくこれをすでに知っていますが、私に耐えてください。

ADは、ユーザーと同様にコンピューターにパスワードがあります。私たちはコンピューターのパスワードを知らず、組み込みのロジックを介して定期的に変更します。

簡単な答えは、コンピューターのパスワードが無効になったため、ADがこのマシンのログインを信頼しないことです。

どうして?どうやって?多くのことが原因です。何かがパスワード変更プロセスに干渉したか、マシンを古いパスワードに戻しました。考えられる原因は次のとおりです。

  • バックアップからの復元。
  • パスワードの有効期限が切れるのに十分な時間だけ電源をオフにしてから、ネットワークの問題が発生する。
  • タイミングの悪い一般的な断続的なネットワークの問題。
  • ウイルス、マルウェアなど
  • おそらく私には今起きていないより多くのこと。

それがお役に立てば幸いです。


4
実際、私はそれを知りませんでした。説明してくれてありがとう。はい、それは役立ちます。
leeand00

1
パスワード変更の失敗は、安全なチャネルの失敗には実際には影響しません。それが問題になるには、デフォルトで60日間行く必要があります。ただし、パスワードをリセットすると問題が解決します(少なくとも認証に使用するDCの場合)。
ジムB

9

キャサリンの答えを拡張する:

ワークステーションは、アカウントが上書きされた場合、ドメインコントローラーとの信頼を失います。ドメインに既に存在する名前のコンピューターを追加することは(適切なアクセス許可を使用して)完全に可能ですが、これにより、以前はその名前として知られていたコンピューターがドメインコントローラーとの信頼を失います。


3

理由としては、クロックドリフトが考えられます。ワークステーションのクロックがサーバーから5分以上ずれると、ドメインへの接続が失われます。これは、不安定なハードウェアに起因する場合や、システムの電源が長時間オフになっている場合、またはラップトップがネットワークから離れていることが多い場合などです。


面白い。不安定なハードウェアを使用します。
leeand00

2

ADコンピューターのパスワードプロセス(ここに記載)はあまり変更されておらず、破損したSchannel問題の根本原因ではありません。(実際、パスワードを変更するのはクライアントであり、パスワードはパスワード有効期限ポリシーから免除されます。今では、クライアントOSに応じて興味深いことがあります。ロックアウトの1つの理由はXPです。XP以下の場合、クライアントは変更されますパスワード-その後、DCに新しいパスワードを伝えようとします。7以上では、クライアントはDCに接続するまで試行しません。ドメイン複製の問題により、schannel障害が発生する可能性があります。時間同期の問題はschannelでも問題を引き起こす可能性があり、ほとんどの場合、netlogonのログを有効にすることで(もしそうなら)何が起こったのかを評価できます(https://support.microsoft.com/en-us/kb/109626)およびschannelがセットアップに失敗した理由についてログを調べます。イメージのsysprepに失敗すると、問題も発生するようです(理由を正確に把握できていませんが、分離と再結合によって常に問題が解決されるようです)


1

もう1つの方法は、ADUCを使用してコンピューターアカウントをリセットすることです(ドメインと同期しなくなった場合)。コンピューター名を右クリックし、[アカウントのリセット]を選択します(約80%の時間で問題が解決します) )。


1
これは元の質問に実際に答えているわけではありません。彼は、それを修正する方法ではなく、理由を尋ねました。
キャサリンビリヤード16年

1

「理由」は、Microsoft Windows 2003で、30日ごとにパスワードをリセットするようにワークステーションを強制するようにディレクトリ実装を拡張したことです。私はそれをよく知っていて、それは私がその時に維持していた多くのSAMBAインストールを壊しました。

通常、このパスワードリセットはすべて自動的に行われますが、この設計が機能しない場合、多くの場合を見てきました。ノートブックをしばらくオフにして、キャッシュされていないアカウントでログインしようとすると、どのポスト2000 Microsoft OSを使用しても、すぐにそのエラーメッセージが表示されます。

したがって、このフェイルモードで設計された状況でネットワークを透過的に動作させ続ける最も簡単な方法は、ドメインレベルでそのポリシー設定を変更またはオフにすることです:グループポリシー/ Windows設定/セキュリティ設定/ローカルポリシー/セキュリティオプション、次に探します:ドメインメンバー:マシンアカウントのパスワードの最大有効期間ドメインメンバー:マシンアカウントのパスワードの変更を無効にする

これがお役に立てば幸いです。


1
OPの質問を読み直してください。症状に対処するためのあなたのアプローチは逸話的であり、質問に答えません。SEサイトは一般的なフォーラムではありません。ツアーを
jscott
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.