Что приводит к потере доверия рабочей станции к контроллеру домена?

Продолжая ответ Кэтрин:

Рабочая станция потеряет доверие к контроллеру домена, если ее учетная запись будет перезаписана. Вполне возможно (с соответствующими разрешениями) добавить компьютер с именем, которое уже существует в домене, но это приведет к тому, что компьютер, ранее известный как это имя, потерял доверие к контроллеру домена.

Причиной может быть смещение часов. Если часы рабочей станции отойдут более чем на 5 минут от часов сервера, они потеряют связь с Доменом. Это может происходить из-за нестабильного аппаратного обеспечения, или когда система отключена на довольно длительное время, или иногда, когда ноутбук часто находится вдали от сети и т. Д.

Процесс паролей компьютера AD (описанный здесь) не сильно изменился и, конечно, не является основной причиной проблем со сломанным каналом. (на самом деле это КЛИЕНТ, который меняет пароль, и пароль освобождается от политики истечения срока действия пароля. Теперь, в зависимости от клиентской ОС, все становится интереснее. 1 причина блокировки - XP. Если это XP и ниже, клиент изменит его пароль - и затем попытайтесь передать новый пароль контроллеру домена. В версии 7 или выше клиент не будет пытаться подключиться до тех пор, пока у него не будет подключения к контроллеру домена. Проблемы с репликацией домена могут вызвать сбои канала. Наиболее распространенной причиной является перезапись системы где одно и то же имя использовалось повторно. Проблемы синхронизации времени также могут вызывать проблемы с schannel, и в большинстве случаев вы можете оценить, что произошло (если вы так склонны), включив ведение журнала netlogon ( https://support.microsoft.com/en-us/kb/109626) и проверяет журналы, почему не удалось настроить schannel. Сбой sysprep для изображения, по-видимому, также вызывает проблему (я не выяснил, почему именно, но разъединение и повторное соединение, кажется, всегда решают проблему)

"Почему" заключается в том, что в Microsoft Windows 2003 они расширили реализацию своих каталогов и теперь заставляют рабочие станции сбрасывать свои пароли каждые 30 дней или около того. Я знаю это хорошо, он сломал много установок SAMBA, которые я поддерживал в то время.

Обычно этот сброс пароля полностью автоматический, но я видел много, много случаев, когда этот дизайн просто не работает. Когда я на некоторое время выключаю ноутбук, затем пытаюсь войти в систему с не кэшированной учетной записью, я сразу получаю это сообщение об ошибке независимо от того, какую ОС Microsoft после 2000 года я использую.

Таким образом, самый простой способ обеспечить прозрачную работу сети в этой ситуации, связанной с отказом, - это изменить или отключить этот параметр политики на уровне домена: групповые политики / настройки Windows / параметры безопасности / локальные политики / параметры безопасности, а затем найдите: Член домена: максимальный срок действия пароля учетной записи компьютера. Участник домена: отключение изменения пароля учетной записи компьютера.

Надеюсь, это поможет.

Другой способ - использовать ADUC и сбросить учетную запись компьютера (если она только что вышла из синхронизации с доменом), просто щелкните правой кнопкой мыши имя компьютера и выберите "Сбросить учетную запись" (примерно в 80% случаев это решит вашу проблему).).