相信大家都碰到过这个问题,某个用户出差,连同已加域的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆域,错误提示通常为:此工作站和主域间的信任关系失败(长时间不使用或脱离域环境的电脑也会碰到这个情况),常见的解决办法就是退出域再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢?
首先要知道这个问题形成的原因,先来看看微软的官方解释:
默认情况下,在一个域环境中,为了保证账号的安全,在默认域策略中设置了“最长密码有效期”。域客户端即使在脱机的情况下,依然会受这条Group Policy的限制。当密码到期前的14天开始,该笔记本会提示用户更改密码,但由于无法连接到域控制器,所以密码无法修改成功。一旦超过了这个期限,该域账号将被锁定,用户将无法再次登陆系统。
每个基于windows系统的电脑都有一个电脑账户密码历史记录(machine account password history), 为了让这台windows系统的电脑登陆域,这台电脑必须要与域控建立一个安全通道以用来身份验证。客户端电脑上的Netlogon服务会使用这台客户端的电脑账户(machine account)和一个相关密码去建立安全通道。 如果这个计算机帐户密码和LSA不同步,那么这台电脑将无法连接到域,会有错误提示:此工作站和主域间的信任关系失败。也就是说此时安全通道已经坏掉了。(默认计算机帐户密码30天会变更一次)
解决方法:
一、在DC上运行gpmc.msc,在需要设置的GPO上右键编辑,依次展开计算机配置→策略 →Windows设置→安全设置→本地策略→安全选项,找到:
域成员: 计算机帐户密码最长使用期限 (默认30天,设置长一点)
域成员: 禁用计算机帐户密码更改 (设为已启用)
域控制器: 拒绝计算机帐户密码更改(设为已启用)
二、在计算机配置→策略 →Windows设置→安全设置→帐户策略→密码策略,找到密码最长使用期限,默认为42天,建议这里修改为与计算机帐户密码最长使用期限一致。
本文转自 kuSorZ 51CTO博客,原文链接:http://blog.51cto.com/kusorz/1707522
