问题
2020年11月19日星期四 上午8:19
你好,加域的客户端频繁出现:“此工作站和主域之间的信任关系失败”。甚至早上加域,下午就出现这种情况。我知道重新加域可以解决这个问题。但是出现的太频繁了,要找出是什么原因导致的这种情况。
...
全部回复 (9)
2020年11月19日星期四 上午8:27
域控制器上可以看到 有
5722的错误日志
从计算机 Z-WH10402041048 设置的会话无法进行身份验证。 安全数据库中引用的帐户名称是 Z-WH10402041048$。发生下列错误:
拒绝访问。
...
2020年11月19日星期四 上午9:36
尊敬的客户,您好,
感谢您的发帖。
当您使用事件查看器查看Windows域控制器中的系统日志时,您可能会发现记录了事件5722。在以下两种情况之一中可能会发生此问题:
当计算机使用域控制器更新其计算机帐户密码时
当计算机以已经存在的名称加入域时
详细信息,我们可以参考:
/en-us/troubleshoot/windows-server/identity/event-id-5722-logged-on-domain-controller
加域的客户端频繁出现:“此工作站和主域之间的信任关系失败”。说明客户端与主域之间的安全通道出现中断问题。
导致Secure Channel出问题的原因很多. 比如,
- 尝试加入重名计算机到域中。根据我们目前收到的客户反馈,这一因素导致问题的比例最多。
- DC之间的同步问题。比如,在客户端把密码保存到DC1之后,客户端可能会在下次启动的时候使用DC2,但是DC1和DC2之间的复制并没有及时(或者是无法)完成。这可能会导致Secure Channel出错。这种是第二多的情况。
- 本地LSA的密码被修改或者是回退。这种情况不太常见。一般主要发生在系统还原,或者是虚拟机的镜像(snapshot)被回退时. 当然也,也有可能发生在硬盘出错,或者是文件系统出错的情况下。比如磁盘缓存在断电后没有正常回写。
- 非持续性的网络连接问题。即在一开始可以成功联系到DC, 但是后面突然无法联系DC。该情况连续发生两次之后,会导致当前计算机密码丢失。如一开始密码为Password1, 第一次失败之后计算机把上一次密码设置为Password1,并把当前密码设置为Password2.如果这次无法保存到DC中,则在下次(15分钟之后)再生成Password3,并把Password2覆盖掉Password1。所以在连续两次出错之后,最初的Password1将会丢失,而导致Secure Channel出错。这种情况比较罕见。
另外,我们可以检查下是否存在导致此问题的安全应用程序或防火墙。我们可以临时禁用防病毒的应用程序或防火墙,进行故障排除。
如果遇到“此工作站和主域之间的信任关系失败”,我们也可以尝试以下操作:
1.使用本地管理员账号登录这台客户端。
2.以管理员身份打开CMD.
3.输入**Netdom resetpwd /s:target_server /ud:mydomain\domain_admin /pd:***并按回车键。
/s:后面跟一台域控制器的名字
/ud:后面跟域管理员的账号
/pd:* 后面跟域管理员账号对应的密码
4.如果命令运行成功了的话, 然后再使用域账号登录试试看是否可以登录。
如有任何疑虑或者问题的话,请随时联系我们。
此致,
Hannah Xiong
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年11月23日星期一 上午5:50
尊敬的客户,您好!
我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。
如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。
感谢您的理解与支持。
此致,
Hannah Xiong
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年11月24日星期二 上午3:11
感谢.
这个链接我也看过,我刚才确认了下,查看DC上的计算机账号的lastpwdSet时间和在事件日志中记录的5722事件是不一致的。这个计算机账号的密码应该是由域客户端自己发起的密码修改吧。
计算机账号的创建时间whencreate和密码修改时间pwdlastset仅间隔了3天不到。
...
2020年11月24日星期二 上午5:50
另外,计算机自己修改密码账号是否有日志产生?
...
2020年11月24日星期二 上午8:45
您好,
感谢您的回复,
计算机帐户密码不会在Active Directory中失效。他们不受域密码策略的约束。重要的是要记住,计算机帐户密码的更改是由客户端(计算机)而不是AD驱动的。该密码由客户端的Netlogon服务维护, 包括发起修改的操作. DC只负责接受请求. 默认情况下, 客户端的计算机密码30天修改一次。以下设置可以查看计算机账户密码的最长使用期限。
以下为自定义的组策略设置:
修改时间 (由客户端检查):
Domain member: Maximum machine account password age
http://technet.microsoft.com/en-us/library/cc781050(v=ws.10).aspx
在客户端计算机启动阶段, 客户端的Netlogon服务在启动15分钟之后检查当前的计算机密码的Age (上次修改距当前系统时间的差;), 并把这一;对比以下组策略设置:
Domain member: Maximum machine account password age
如果当前密码已经超过所定义的最长计算机密码Age;, Netlogon服务启动密码修改线程 (lsass.exe进程中的一个专用线程), 并使用以下过程来修改密码:
- 通过DNS查找DC, 并通过LDAP的方式检查DC是否在线 (经由UDP 389的LDAP Ping). 如果失败,则退出并返回相应的return code.
- 创建到DC的Secure Channel. 如果失败, 则退出并返回相应的return code.
- 产生新的计算机密码.
- 把当前计算机密码保存到”上一次密码”中,并把新密码保存为”当前密码”.
- 把新的计算机密码通过第二步中创建的Secure Channel发送到DC并保存. 如果失败,则退出并返回相应的return code
- 重置密码修改计数器,为下一个密码修改周期(默认30天), 加减24小时的随机时间差(防止在大批量重置密码之后所有的计算机一直同时在下一次重置密码而导致较高的网络和DC负载).
如果上述步骤中任何一步失败,则每15分钟重新尝试一次,直到成功修改密码.
计算机修改密码账户,好像没有日志产生。
如有问题,请随时联系我们。
此致,
Hannah Xiong
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年11月26日星期四 上午1:51
尊敬的客户,您好!
我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。
如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。
感谢您的理解与支持。
此致,
Hannah Xiong
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年11月30日星期一 上午1:33
尊敬的客户,您好!
请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。
此致,
Hannah Xiong
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年11月30日星期一 上午1:56
感谢,这个问题先放一下吧。
...