通过

Active Directory 的密码值比客户端设备新

根据数据收集中的 步骤收集数据以排查安全通道问题后,你可能会发现 Active Directory 的值比客户端设备新 pwdLastSet 。 本文介绍如何修复此方案中的问题。

可能的原因

将虚拟机还原到旧快照

找不到特定事件来确认此原因。 相反,可以检查日志中的跳转时间。 例如,如果发现系统事件查看器事件从 2 月跃升到 7 月,则这是可疑的。 在一台不断使用的计算机上没有数据的情况下,这几个月应该成为开始质疑的理由。

此外,还可以检查系统是否最近启动:

事件 ID 12 的屏幕截图。 

Event ID 12  
Log name: System  
Source: Kernel-General  
Description: The operating system started at system time 2024-08-24T19:15:58.500000000Z.

还可以检查运行时间。 如果虚拟机已还原到以前的快照,则运行时间将是最近的。 它也可能与所需的操作相关,不仅因为快照重新转换。

任务管理器中运行时间的屏幕截图。

注意

需要确认启动时间是否由所需重启计算机引发。 需要与用户通信才能确定计算机上执行的操作。

从裸机备份还原物理或虚拟机

此原因类似于上一部分中的原因。 第一步是与备份解决方案管理员检查是否有日志来确认受影响设备上的任何操作。

还可以检查日志中的跳转时间。 例如,如果发现系统事件查看器事件从 2 月跃升到 7 月,则这是可疑的。 在一台不断使用的计算机上没有数据的情况下,这几个月应该成为开始质疑的理由。

确认设备上是否有最近的运行时间。

从旧系统还原点还原计算机

可以调查指示系统还原发生的事件的系统和应用程序事件查看器日志(ID:1208 或 8202)

Log Name:      System  
Source:        Microsoft-Windows-StartupRepair  
Event ID:      1208  
Level:         Information  
User:          SYSTEM  
Description: Restored system to an earlier restore point.  

Log Name:      Application  
Source:        System Restore  
Event ID:      8202  
Level:         Information  
Description: Successfully restored system (Restore Operation).

意外关闭或停电

计算机启动后,会显示“恢复”屏幕,用户选择默认选项,即将计算机还原回最后一个系统还原点。 此外,如果 Windows Embedded 客户端在计算机密码更改后意外关闭,Regfdata 卷上的数据将丢失并还原到最后一个已知状态,例如,如果计算机断电或未完全关闭,则内部 HKLM\SECURITY\Policy\Secrets$machine.ACC 更改将丢失。

可以查找有关意外关闭或停电的事件(ID:41 或 6008)

Log Name:      System  
Source:        Microsoft-Windows-Kernel-Power  
Event ID:      41  
Task Category: (63)  
Level:         Critical  
Description: The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. 

Log Name:      System  
Source:        EventLog  
Event ID:      6008  
Description: The previous system shutdown at 9:03:23 AM on 6/28/2018 was unexpected.

使用共用桌面配置的虚拟桌面基础结构(VDI)计算机基于映像,当用户注销(也称为非持久性计算机)时还原到快照。

在某些 VDI 基础结构中,有一些服务将 Netlogon 作为依赖项。 在这种情况下,需要确认 VDI 基础结构中的服务未以避免安全通道操作的方式操作 Netlogon 服务。

此外,可能会从映像创建受影响的设备,并且计算机可以根据 Active Directory 上的内容输入具有过时数据的环境,其中包含有关安全通道值的数据。

此情况必须由 VDI 基础结构管理员处理。

解决方法

若要修复安全通道(或信任关系),请执行以下步骤:

  1. 使用域管理员凭据运行以下命令之一:

    • 在 Windows 命令提示符下:

      nltest /sc_reset:domain_name

    • 在 Windows PowerShell 提示符下:

      Test-ComputerSecureChannel -Repair -Credential *

  2. 重新启动计算机。