相信大家都碰到過這個問題,某個用戶出差,連同已加域的筆記本一起帶出,時間較長,回來之後,我們常常發現該用戶的計算機已經無法登陸域,錯誤提示通常爲:此工作站和主域間的信任關係失敗(長時間不使用或脫離域環境的電腦也會碰到這個情況),常見的解決辦法就是退出域再重新加入,如果這種情況多的話,每次這樣操作都比較麻煩,那麼我們如何從根本上解決這一問題呢?
首先要知道這個問題形成的原因,先來看看微軟的官方解釋:
默認情況下,在一個域環境中,爲了保證賬號的安全,在默認域策略中設置了“最長密碼有效期”。域客戶端即使在脫機的情況下,依然會受這條Group Policy的限制。當密碼到期前的14天開始,該筆記本會提示用戶更改密碼,但由於無法連接到域控制器,所以密碼無法修改成功。一旦超過了這個期限,該域賬號將被鎖定,用戶將無法再次登陸系統。
每個基於windows系統的電腦都有一個電腦賬戶密碼歷史記錄(machine account password history), 爲了讓這臺windows系統的電腦登陸域,這臺電腦必須要與域控建立一個安全通道以用來身份驗證。客戶端電腦上的Netlogon服務會使用這臺客戶端的電腦賬戶(machine account)和一個相關密碼去建立安全通道。 如果這個計算機帳戶密碼和LSA不同步,那麼這臺電腦將無法連接到域,會有錯誤提示:此工作站和主域間的信任關係失敗。也就是說此時安全通道已經壞掉了。(默認計算機帳戶密碼30天會變更一次)
解決方法:
一、在DC上運行gpmc.msc,在需要設置的GPO上右鍵編輯,依次展開計算機配置→策略 →Windows設置→安全設置→本地策略→安全選項,找到:
域成員: 計算機帳戶密碼最長使用期限 (默認30天,設置長一點)
域成員: 禁用計算機帳戶密碼更改 (設爲已啓用)
域控制器: 拒絕計算機帳戶密碼更改(設爲已啓用)
二、在計算機配置→策略 →Windows設置→安全設置→帳戶策略→密碼策略,找到密碼最長使用期限,默認爲42天,建議這裏修改爲與計算機帳戶密碼最長使用期限一致。