有时我的计算机随机显示错误消息“此工作站与主域之间的信任关系失败。”。
几分钟后,无需执行任何操作,我就可以再次完美登录。
无论我以普通用户还是域管理员身份登录,它都会给我一个错误消息,过一会儿,它会自动让我再次登录。
为什么会发生这种情况?
答案1
根据我的经验,这种情况的正常原因是 DNS/DHCP 问题
当计算机在域中启动时,它会发送广播来查找其 AD 站点以及该站点内要连接的 DC。
当为计算机提供了 DC 时,它必须根据 DC 记录检查其 SID 和计算机帐户密码,以证明该计算机就是它所声称的那台计算机,而不仅仅是同名的随机计算机(任何人都可以将计算机命名为“mymachine1” - 但这并不意味着它就是您的域成员)。
如果您的主 DNS 无法执行 DC 查找,则可能会导致延迟(即计算机帐户未通过身份验证),此消息会显示这些延迟。同样,如果由于多跳或 DHCP 服务器可用性问题导致 DHCP 请求耗时较长,也会出现同样的症状
造成这种情况的其他原因可能是 DC 复制问题、机器长时间脱离域(关闭)或客户端或 DC 上的 RPC 不可用。
通常,如果您给它时间,它会再次工作,原因是如果发生故障,机器会在随机的短时间内再次尝试。如果您的 DHCP 地址已收到、DNS 客户端已配置并连接到 dc 等 - 检查将完成,然后您的机器将准备好登录。
- 首先 - 确保您的所有 DNS 都已正确设置。理想情况下,您的 DNS 将驻留在您的 DC 上,并将与 AD 一起复制。而您的客户端将向 DC 寻求 DNS。
- 如果您有多个 DC,请检查您的机器每次登录哪个 DC,以帮助缩小搜索范围。
- 尝试手动输入已知良好的 DC 作为此计算机上的主 DNS 服务器
- 检查所有 DC 上此计算机的 AD 对象版本,以排除复制问题
- 手动复制您的 DC,以确保所有站点链接均正常运行
- 检查静态 IP 是否仍然存在问题
- 尝试 PowerShell 命令
Test-ComputerSecureChannel –credential (Get-Credential) –Repair(在 powershell 中以管理员身份运行并授予其管理员凭据) - 尝试将计算机脱离/重新加入域
- 检查此机器上的所有组策略是否正确处理(通过 GPO 为其提供时髦的壁纸以确保其处理)
- 重新映像/重建机器是否超出范围?
希望这里的内容可以为您提供一个起点。