每隔一段时间,我就会遇到无法登录域的客户端 PC。今天早上,它告诉我们 PC 和域之间的信任关系失败了。我检查了主域控制器上的事件日志,发现 2 台 PC(出现问题的 PC 和今天可以登录的 PC)都出现了这种情况。
计算机设置的会话身份验证失败。安全数据库中引用的帐户名称为 。发生以下错误:访问被拒绝。
我知道如何解决这个问题,通过将 PC 重新加入域...但是为什么会发生这种情况,我该如何防止它,这样我就不必不断地将 PC 重新加入域?
答案1
加入域的计算机使用共享密钥管理其成员身份。基本上,域中的所有计算机都有自己的帐户密码,就像您的所有用户帐户一样。
不同之处在于计算机自己维护密码,无需您参与,您也看不到密码。计算机会定期更改密码,在计算机和 AD 计算机帐户对象上生成并更新新密码。
您看到的情况是,域中存储的密码与计算机认为有效的密码不同。这种情况可能由多种原因造成,但最常见的原因是:
- 从备份恢复计算机,并同时恢复无效密码
- 将计算机虚拟机恢复到最新密码更新之前拍摄的快照
- 将域控制器虚拟机恢复为快照或从备份中还原 DC 而不使用恢复模式,并导致USN 回滚场景(不要这样做!)
- 域上的复制错误导致域控制器的密码信息过期。
因此,要修复此问题,请留意与上述类似的问题。任何域或工作站可能最终出现过期或损坏的帐户密码的情况都会给您带来此问题。