在 Windows VM 上,安装需要在域帐户下运行的服务时,我的域控制器拒绝验证我使用的域帐户。
从域中删除此虚拟机,然后重新添加它后,域控制器开始识别我在其下安装服务的域帐户。
这种情况通常发生在我将虚拟机回滚到某个以前的检查点时,尽管我确信在该检查点的日期我的虚拟机是该域的成员。
问题为什么回滚后身份验证会失败,直到我删除虚拟机并将其重新添加到 AD 域?
答案1
当 Windows 计算机加入 AD 域时,会在 AD 中创建一个计算机帐户。与用户帐户类似,此帐户有一个密码,尽管它由计算机管理,所以您通常不会意识到它,除非您了解 AD 的内部工作原理。
你的情况是这样的:
- 您在第一天拍摄了虚拟机的快照。此时,假设计算机帐户的密码是“pw1”。
- 第 10 天,您的计算机需要为其 AD 计算机帐户设置新密码。假设密码现在为“pw2”。
- 第 12 天,您回滚到第 1 天拍摄的快照。您的 VM 现在认为其计算机帐户密码是“pw1”。DC/s 认为其密码是“pw2”,突然一切都不再起作用了。
为了回答您的实际问题,当您从 AD 中删除 VM 然后重新添加它时,您实际上使 VM 和 DC 重新同步,计算机帐户密码现在在双方都相同,因此一切都恢复正常。