和许多人一样,我的网络一直收到可怕的“此工作站与主域之间的信任关系失败”错误。我将计算机从域中移除,更改计算机名称后将其重新加入域,一切恢复正常。我有一个 2008 R2 DC,如何防止这种情况发生?是否有我可以推送的组策略或脚本?
答案1
出现这种情况有几个常见原因。
具有重复名称的计算机已加入域。这将导致原始计算机与域不再具有信任关系,因为其计算机帐户现在实际上是具有重复名称的新计算机的帐户。
时间同步搞砸了。如果时间相差超过 5 分钟,您将无法登录。Kerberos 依赖于客户端和服务器上至少大致相同的时间。确保拥有 PDC 模拟器角色的 DC 设置为可靠的时间源,并且您的所有其他 DC 都从其同步。还要确保没有通过 GPO 或本地策略为您的客户端配置备用时间源。客户端应从登录服务器同步时间。
计算机帐户已重置或密码不同步。计算机像用户一样登录 AD,并且他们有一个密码。此密码会在后台定期更改。如果您遇到复制问题,并且计算机在一个 DC 上更改密码,然后尝试登录另一个 DC,并且由于某种原因复制失败,则您的计算机将不被信任登录,因为客户端和登录服务器之间的计算机密码不同。
当然,还有其他极端情况会导致这种情况发生。这些是最常见的情况,也是故障排除的起点。没有脚本、GPO 或魔法仙尘可以撒,因为没有普通的发生这种情况的原因。
答案2
如果这种情况屡见不鲜,您需要追查根本原因,确定是什么破坏了信任关系。没有神奇的政策或脚本可以为您做到这一点。
您需要确保不是某些脚本或其他管理员从域中删除这些机器,这些机器没有被“墓碑化”,并且您的 AD 是健康的(dcdiag 等)。换句话说,您的基本 AD 管理/故障排除步骤。