我最近重新安装了 Windows 7 Enterprise 的笔记本电脑,现在遇到了问题。当我尝试授予域用户对机器的本地访问权限时,计算机抱怨信任关系中断。
我已完成以下操作(两次,每次使用不同的名称),但并未解决问题:
- 作为域管理员,离开域并加入工作组:WORKGROUP。
- 重启。
- 作为域管理员,使用新计算机名称加入域。
- 重启。
- 作为域管理员,添加域用户作为本地管理员。
- 错误:“此工作站与主域之间的信任关系失败。”
这对我来说毫无意义。据我了解,上述过程是解决此问题的适当方法。
到目前为止,我遇到的其他症状包括:
客户端计算机显示无法访问域。同时,在服务器上,我看到来自 NETLOGON 的 EventID 5723:
The session setup from the computer [name_of_computer] failed because there is no trust account in the security database for this computer. The name of the account referenced in the security database is [name_of_computer]$.
加入域后无法通过主机名 ping 主机。离开域后,我可以正常 ping 主机。
nslookup [fqdn]为我的两个域控制器返回正确的值,并且nsloookup [DC hostname]也为域控制器返回正确的 IP。
我已检查 DNS 服务器是否已正确分配给客户端,事实确实如此。
我也不相信我有任何 WINS 服务器会发出错误的 NS 信息。两个域控制器都没有安装该角色(不过如果有人有确定的方法来检查 WINS 服务器,那可能会有帮助)。
有人能提供一些进一步的故障排除步骤吗?
答案1
您的下一个故障排除步骤是检查 DC 事件日志中是否有任何有用的信息,然后您需要弄清楚为什么计算机无法“访问域”。
您可能想要反转它们的顺序,它们可能会将您引导到相同的位置,但在 EventLog 中查找错误通常比排除网络故障更容易,这就是为什么我建议从那里开始。
顺便说一句,如果计算机无法“访问域”,您如何才能将其加入域?在我看来,它没有正确加入域,这就是信任关系仍然中断的原因。说实话,我以前没见过这种情况……但您可以在加入域时尝试更改其名称以测试这个想法。查看名称是否在 ADUC 中更改(并查看它是否在所有 DC 上更改 - 也许存在复制问题,导致域无法识别新的计算机帐户)。当您在那里时,您可能需要检查并确保在“重新加入”时创建的各种计算机帐户确实显示在 AD 中。我敢打赌他们没有。
答案2
由于加入域后甚至无法 ping 通,因此问题出在网络堆栈的某个地方,与信任关系本身无关。(这意味着信任关系错误的常规故障排除步骤(例如重新加入域)不适用。)
我敢打赌,Windows 防火墙域设置有问题。要确认这一点,请关闭 Windows 防火墙 (简要地!),看看是否能 ping 通。如果能,请检查设置,或尝试使用 Windows 防火墙控制面板中的“恢复默认值”选项。
答案3
您是否选中了“当域成员身份发生变化时更改主 DNS 后缀”复选框?
答案4
- 更新本地工作站 NIC 上的驱动程序
- 然后删除计算机退出AD刷新
- 然后重新添加到域...
如果这不起作用,接下来检查 GPO。