我在域 DOM1 上有一个 Windows Server 2012 域控制器,该域在 Windows Server 2008 R2 域和功能级别上运行。DOM1 中的所有其他域控制器都是 2008 R2。DOM1 与另一个域 DOM2 具有双向非传递信任,该域在 Windows Server 2003 林和功能级别上运行。
DOM1 上有一台 Windows 7 计算机,与域控制器位于同一 LAN 上。当拥有 DOM2 中帐户的用户尝试登录此计算机时,他们会收到以下错误:
服务器上的安全数据库没有此工作站信任关系的计算机帐户。
当我关闭 2012 域控制器的电源时,错误不再出现,用户可以登录。当我重新打开 DC 时,用户会收到错误。
昨天我打开了 DC,将 Windows 7 计算机从 DOM1 中分离出来,然后重新加入。然后用户就可以登录了。然而,今天用户再次收到错误。我关闭了 DC,用户就可以登录了。
我注意到,将 Windows 7 机器重新加入域后,计算机帐户在 AD 中显示为已禁用。
同一位置的其他几台计算机也出现错误,但是大多数没有。
以下是我的问题:
Why does the error occur only when the 2012 DC is on?
How is the user able to log into the Windows 7 machine even if the computer account is disabled?
答案1
为什么只有2012 DC开启时才会出现错误?
因为计算机正在连接到 Windows 2012 域控制器,而该域控制器没有它的记录。这表明该域控制器与其余域控制器之间存在 Active Directory 同步问题。
即使计算机帐户被禁用,用户如何仍能登录 Windows 7 机器?
可能是缓存的凭据允许用户绕过域检查,或者可能是计算机正在检查的域控制器上的帐户未被禁用。
无论哪种方式,您都希望尽快纠正不同步的域名 - 这种情况持续的时间越长,情况只会变得越来越糟,越来越难以处理。
答案2
即使计算机帐户被禁用,用户如何仍能登录 Windows 7 机器?
对于这部分,请尝试从计算机上拔下物理 LAN 电缆,然后尝试使用常用凭据再次登录。缓存密码应该仍然可供您登录,但是当您登录时,您仍然需要在该计算机上重新加入域,否则在您重新启动计算机并重新插入 LAN 电缆后,情况仍会一样。