首先,我知道如何解决这个问题。但我真的很想知道为什么会出现这个问题???
我只看到一篇帖子说这个错误的原因可能是两台机器的系统时间不同。如果时间相差太大(比如 2 小时或更长时间),身份验证就会失败。
但我在工作中使用 ADServer,并使用来自新加坡和韩国的 PC。我认为这与系统时间无关。因为它通常可以正常工作。你知道为什么会出现这个问题吗?请详细回答。谢谢。
答案1
计算机帐户有密码。客户端计算机每 30 天发起一次密码更改(默认情况下,当然您可以在组策略中更改此设置)。如果在指定的时间过去后,客户端联系 DC 进行密码更改,并且由于某种原因(断电、网络连接丢失等)无法进行更改,则信任关系将丢失。您用于登录域的计算机无法再与其加入的域进行安全通信,因为由于某些通信丢失,计算机的密码设置与 DC 存储的密码不同。当您尝试使用域帐户登录时,它将无法验证您从 Active Directory 收到的 Kerberos 票证是否与其本地存储的私人机密一致。
是的,如果机器上的系统时间与 DC 上的系统时间不同步,您可能会遇到此错误。
典型的修复方法是将计算机重新加入域或删除计算机 AD 对象并重新创建它,但还有另一种方法。Powershell!
Reset-ComputerMachinePassword [-Credential <PSCredential>] [-Server <String>]
当然,使用能够更改计算机帐户密码的用户帐户运行此程序,并且-Server参数需要是 DC。