今天早上我醒来接到一个电话,说办公室里的许多(但不是全部)电脑无法访问其网络共享。这些电脑在登录时也遇到了问题。
错误消息基本上是这些电脑已经失去了与域控制器的信任关系。
一些 PC 会随着时间的推移随机恢复,我们需要通过重新启动和等待等方式进行恢复。
我不知道这里到底发生了什么。我们有一间小办公室 - 10 台电脑,大部分运行 Vista,还有一台 Windows 2003R2 服务器。过去几周一切都运行良好,没有任何值得一提的变化。
更新:检查日志后,发现我的网络拓扑有问题。本地服务器 PDC 上的日志没有结论。但客户端机器的日志中充斥着错误,这些错误都指向另一台服务器的 Kerberos 问题。原来我们有一个运行 Win2003 Server 的卫星办公室,该服务器实际上应该与本地办公室没有任何关系,除了备份复制服务。但由于某种原因,与卫星服务器的信任关系中断了,我的客户以某种方式使用它进行身份验证和 Kerberos 票证。显然,这超出了我的能力范围(我们将系统管理外包),必须找人来查看。
答案1
我强烈建议检查本地 2K3 服务器上的系统、应用程序和安全日志(假设它也是您的 DC?)如果不是您的 DC,请检查本地计算机以查看它们针对哪个 DC 进行身份验证。检查本地计算机上的日志,这可能会对问题有所启发。
前一天晚上对域或本地网络进行了任何更改吗?通过中心位置部署了任何远程软件,例如 Altiris 等?首先,由于不了解您的网络,我建议有人或某事更改了您的域,但可能没有完全复制到您的办公室。或者,完全出错了。
另外,检查复制、全局目录状态等。如果重新启动“将它们带回来”,听起来可能只是您的机器找不到要进行身份验证的 DC 等情况。
您可以分享有关域/网络设置的更多信息或详细信息吗?
答案2
这些 PC 是否已加入域?如果已加入,请验证其时间是否设置为与服务器相同。
答案3
微软有一个荒谬的假设,即 DC 总是可以相互通信。如果您在卫星办公室有一个 DC,并且链接在错误的时间断开,则 Kerberos 密钥将不同步,并且您的客户端也可能不同步。修复这个问题非常麻烦,我们不得不向微软打来支持电话。在我们的案例中,修复后,我们设置了一个组策略来防止 Kerberos 密钥更改。
通过以下方式执行此操作:
Computer Config -> Windows Settings -> Security Settings ->
Local Policies/Security Options -> Domain Member ->
Domain member: Disable machine account password changes = Enabled
据说这会降低安全性(以防有人截获你的 Kerberos 密钥并破解它),但我个人认为这不是一个很大的风险。
醒来发现办公室无法登录才是更大的风险。