-)重装系统后无法通过域身份验证,即使计算机名相同。因为新安装的系统会生产新的SID。
-)使用备份还原的系统无法通过身份验证。默认计算机会每30天更改一次密码,而AD会记录当前和上一个密码。也就是说,如果系统是从60天以前的备份中还原的,
那么计算机 就无法通过域身份验证。
-)计算机的LSA密文(计算机会以本地安全机构 Local Security Authority 密文的形式保存密码 )与域中保存的密码不一致。
-)计算机和域之间的信任关系丢失。登陆时会有提示。
-)AD中的计算机账户丢失。
解决方法:
最后一种情况,需要重新创建计算机的域账户。
如果是其他的情况, 不要直接删除并重新创建计算机的域账户,这样再计算机加入域后会生成新的SID,这样也会丢失原有的组成员关系。
正确的做法是——重置账户:
-)”AD用户和计算机管理单元“ 重置账户——右键“计算机”账户;选择“重置账户”;然后使计算机重新加入域并重启。
-)“dsmod” 命令重置账户—— dsmod computer “计算机的DN” -reset ;然后使计算机重新加入域并重启 。
-)“netdom” 命令重置账户—— netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password | *} 。
其中提供的凭据是计算机本地 Administrators 组的凭据。该命令是通过重置计算机和域密码的方式尝试重置安全通道,无需重启。
-)“nltest” 命令重置账户—— nltest /server:ServerName /sc_reset:DOMAIN\DomainController 。该命令与netdom的重置方式相同。
实际生产环境中,应该优先尝试 “netdom” 和 “nlset” 方式重置密码。