客户机长时间不登陆域服务器导致的问题

 [ 来自:gnaw0725管理日志 ]
服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下:
在域中总是会有计算机由于某种原因,导致计算机账户的密码无法和lsa secret同步
系统会在计算机登陆到域的时候,提示已经丢失域的信任关系。

日志大致如下:
Event ID: 5
Source  NETLOGON
Type   Error
Description   The session setup from the computer TEST_COMP1 failed to authenticate. The name of the account referenced in the security database is TEST_COMP1$. The following error occurred: Access is denied.

察看了kb175468 Effects of Machine Account Replication on a Domain 了解了有可能导致这一现象的原因
察看了kb154501 How to disable automatic machine account password changes 知道了如何停止这一同步
察看了Q216393 Resetting computer accounts in Windows 2000 and Windows XP 和KB260575 HOW TO:使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码

但似乎即便到出现问题的工作站上执行了netdom,也无法再次让这个同步回复正常。只能reset this computer account in active diretory,然后rejoin domain。
 
我的解决办法是:
先使用本地管理员账户连接到工作站(此时,由于丢失了和域的信任关系,domain admins 无法登陆到工作站),nslookup确认dns解析的正常。确认dns 后缀是否正确。
然后使用gpresult 察看,最后一次是哪一台dc验证了此工作站的登陆。net time /querysntp 察看时间服务是否指向正确位置,如果没有特别指定,应该是登陆的那台dc。
再次到那台dc上,使用该命令确认是否指定了时间源,如果域中没有设置time server,那么可以将时间源指向自己,如果是子域可以指向root。
最后把此工作站重新加域。
 
由于这样的问题一直没有得到官方的答案,特地询问了微软的工程师,陆续的回答中我做了一些整理如下:
通常情况下,我们建议客户采取下面的措施:

1 不要在客户机上长时间不登陆域。
2 把客户机从域中移走时,尽量先移到工作组中,而不是直接重装。否则要注意删掉相应的机器帐号。
3 域中的机器时间要同步。
4 把客户机加入域之前,确认域中没有其他同名的机器帐号。
 
同时您可以尝试下面的命令:

netdom reset computername /domain:domainname /server:servername /userO:computername/administrator /passwordO:*

然后在提示时输入computername本机管理员的密码。但是如果您现在并不能用域用户登陆computername,那么意味着安全通道已经无法建立,这样做就可能没有用。

对于Netdom.exe 和 Nltest.exe 工具而言,它们是用来重置已经建立好的安全通道同时同步计算机帐户的密码。如果安全通道已经断掉,通讯不正常了,就不能用这些工具了。我们需要在客户端重新加入域或者运行Network Identification Wizard (在系统属性里)重建安全通道。

这在Q216393 Resetting computer accounts in Windows 2000 and Windows XP 中同样提到:
These tools allow for remote and non-remote administration. Netdom.exe and Nltest.exe are command-line tools that reset a successfully established security channel. You cannot use these tools when the security channel is broken, and communication is not working correctly.
后面我查到kb中还有一个关于此问题的论述:
如果确实有固定的机器是频繁的发生这种事情,可以修改本地计算机注册表禁止计算机和dc之间的这个定期的密码同步动作。
方法可以参考:Q154501 How to disable automatic machine account passwordchanges
地址在http://support.microsoft.com/default.aspx?scid=kb;EN-US;154501
如果您需要进一步了解计算机帐户与域控制器密码同步的问题,可以参考 http://support.microsoft.com/default.aspx?scid=kb;en-us;810977
 
至此,这个问题应该算是定论了!如果有朋友仍然有自己的看法和建议,欢迎提出来大家讨论一下!

陆域服务器问题,慢死了!

07-26

都是2003的环境,采用域管理模式。rnrn现象:rnrn开始,整个系统都很正常,那时还没有SP1rnrn现在:我的工作站(2003)升级到SP1后,依然正常,AD升级到SP1后也正常rnrn调整:重新安装了工作站(2003)后,登陆AD就慢了。首先是启动中“应用计算机设置”要很久,接着是“应用个人设置”也要很久。这两个问题还能忍受(大不了出去凉快会),更烦人的是:在QQ、RAR、资源管理器(文件夹窗口)之间进行文件拖放的时候,要等很久(表现为拖放源位置的鼠标显示为禁止状态),但只要拖放了一次后再拖放就OK了;此外,打开IE的时候,也会有近1分钟的时间等待。以上问题,CPU、内存的占用都低。rnrn分析:开始以为是安装了什么软件导致的冲突的,在卸载了相关可疑的软件甚至SP1后,问题依然。由于系统在启动的过程中有错误,想可能是域导致的,把工作站从域中删除,以上问题都不存在了。问题就肯定是在域上了。rnrn求助:如何解决这个问题?不能没有域。rnrn系统启动日志:rnrn事件类型: 错误rn事件来源: NETLOGONrn事件种类: 无rn事件 ID: 5719rn日期: 2005-7-26rn事件: 10:21:42rn用户: N/Arn计算机: DAVIEWrn描述:rn此计算机无法与域 BCENTER 中的域控制器建立安全 会话,原因如下: rn目前没有可用的登录服务器处理登录请求。 rn这可能导致身份验证问题。请确定此计算机 连接到网络。如果问题持续存在,请与您的 域管理员联系。 rnrn其他信息 rn如果此计算机是指定域的域控制器,它建立 到指定域的主域控制器仿真器的安全会话。 否则,此计算机建立到指定域中任一域控制器的 安全会话。rnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rn数据:rn0000: 5e 00 00 c0 ^..À rnrn--------------------------------------------------------------------------------------rnrn事件类型: 错误rn事件来源: W32Timern事件种类: 无rn事件 ID: 29rn日期: 2005-7-26rn事件: 10:21:47rn用户: N/Arn计算机: DAVIEWrn描述:rn时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 15 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。rnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrn-------------------------------------------------------------------------------------rnrn事件类型: 错误rn事件来源: Userenvrn事件种类: 无rn事件 ID: 1053rn日期: 2005-7-26rn事件: 10:26:07rn用户: NT AUTHORITY\SYSTEMrn计算机: DAVIEWrn描述:rnWindows 不能确定用户或计算机名称(指定的域不存在,或无法联系。 )。组策略处理中止。rnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrn

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试

关闭