VB.Net+Android.java

思考,积累,前进

Windows无法与此域连接

以下内容来源:http://gnaw0725.blogbus.com/logs/5002289.html

 

Windows无法与此域连接:我公司只有一台DC,有很多同事用ghost恢复了系统后(备份系统时计算机已经加入了域,一般一两个月会恢复一下系统),进入域时就会出现:“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机帐户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助“
我想知道是什么原因导致这个问题的出现,说明一下,域控制器一直都是好的。

回答:

client一旦加入域之后,如果要使用ghost来恢复系统,那么需要这么做:
1、安装好client系统,安装完最新的补丁,也可以考虑安装一些基本软件。
2、针对现有系统开始执行sysprep ,关于操作步骤,请参考
http://support.microsoft.com/default.aspx?scid=kb%3bzh-cn%3b298491
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;302577
做这一步的目的,就是抽取硬件信息。做完之后,系统就会关机了。
3、对这台机器的引导区作ghost,以后恢复就用这个母盘恢复了。

Note:您会注意到上面的动作,并不是将client加入域之后再ghost,为什么呢?ok,下面我说一下您之所以遇到这个问题的原因:
ad在设计的时候,为了保证client与dc之间安全的通信,要求client在加入域后,client的计算机账户需要定期与dc的计算机账户保持同步(这个期限默认是30天),也就是说,当client与dc发生验证动作的时候,其实是先用计算机账户去验证,然后才是用户账户验证(也就是您输入用户名和密码)。那么,为什么要这么做呢?因为,用户名和密码是比较容易伪造的,如果在任何验证发生之前,先校验计算机账户的安全性,校验通过之后,再校验用户账户,那么整体验证的安全性就得到了保证,相对于用户帐户,计算机账户就比较难以伪造。

微软通过如下两个方法来保障计算机账户验证的安全:
其一、ad不允许任何用户模式下的程序或者用户模式下的交互动作,去干预或者设置计算机账户的同步(由这个同步动作建立的通道,微软称之为 security  channel),
其二、计算机账户将会关联计算机硬件信息,然后用形成计算机sid(sysprep的动作就是抽取了这部分信息)。

ok,那么我们重现一下您遇到的问题。您可能在将client加入域后,没有作sysprep,然后直接ghost。然后这台计算机启动登录到域,于是dc验证当前client,通过验证,随后与client计算机账户进行同步(这个动作对用户是透明的),好,这些都没有问题。

过了一段时间,这段时间可能超过了30天,您使用之前的ghost进行恢复,然后再次尝试登录到域,dc验证当前计算机账户的时候,与ad中的那个计算机账户对比,发现已经超过了30天,那么出于安全考虑,认为该计算机账户是不可信任的(怕是伪造的),于是就给出一个错误信息“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机帐户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”,在这种情况下,不是说dc有问题,而是说client的计算机账户有问题,请管理员出面解决。管理员该如何做呢?把ad中原来的计算机账户删除,然后将客户端重新加入域就可以了。

那么30天的时间是否可以修改呢?是可以的,您甚至可以禁止这个同步动作,请参考http://support.microsoft.com/kb/154501/zh-cn
http://support.microsoft.com/kb/175468/

这种情形常见于移动办公,移动办公的域账户,脱离域的时间可能超过30天。关于dc上不能使用还原卡或者使用ghost的问题,请参考http://gnaw0725.blogbus.com/logs/4888455.html

 

------------

http://bbs.winos.cn/thread-49217-3-1.html

网络回答:

  DNS没问题吧,我发现登录不了的计算机有的是直接从域里面消失掉。。有的没有。。。但是把网线拔了 输入密码可以登录。。再接入网线可以访问局域网内的机器。

网络回答:

  确实,我的环境里面也经常出现,而且是不定期的出现,所有的用户都登陆不了,只能登陆本机,然后退域在加域。  不过即使退域再加域都可能在出现,后来我把他的计算机名改了,在计算机名后面加上数字,比如1或者2.  这样就不在出问题了,我也觉得很怪。

网络回答:(本人采用此方法可以解决问题,域控最好设定一个固定IP,供内部网使用。)

  只能退到工作组 在加域一次(先在域上删除此计算机账号或则重置该计算机账号)
网络回答:
  用newsid这个小软件更改一下客户机的SID,然后再将客户机加入域,以后就不会出现这个问题了。
网络回答:
  之前碰到过一样的问题的,发现DNS里SRV记录全部丢失.后来在域控上添加netbios协议,并重启net logon服务.DNS里有了SRV记录,一切就正常了.
 
 

阅读更多
个人分类: 6.Win系统
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭