★前面有讲到域控制器与域客户机之间失去信任关系会导致不能登录域

为什么不能登录域呢?因为该客户机已经脱离域中,当然就不能够登录到域中

★计算机有重名-----或者该计算机被disabled或者被删除

DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新

DNS开启了安全动态更新,老化时间又过长,在第一台机器开机更新后,注册了一个IP地址,而他关机后,这个IP地址给另外一台机器用,另外一台机器开机了,因为老化时间未到,以及没有清理过时的记录,这个电脑又注册了这个ip地址,就造成了2个名称注册一个A记录

★保证客户端时间应与域控制器时间同步

★是否为ghost机器---是否为克隆机器----SID均一样

查看电脑SID与域SID的方法-----注册表

HKEY_LOCAL_MACHINE-------SAM------SAM---Domain-----Builtin-

-----Aliases-----Members------查看SID

客户端加入了域时,RID角色的域控制器会分配给客户端一个对象的SID(域SID+RID)
如果不是人为的操作,SID一般是不会改变的。除非重新加入域,才会改变客户端的SID。

sysprep.exe,可用于重新生成SID,运行sysprep.exe,重新封装计算机,完成后重新加入域

★计算机超过30天没有登陆过域,导致安全通道密码发生变化需要重置安全通道密码

域客户端和域控制器信任关系丢失,断线登录使用的凭据

windows系统的电脑有一个电脑账户密码历史记录machineaccountpasswordhistory为了让windows系统的电脑登录域,这台电脑必须要与预控建立一个安全通道用来身份验证,客户端电脑上的netlogon服务会使用这台客户端的电脑账户machineaccount和一个相关密码去建立安全通道,如果这个计算机账户密码和LSA不同步,那么这台电脑将无法链接到域

默认计算机账户密码30天会变更一次,

解决方法:

1、将这台有问题的电脑退域,重新加域

2、配置组策略:禁止修改计算机账户密码

组策略路径:computerconfiguration\policies\windowssetting\securitysetting\localPolicies\securityoptions\disablemachineaccountpasswordchanges

目前客户端如果与域控的安全通道被损坏的话,退域加域是最好的解决方法

这个hotfix补丁可以打在出问题的客户端上。对于这个hotfix,您需要先对安全通道已经破坏的客户端电脑进行退域再加域,然后再安装这个hotfix以预防类似的问题发生。

工作站和主域控制器之间的安全通道出现了问题所导致的,我们可以通过重置这连个安全通道来解决此问题,在DC上运行:netdomreset计算机名/domain:域名

Windows2000和WindowsXP中重置计算机帐户

http://support.microsoft.com/kb/216393/zh-cn

作为域成员的每一台工作站或服务器,他们都与域控制器有一个离散的通信通道,该通道称之为安全通道

安全通道的密码和计算机的账户一起存储在所有的域控制器上,对于工作站,默认计算机账户密码的更换周期为30天,如果因某种原因导致计算机账户的密码和lsa机密不同步,netlogon服务就会记录下面一条或者两条错误信息:

从计算机domainmember设置的会话无法验证,安全数据库中引用的账户名称是domainmember$

netlogon事件ID3210

无法用域domain的windowsNT域控制器\\domainDC进行验证

当密码不同步时候,域控制器上的netlogon服务将记录netlogon事件5722:从计算机%1设置的会话无法验证,安全数据库引用的账户名称是%2

重置计算机账户的四种方法

:使用netdom

使用nltest