故障现象:
l 加入域后的计算机用GHOST软件备份操作系统后,因某些原因30天后再进行GHOST还原,输入正确的域用户名密码后WINDOWS提示“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机帐户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助。”
故障分析:
l ad在设计的时候,为了保证client与dc之间安全的通信,要求client在加入域后,client的计算机账户需要定期与dc的计算机账户保持同步(这个期限默认是30天),也就是说,当client与dc发生验证动作的时候,其实是先用计算机账户去验证,然后才是用户账户验证(也就是输入用户名和密码)。那么,为什么要这么做呢?因为,用户名和密码是比较容易伪造的,如果在任何验证发生之前,先校验计算机账户的安全性,校验通过之后,再校验用户账户,那么整体验证的安全性就得到了保证,相对于用户账户,计算机账户就比较难以伪造。微软通过如下两个方法来保障计算机账户验证的安全:
其一、ad不允许任何用户模式下的程序或者用户模式下的交互动作,去干预或者设置计算机账户的同步(由这个同步动作建立的通道,微软称之为 security channel),其二、计算机账户将会关联计算机硬件信息,然后用形成计算机sid(sysprep的动作就是抽取了这部分信息)。
那么我们再重现一下您遇到的问题。您可能在将client加入域后,没有作sysprep,然后直接ghost。然后这台计算机启动登录到域,于是dc验证当前client,通过验证,随后与client计算机账户进行同步(这个动作对用户是透明的),好,这些都没有问题。过了一段时间,这段时间可能超过了30天,您使用之前的ghost进行恢复,然后再次尝试登录到域,dc验证当前计算机账户的时候,与ad中的那个计算机账户对比,发现已经超过了30天,那么出于安全考虑,认为该计算机账户是不可信任的(怕是伪造的),于是就给出一个错误信息“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机账户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”,在这种情况下,不是说dc有问题,而是说client的计算机账户有问题,请管理员出面解决。管理员该如何做呢?把ad中原来的计算机账户删除,然后将客户端重新加入域就可以了。那么30天的时间是否可以修改呢?是可以的,您甚至可以禁止这个同步动作,请参考http://support.microsoft.com/kb/154501/zh-cn、http://support.microsoft.com/kb/175468这种情形常见于移动办公,移动办公的域账户,脱离域的时间可能超过30天。
故障结论:
因此,利用GHOST备份操作系统宜在加入域之前操作。
4818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
