工作站与域控制器失去信任的原因是什么？

你可能已经知道这个，但请耐心听我说。
计算机在AD中也有密码，就像用户一样。我们不知道计算机的密码，它会通过内置逻辑定期更改。
简单来说，计算机的密码不再有效，因此AD不再信任这台机器进行登录。
为什么？怎么回事？有很多原因会导致这种情况发生。某些因素可能干扰了密码更改过程，或者导致机器恢复到旧密码。可能的罪魁祸首包括：
- 从备份中恢复。 - 关机时间过长导致密码过期，然后出现网络问题。 - 偶发的网络问题与时机不佳。 - 病毒、恶意软件等。 - 还有其他我暂时没有想到的原因。
希望对你有所帮助。

延伸Katherine的回答：
如果工作站的帐户被覆盖，它将失去与域控制器的信任。在具备适当权限的情况下，完全可以添加一个已经存在于域中的计算机，但这将导致先前使用该名称的计算机失去与域控制器的信任。

一个可能的原因是时钟漂移。如果工作站的时钟与服务器的时钟相差超过5分钟，它将失去与域的连接。这可能是由于不稳定的硬件，或者系统长时间关机，或者笔记本电脑经常离开网络等原因引起的。

AD计算机密码过程（在此处记录）并没有发生太大变化，也绝对不是破坏schannel问题的根本原因。（事实上，是客户端更改密码，并且密码不受密码过期策略的限制。现在取决于客户端操作系统的情况才会变得有趣。导致锁定的一个原因是XP。如果是XP及以下版本，客户端将更改其密码，然后尝试将新密码传递给DC。在Windows 7或更高版本中，客户端只有在与DC建立连接后才会尝试更改密码。域复制问题可能会导致schannel失败。最常见的原因是重新映像系统时重复使用相同的名称。时间同步问题也可能导致schannel出现问题，在大多数情况下，您可以通过启用netlogon日志记录（链接：https://support.microsoft.com/en-us/kb/109626）并检查日志来评估发生了什么导致schannel设置失败。未能进行sysprep映像似乎也会引起问题（我还没有完全弄清楚原因，但是解决该问题的方法似乎总是离开域并重新加入）。

另一种方法是使用ADUC并重置计算机帐户（如果它与域不同步），只需右键单击计算机名称，然后选择“重置帐户”（大约80%的情况下，这将解决您的问题）。

“为什么”是因为在Microsoft Windows 2003中，他们扩展了他们的目录实现，包括强制工作站每30天左右重置密码。我很了解这个问题，当时它破坏了我维护的许多SAMBA安装。
通常情况下，密码重置都是自动完成的，但我见过很多情况下这种设计无法正常工作。当我关闭笔记本电脑一段时间后，然后尝试使用非缓存账户登录，无论我使用哪个2000年后的Microsoft操作系统，我都会立即收到错误消息。
因此，在这种设计失败的情况下，保持网络透明运行的最简单方法是修改或关闭域级别的策略设置：组策略/Windows设置/安全设置/本地策略/安全选项，然后查找： 域成员：最大机器帐户密码年龄 域成员：禁用机器帐户密码更改
希望这对你有所帮助。