你可能已经知道这个,但请耐心听我说。计算机在AD中也有密码,就像用户一样。我们不知道计算机的密码,它会通过内置逻辑定期更改。简单来说,计算机的密码不再有效,因此AD不再信任这台机器进行登录。为什么?怎么回事?有很多原因会导致这种情况发生。某些因素可能干扰了密码更改过程,或者导致机器恢复到旧密码。可能的罪魁祸首包括:- 从备份中恢复。 - 关机时间过长导致密码过期,然后出现网络问题。 - 偶发的网络问题与时机不佳。 - 病毒、恶意软件等。 - 还有其他我暂时没有想到的原因。希望对你有所帮助。
AD计算机密码过程(在此处记录)并没有发生太大变化,也绝对不是破坏schannel问题的根本原因。(事实上,是客户端更改密码,并且密码不受密码过期策略的限制。现在取决于客户端操作系统的情况才会变得有趣。导致锁定的一个原因是XP。如果是XP及以下版本,客户端将更改其密码,然后尝试将新密码传递给DC。在Windows 7或更高版本中,客户端只有在与DC建立连接后才会尝试更改密码。域复制问题可能会导致schannel失败。最常见的原因是重新映像系统时重复使用相同的名称。时间同步问题也可能导致schannel出现问题,在大多数情况下,您可以通过启用netlogon日志记录(链接:https://support.microsoft.com/en-us/kb/109626)并检查日志来评估发生了什么导致schannel设置失败。未能进行sysprep映像似乎也会引起问题(我还没有完全弄清楚原因,但是解决该问题的方法似乎总是离开域并重新加入)。
“为什么”是因为在Microsoft Windows 2003中,他们扩展了他们的目录实现,包括强制工作站每30天左右重置密码。我很了解这个问题,当时它破坏了我维护的许多SAMBA安装。通常情况下,密码重置都是自动完成的,但我见过很多情况下这种设计无法正常工作。当我关闭笔记本电脑一段时间后,然后尝试使用非缓存账户登录,无论我使用哪个2000年后的Microsoft操作系统,我都会立即收到错误消息。因此,在这种设计失败的情况下,保持网络透明运行的最简单方法是修改或关闭域级别的策略设置:组策略/Windows设置/安全设置/本地策略/安全选项,然后查找: 域成员:最大机器帐户密码年龄 域成员:禁用机器帐户密码更改希望这对你有所帮助。