¿Qué causa que una estación de trabajo pierda confianza con el controlador de dominio?


Respuestas:


32

Probablemente ya lo sepas, pero ten paciencia conmigo.

Las computadoras tienen contraseñas en AD, al igual que los usuarios. No conocemos la contraseña de nuestra computadora, y cambia regularmente a través de la lógica incorporada.

La respuesta breve es que la contraseña de la computadora ya no es válida y, por lo tanto, AD ya no confía en esta máquina para iniciar sesión.

¿Por qué? ¿Cómo? Muchas cosas causan esto. Algo interfirió con el proceso de cambio de contraseña o causó que la máquina volviera a una contraseña anterior. Los posibles culpables incluyen:

  • Restauración desde respaldo.
  • Se apaga el tiempo suficiente para que caduque la contraseña, seguido de problemas de red.
  • Problemas generales de la red intermitente con mal tiempo.
  • Virus, malware, etc.
  • Más cosas que no me están ocurriendo en este momento, probablemente.

Espero que eso ayude.


44
En realidad no lo sabía. Gracias por explicarlo. Y sí, ayuda.
leeand00

1
La falla de cambio de contraseña realmente no afecta las fallas del canal seguro. Tendría que pasar 60 días de forma predeterminada para que ese sea el problema. Sin embargo, restablecer la contraseña resolverá el problema (al menos con el DC con el que se está autenticando).
Jim B

9

Extendiendo la respuesta de Katherine:

Una estación de trabajo perderá confianza con el controlador de dominio si se ha sobrescrito su cuenta. Es completamente posible (con los permisos correctos) agregar una computadora con un nombre que ya existe en el dominio, pero esto hará que la computadora que anteriormente se conocía como ese nombre perdiera confianza con el controlador de dominio.


3

Una razón puede ser la deriva del reloj. Si el reloj de la estación de trabajo se aleja más de 5 minutos del servidor, perderá la conexión con el dominio. Esto puede provenir de hardware defectuoso, o cuando el sistema está apagado durante un tiempo bastante prolongado, o, a veces, cuando una computadora portátil a menudo está lejos de la red, etc.


Interesante. Voy a ir con hardware escamoso.
leeand00

2

El proceso de contraseña de la computadora AD (documentado aquí) no ha cambiado mucho y ciertamente no es la causa principal de los problemas de canales dañados. (de hecho, es el CLIENTE el que cambia la contraseña y la contraseña está exenta de la política de caducidad de la contraseña. Ahora, dependiendo del sistema operativo del cliente es donde las cosas se ponen interesantes. 1 razón para el bloqueo es XP. Si es XP y por debajo del cliente cambiará, es contraseña - y luego intente comunicar la nueva contraseña al DC. En 7 o superior, el cliente no lo intentará hasta que tenga una conexión a un DC. Los problemas de replicación del dominio pueden causar fallas en los canales. La causa más común es la reimpresión de un sistema donde se reutilizó el mismo nombre. Los problemas de sincronización de tiempo también pueden causar problemas con schannel, y en la mayoría de los casos puede evaluar lo que sucedió (si así lo desea) al habilitar el inicio de sesión de netlogon (https://support.microsoft.com/en-us/kb/109626 ) y examinando los registros de por qué el schannel no se pudo configurar. El hecho de no poder realizar una sysprep de una imagen también parece causar un problema (no he descubierto exactamente por qué, pero una separación y reincorporación siempre resuelve el problema)


1

La otra forma sería usar ADUC y restablecer la cuenta de la computadora (si simplemente no está sincronizado con el dominio) simplemente haga clic derecho en el nombre de la computadora y seleccione "Restablecer cuenta" (aproximadamente el 80% del tiempo esto solucionará su problema )


1
Esto realmente no responde a la pregunta original. Preguntó por qué, no cómo solucionarlo.
Katherine Villyard

1

El "por qué" es que en Microsoft Windows 2003 ampliaron la implementación de su directorio para incluir la obligación de que las estaciones de trabajo restablezcan sus contraseñas cada 30 días más o menos. Lo sé bien, rompió muchas instalaciones de SAMBA que mantenía en ese momento.

Normalmente, este restablecimiento de contraseña es todo automático, pero he visto muchos, muchos casos en los que este diseño simplemente no funciona. Cuando apago una computadora portátil por un tiempo, luego trato de iniciar sesión con una cuenta no almacenada en caché, inmediatamente recibo ese mensaje de error sin importar qué sistema operativo Microsoft post 2000 use.

Entonces, la forma más fácil de mantener una red funcionando de manera transparente en esta situación diseñada en modo de falla es modificar o desactivar esa configuración de políticas en el nivel de Dominio: Políticas de grupo / Configuración de Windows / Configuración de seguridad / Políticas locales / Opciones de seguridad, luego busque: Miembro del dominio: antigüedad máxima de la contraseña de la cuenta del equipo Miembro del dominio: deshabilitar los cambios de contraseña de la cuenta del equipo

Espero que esto ayude.


1
Vuelva a leer la pregunta del OP. Su enfoque para abordar el síntoma es anecdótico y no responde la pregunta. Los sitios de SE no son foros comunes. Por favor considere la gira
jscott
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.