none
此工作站和主域间的信任关系失败 RRS feed

  • 问题

  • 【问题描述】:登录新加入域的机器报:此工作站和主域间的信任关系失败

    【处理过程】:

    以下是对这几种情况的简要解释及应对措施:

    • 机器账号密码更新失败

    默认情况下,每隔30天机器密码会自动更新一次。在需要更新密码时,客户端会尝试去联系域控,如果一直没能联系到域控,就会造成密码更新失败。这时由于在AD中的那份机器密码已过期,客户端又不能成功更新密码,就会发生掉域问题。

    为预防这种情况,我们可以在Default Domain Policy中设置停止机器账号密码改变。这条组策略的具体路径为:Computer Configuration\Policies\Security Settings\Local Policies\Security Options\Domain Member: Disable machine account password changes

    • 机器账号在AD中被意外删除

    请在AD中检查有问题的机器账号是否存在。

    • 机器账号有重复的SIDSPN

    这常常是由于从同一个镜像安装多台客户端引起的。如果由这个原因导致,常规的退域再加域可能解决不了问题。为了确认是否由这个问题引起,我们常常需要运行以下命令导出domain partitionSID/SPN进行重复性检查。
    ldifde -f C:\domain.txt -d "dc=domaindnsname"

    • AD复制问题。

    比如客户端在本站点的域控上成功更新了密码,但由于AD复制原因,所更新的密码没有复制到其他站点预控上。这时,如果客户端本站点域控不可用,在联系远端站点预控做验证时就有可能发生验证失败。对于这种原因,我们可以在一台域控上运行以下命令来检查AD复制的健康状况。Repadmin /showrepl * >c:\repadmin.txt

    此工作站和主域间的信任关系失败,一般是由于客户端与域控之间的安全通道(secure channel)损坏了。总的来说,发生掉域问题一般是因为有问题的客户端在本地的那份机器账号密码与存在AD中的那份机器账号密码不一致造成的。而造成不一致最常见的原因有以下几种:

    • 机器账号密码更新失败。      →重置机器密码,重新退域加域OK
    • 机器账号在AD中被意外删除。  →后台不会删除
    • 机器账号有重复的SID。       →全新安装,也不应该重复
    • 机器账号有重复的SPN。  →全新安装,也不应该重复
    • AD 复制问题引起              → 命令检查正常;

    诉求:机器账号密码,能否永远不过期?如果“Disable machine account password changes ”,有什么风险?

    2017年5月23日 8:47

全部回复

  • 主要是不利于域的安全。
    还真没有见过域环境设置域成员密码永不过期的。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 诉求:机器账号密码,能否永远不过期?如果“*Disable machine account password changes*”,有什么风险?
    |

    2017年5月23日 13:39
  • 机器帐号密码,不是域帐号密码永不过期,有什么风险吗?
    2017年5月23日 15:41
  • 你好,

    根据你的问题描述,我建议你在server 论坛上发帖进行咨询。Server 的技术工程师更了解这类问题,他们会给你更专业的建议和回答。

    Server 论坛网址:

    https://social.technet.microsoft.com/Forums/windowsserver/zh-CN/home


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年5月24日 9:24
    版主
  • 你是说本地帐户的密码吗?如果加入域的计算机域策略没有定义密码过期策略,本地帐户的密码不受影响,可以永不过期。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 机器帐号密码,不是域帐号密码永不过期,有什么风险吗?
    |

    2017年5月25日 14:18
  • 1、域成员: 禁用计算机帐户密码更改

    确定域成员是否定期更改其计算机帐户密码。如果启用该设置,则域成员不会尝试更改其计算机帐户密码。如果禁用该设置,则域成员会尝试按照“域成员: 计算机帐户密码最长使用期限”设置所指定的间隔更改其计算机帐户密码,默认情况下是每隔 30 天。

    默认值: 禁用。

    注意

    不应启用该设置。计算机帐户密码用于在成员和域控制器之间以及域范围内和域控制器本身之间建立安全通道通信。建立之后,安全通道就可以用于传输做出身份验证和授权决策所必须的敏感信息。
    不应将该设置用于尝试使用同一计算机帐户支持双引导方案。如果您要双引导加入到同一域中的两种安装,请为这两种安装指定不同的计算机名称。

    2、域成员: 计算机帐户密码最长使用期限

    该安全设置确定域成员尝试更改其计算机帐户密码的频率。

    默认: 30 天。

    重要信息

    该设置适用于 Windows 2000 计算机,但是无法通过安全配置管理器工具用于这些计算机上。

    诉求:1、如果禁用域密码,有什么风险? 2、计算机账号密码最长使用期限延长多久合适?

    2017年6月8日 8:45
  • 风险就是域安全性没有保障,域环境形同虚设。密码应该至多三个月必须更换。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 诉求:1、如果禁用域密码,有什么风险? 2、计算机账号密码最长使用期限延长多久合适?
    |

    2017年6月8日 14:30
  • 这个不是域账户密码,是域计算机密码,也有此影响?
    2017年6月19日 22:49
  • 你是说加入域的计算机的本地帐户的密码?那个不受影响。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 这个不是域账户密码,是域计算机密码,也有此影响?
    |

    2017年6月21日 13:41
  • 你是说加入域的计算机的本地帐户的密码?那个不受影响。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 这个不是域账户密码,是域计算机密码,也有此影响?
    |

    不是加入域的本地账户,是加入域后的,计算机账号密码,域策略不更改,有什么风险?


    2017年6月22日 23:49
  • 也是不安全啊,如果不能统一部署并更改域策略,就跟加入域后掉域或者根本没加域没有区别了呀。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | > 不是加入域的本地账户,是加入域后的,计算机账号密码,域策略不更改,有什么风险?
    |

    2017年6月24日 15:33
  • 1、禁止计算机账号密码更改,域控对其下策略:“域成员:禁用计算机密码更改”+“域控制器:拒绝计算机密码更改” ,策略是否正确?

    2、有哪些不安全?风险有哪些?

    2017年6月26日 0:23
  • 正确。

    风险就是长期不更换密码容易造成密码泄露引起的非授权登录。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <super.ma>;

    | 1、禁止计算机账号密码更改,域控对其下策略:“域成员:禁用计算机密码更改”+“域控制器:拒绝计算机密码更改” ,策略是否正确?

    2017年6月26日 12:50
  • “非授权登录”可重现不?
    2017年6月28日 1:33
  • 這是來自微軟 docs 關於此的說明

    https://docs.microsoft.com/en-us/windows/device-security/security-policy-settings/domain-member-disable-machine-account-password-changes

    但是我個人以為如果惡意軟件已經潛入到加入域的電腦,不需要拿到機器帳戶密碼,就可以訪問 DC,因為機器本身是做為一個已經驗證的用戶訪問域資源。我寫了一個 GPMC 開機腳本,為了使開機腳本的運行不影響用戶登錄,我把批處理腳本分成兩部分,第一部分通過 sc create 子命令創建一個由 SYSTEM 帳戶執行的自動啟動服務,其實該服務是執行一個位於 DC 的批處理腳本,所以雖然系統會保錯,但是不影響腳本的順利執行,那個腳本在延時等待結束後,根據定義去拿 DC 上的資源,作為已經驗證完成的域機器帳戶完成指定任務。

    這個例子應該可以說明,在不用拿到機器帳戶密碼的情況下,可以做一些事情了。定期自動更改機器密碼的意義,我以為在於能使得 DC,可以再一定範圍內,對域客戶端保持一定控制,知道客戶端一直處於域環境中,而不是一台許久未用的域客戶端。

    最後我不認為域客戶端在沒有成功聯繫到 DC 的前提下會單方面更改密碼,因為這是注定會導致信任失敗。又,SID 重複不會對域有影響,這是微軟技術院士(microsoft fellow)聯繫 windows 和其他 team 後,確認的結果。

    手機打字,排版不佳,望諒。

    Folding@Home

    2017年6月28日 2:51