域控制器與客戶機之：失去信任關係問題排查

★前面有講到域控制器與域客戶機之間失去信任關係會致使不能登陸域

爲何不能登陸域呢？由於該客戶機已經脫離域中，固然就不可以登陸到域中

★計算機有重名-----或者該計算機被disabled或者被刪除

DNS----清理果實的資源記錄，設置老化時間，開啓安全的動態更新

DNS開啓了安全動態更新，老化時間又過長，在第一臺機器開機更新後，註冊了一個IP地址，而他關機後，這個IP地址給另一臺機器用，另一臺機器開機了，由於老化時間未到，以及沒有清理過期的記錄，這個電腦又註冊了這個ip地址，就形成了2個名稱註冊一個A記錄

★保證客戶端時間應與域控制器時間同步

★是否爲ghost機器---是否爲克隆機器----SID均同樣

查看電腦SID與域SID的方法-----註冊表

HKEY_LOCAL_MACHINE-------SAM------SAM---Domain-----Builtin-

-----Aliases-----Members------查看SID

客戶端加入了域時，RID角色的域控制器會分配給客戶端一個對象的SID（域SID+RID）
若是不是人爲的操做，SID通常是不會改變的。除非從新加入域，纔會改變客戶端的SID。

sysprep.exe，可用於從新生成SID，運行sysprep.exe，從新封裝計算機，完成後從新加入域

★計算機超過30天沒有登錄過域，致使安全通道密碼發生變化，須要重置安全通道密碼

域客戶端和域控制器信任關係丟失，斷線登陸使用的憑據

windows系統的電腦有一個電腦帳戶密碼歷史記錄machineaccountpasswordhistory爲了讓windows系統的電腦登陸域，這臺電腦必需要與預控創建一個安全通道用來身份驗證，客戶端電腦上的netlogon服務會使用這臺客戶端的電腦帳戶machineaccount和一個相關密碼去創建安全通道，若是這個計算機帳戶密碼和LSA不一樣步，那麼這臺電腦將沒法連接到域

默認計算機帳戶密碼30天會變動一次，

解決方法：

一、將這臺有問題的電腦退域，從新加域

二、配置組策略：禁止修改計算機帳戶密碼

組策略路徑：computerconfiguration\policies\windowssetting\securitysetting\localPolicies\securityoptions\disablemachineaccountpasswordchanges

目前客戶端若是與域控的安全通道被損壞的話，退域加域是最好的解決方法

http://support.microsoft.com/kb/979495/en-us

這個hotfix補丁能夠打在出問題的客戶端上。對於這個hotfix，您須要先對安全通道已經破壞的客戶端電腦進行退域再加域，而後再安裝這個hotfix以預防相似的問題發生。

工做站和主域控制器之間的安全通道出現了問題所致使的，咱們能夠經過重置這連個安全通道來解決此問題，在DC上運行：netdomreset計算機名/domain：域名

Windows2000和WindowsXP中重置計算機賬戶

http://support.microsoft.com/kb/216393/zh-cn

做爲域成員的每一臺工做站或服務器，他們都與域控制器有一個離散的通訊通道，該通道稱之爲安全通道

安全通道的密碼和計算機的帳戶一塊兒存儲在全部的域控制器上，對於工做站，默認計算機帳戶密碼的更換週期爲30天，若是因某種緣由致使計算機帳戶的密碼和lsa機密不一樣步，netlogon服務就會記錄下面一條或者兩條錯誤信息：

從計算機domainmember設置的會話沒法驗證，安全數據庫中引用的帳戶名稱是domainmember$

netlogon事件ID3210

沒法用域domain的windowsNT域控制器\\domainDC進行驗證

當密碼不一樣步時候，域控制器上的netlogon服務將記錄netlogon事件5722：從計算機%1設置的會話沒法驗證，安全數據庫引用的帳戶名稱是%2

重置計算機帳戶的四種方法

：使用netdom

使用nltest