Windows 2008 R2 AD系列五：如何解決用戶出差，脫域的問題

相信你們都碰到過這個問題，某個用戶出差，連同已加域的筆記本一塊兒帶出，時間較長，回來以後，咱們經常發現該用戶的計算機已經沒法登錄域，錯誤提示一般爲：此工做站和主域間的信任關係失敗（長時間不使用或脫離域環境的電腦也會碰到這個狀況），常見的解決辦法就是退出域再從新加入，若是這種狀況多的話，每次這樣操做都比較麻煩，那麼咱們如何從根本上解決這一問題呢？

 

首先要知道這個問題造成的緣由，先來看看微軟的官方解釋：

默認狀況下，在一個域環境中，爲了保證帳號的安全，在默認域策略中設置了「最長密碼有效期」。域客戶端即便在脫機的狀況下，依然會受這條Group Policy的限制。當密碼到期前的14天開始，該筆記本會提示用戶更改密碼，但因爲沒法鏈接到域控制器，因此密碼沒法修改爲功。一旦超過了這個期限，該域帳號將被鎖定，用戶將沒法再次登錄系統。

每一個基於windows系統的電腦都有一個電腦帳戶密碼歷史記錄(machine account password history)， 爲了讓這臺windows系統的電腦登錄域，這臺電腦必需要與域控創建一個安全通道以用來身份驗證。客戶端電腦上的Netlogon服務會使用這臺客戶端的電腦帳戶（machine account）和一個相關密碼去創建安全通道。 若是這個計算機賬戶密碼和LSA不一樣步，那麼這臺電腦將沒法鏈接到域，會有錯誤提示：此工做站和主域間的信任關係失敗。也就是說此時安全通道已經壞掉了。（默認計算機賬戶密碼30天會變動一次）

 

解決方法：

1、在DC上運行gpmc.msc，在須要設置的GPO上右鍵編輯，依次展開計算機配置→策略 →Windows設置→安全設置→本地策略→安全選項，找到：

域成員： 計算機賬戶密碼最長使用期限  （默認30天，設置長一點）

域成員： 禁用計算機賬戶密碼更改 （設爲已啓用）

域控制器： 拒絕計算機賬戶密碼更改（設爲已啓用）

 

2、在計算機配置→策略 →Windows設置→安全設置→賬戶策略→密碼策略，找到密碼最長使用期限，默認爲42天，建議這裏修改成與計算機賬戶密碼最長使用期限一致。