2024年4月14日发(作者:)

在服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下:

在域中总是会有计算机由于某种原因,导致计算机账户的密码无法和lsa secret同

系统会在计算机登陆到域的时候,提示已经丢失域的信任关系。

日志大致如下:

Event ID: 5722

Source NETLOGON

Type Error

Description The session setup from the computer

TEST_COMP1 failed to authenticate. The name of the account

referenced in the security database is TEST_COMP1$. The

following error occurred: Access is denied.

察看了kb175468 Effects of Machine Account Replication on

a Domain 了解了有可能导致这一现象的原因

察看了kb154501 How to disable automatic machine account

password changes 知道了如何停止这一同步

察看了Q216393 Resetting computer accounts in Windows

2000 and Windows XP 和KB260575 HOW TO:使用

重置 Windows 2000 域控制器的机器帐户密码

但似乎即便到出现问题的工作站上执行了netdom,也无法再次让这个同步回复正常。

只能reset this computer account in active diretory,然后rejoin

domain。

我的解决办法是:

先使用本地管理员账户连接到工作站(此时,由于丢失了和域的信任关系,domain

admins 无法登陆到工作站),nslookup确认dns解析的正常。确认dns 后缀是否

正确。

然后使用gpresult 察看,最后一次是哪一台dc验证了此工作站的登陆。net time

/querysntp 察看时间服务是否指向正确位置,如果没有特别制定,应该是登陆的那台

dc。

再次到那台dc上,使用该命令确认是否指定了时间源,如果域中没有设置time

server,那么可以将时间源指向自己,如果是子域可以指向root。

最后把此工作站重新加域。