Problémy s členství v doméně po obnovení systému

Příznaky

Může docházet k následujícímu chování:
  • Pokud použijete nástroj Obnovení systému po interval změnit heslo, vypršela platnost jednou a obnovit počítač do bodu před změny hesla, příští změně hesla nemusí dojít, pokud je splatná. Místo toho operační systém zpracovává obnovení jako v případě, že heslo bylo změněno.
  • Pokud použijete nástroj Obnovení systému po interval změnit heslo, vypršela dvakrát a obnovit počítač do bodu před změny hesla, účty uživatelů domény v počítači jsou zakázány a uživatelé zobrazí chybová zpráva při pokusu o přihlášení.

Příčina

Při připojení počítače k doméně,
je vytvořen účet ComputerName$ a heslo je sdílena mezi počítačem a domény. Ve výchozím nastavení toto heslo se změní každých 30 dnů (MaximumPasswordAge).

Chování, která je popsána v části "Příznaky" dochází, protože nástroj Obnovení systému pouze vrátí stav místního počítače. Část informace o připojení k doménám je umístěn v adresáři služby Active Directory a nástroj Obnovení systému nevrací služby Active Directory.

Pro první příznak Změna hesla zpožděné dochází obnovení systému přepíše LSA tajný klíč pomocí hesla se stejnými hodnotami. Tato revize aktualizuje časové razítko na tajný klíč, který používá služba Netlogon rozhodnout o časové razítko pro změnu hesla. Druhý příznak není žádné místně uložené heslo odpovídající hesla účtu počítače ve službě Active Directory.

Řešení

První příznak vyřešíte Počkejte, chcete-li změnit heslo nebo platnost comoputer okamžitě změnit heslo. Chcete-li vynutit změnu hesla, spusťte nltest /sc_change_pwd:domény příkazu. Příkazu nltest je součástí nástrojů podpory systému Windows.

Chcete-li vyřešit problém s druhou, použijte jednu z následujících metod:
  • Odebrání počítače z domény a potom readd do domény.
  • Vrácení obnovení zpět.

Stav

Toto chování je záměrné.

Další informace

Hesla pro konkrétní účet jsou platné pro jeho konkrétní spojení. Pro každý počítač, který je členem domény existuje diskrétní komunikační kanál s řadičem domény. Tento diskrétní komunikační kanál se také nazývá zabezpečeného kanálu. Heslo pro zabezpečený kanál je uloženo s účtem počítače na všech řadičích domény. Pro systém Microsoft Windows 2000 nebo Microsoft Windows XP je výchozí počítač účet heslo změnit období každých 30 dní. Pokud heslo účtu počítače a tajný klíč místního úřadu zabezpečení (LSA) nejsou synchronizovány, službou Přihlašování protokoluje chybové zprávy.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

216393 resetování účtů počítačů v systému Windows 2000

251335 uživatelé domény nemohou připojit pracovní stanici nebo server k doméně

260575 jak Netdom.exe slouží k obnovení hesla účtu počítače

175468 efekty machine replikace účtů v doméně

Vlastnosti

ID článku: 295049 - Poslední kontrola: 19. 1. 2017 - Revize: 2

Váš názor