由于域内客户端或服务器长时间未登录或其他原因导致域控制器失去信任关系

常见的原因有以下两种。

1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除

DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新

原因:DNS开启了安全动态更新,如果老化时间过长,在第一台机器开机更新后,注册了一个IP地址,而其关机后,此IP地址被另外一台机器用,另外一台机器开机了,因为老化时间未到,以及没有清理过时的记录,这个电脑又注册了这个ip地址,就造成了2个名称注册一个A记录

2、计算机超过30天没有登陆过域,导致安全通道密码发生变化,需要重置安全通道密码

 这种情况多出现在常需要出差的笔记本上,在外地(域环境外)登录域,是以保存在本地的域密码对照,并为域域服务器沟通,最终导致 安全通道密码过期

原因:域客户端和域控制器信任关系丢失,断线登录使用的凭据

windows系统的电脑有一个电脑账户密码历史记录machineaccountpasswordhistory为了让windows系统的电脑登录域,这台电脑必须要与预控建立一个安全通道用来身份验证,客户端电脑上的netlogon服务会使用这台客户端的电脑账户machineaccount和一个相关密码去建立安全通道,如果这个计算机账户密码和LSA不同步,那么这台电脑将无法链接到域。默认计算机账户密码30天会变更一次。

 

第一种情况一般只需要重新插拔网线,让客户端重新获取IP即可解决,在命令行模式下释放IP重新获取,

命令:释放IP:ipconfig /release, 重新获取IP:ipconfig /renew。

第二种情况最常用的方法是登录本地管理员账号,然后退域重加。另一种方法就是重新修复建立域主域之间的信任关系

以下命令在powershell下执行

第一步获取当前凭证,然后输入域用户名和密码

Get-Credential 

第二步检查本地计算机与其域之间的安全通道的信任关系的状态,来验证安全通道是否正常工作。如果连接失败,则使用 Repair 参数尝试恢复。如果返回flase,则多执行几次 直到返回true即可。如果多次执行仍然失败那只能退域重加了

Test-ComputerSecureChannel -Repair -Credential $cred