Qu'est-ce qui fait qu'une station de travail perd la confiance avec le contrôleur de domaine?

S'étendant sur la réponse de Katherine:

Un poste de travail perdra confiance avec le contrôleur de domaine si son compte a été remplacé. Il est tout à fait possible (avec les autorisations appropriées) d'ajouter un ordinateur avec un nom qui existe déjà dans le domaine, mais cela entraînera la perte de confiance de l'ordinateur qui était auparavant connu sous ce nom avec le contrôleur de domaine.

Une raison peut être la dérive de l'horloge. Si l'horloge de la station de travail dérive à plus de 5 minutes du serveur, elle perdra la connexion au domaine. Cela peut provenir de matériel floconneux, ou lorsque le système est hors tension pendant une période assez longue, ou parfois lorsqu'un ordinateur portable est souvent éloigné du réseau, etc.

Le processus de mot de passe de l'ordinateur AD (documenté ici) n'a pas beaucoup changé et n'est certainement pas la cause première des problèmes de canaux cassés. (en fait, c'est le CLIENT qui modifie le mot de passe et le mot de passe est exempté de la politique d'expiration du mot de passe. Maintenant, selon le système d'exploitation client, c'est là que les choses deviennent intéressantes. 1 raison du verrouillage est XP. Si c'est XP et ci-dessous, le client changera son mot de passe, puis essaiera de communiquer le nouveau mot de passe au contrôleur de domaine. Dans 7 ou au-dessus, le client n'essaiera pas tant qu'il ne sera pas connecté à un contrôleur de domaine. Les problèmes de réplication de domaine peuvent entraîner des échecs de canal. Le plus courant casue est la réimpression d'un système où le même nom a été réutilisé. Les problèmes de synchronisation temporelle peuvent également causer des problèmes avec schannel, et dans la plupart des cas, vous pouvez évaluer ce qui s'est passé (si vous êtes si enclin) en activant la journalisation de netlogon ( https: //support.Microsoft.com/en-us/kb/109626 ) et en examinant les journaux pour savoir pourquoi le schannel n'a pas pu être configuré. L'échec de sysprep une image semble également causer un problème (je n'ai pas compris exactement pourquoi mais un disjoin et un rejoin semblent toujours résoudre le problème)

L'autre façon serait d'utiliser ADUC et de réinitialiser le compte d'ordinateur (s'il vient de se désynchroniser avec le domaine), cliquez simplement avec le bouton droit sur le nom de l'ordinateur et choisissez "Réinitialiser le compte" (environ 80% du temps, cela résoudra votre problème ).

Le "pourquoi" est que dans Microsoft Windows 2003, ils ont étendu leur implémentation d'annuaire pour obliger les postes de travail à réinitialiser leurs mots de passe tous les 30 jours environ. Je le sais bien, il a cassé beaucoup d'installations SAMBA que je maintenais à l'époque.

Normalement, cette réinitialisation du mot de passe est entièrement automatique, mais j'ai vu de très nombreux cas où cette conception ne fonctionne tout simplement pas. Lorsque j'éteins un ordinateur portable pendant un certain temps, puis tente de me connecter avec un compte non mis en cache, je reçois immédiatement ce message d'erreur, quel que soit le système d'exploitation Microsoft post-2000 que j'utilise.

Ainsi, le moyen le plus simple de maintenir un réseau fonctionnant de manière transparente dans cette situation conçue en mode de défaillance est de modifier ou de désactiver ce paramètre de stratégie au niveau du domaine: stratégies de groupe/paramètres Windows/paramètres de sécurité/stratégies locales/options de sécurité, puis recherchez: Membre du domaine: âge maximal du mot de passe du compte d'ordinateur Membre du domaine: désactivation des modifications du mot de passe du compte d'ordinateur

J'espère que ça aide.