Иногда мои компьютеры случайным образом отображают сообщение об ошибке «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом».

Через несколько минут, ничего не делая, я снова могу войти в систему.

Не имеет значения, войду ли я как обычный пользователь или администратор домена. Он выдает мне сообщение об ошибке и через некоторое время автоматически позволяет снова войти в систему.

Почему это происходит?

|источник

1 ответ1

2

Нормальная причина этого (по моему опыту) является проблема DNS/DHCP

Когда компьютер загружается в домен, он отправляет широковещательную рассылку, чтобы найти свой сайт AD и DC в этом сайте для подключения.

Когда ему предоставлен DC, машина должна будет сверять свой SID и пароль учетной записи компьютера с записями DC, чтобы доказать, что машина является той, на которую она претендует, а не просто купольной случайной машиной с тем же именем (любой может назвать компьютер "mymachine1" - но это не делает его тем, кто является членом вашего домена).

Если ваш основной DNS недоступен для выполнения поиска DC, это может привести к задержкам - то есть учетная запись компьютера не аутентифицирована - которые представляются в этом сообщении. Аналогично, если запрос DHCP занимает много времени из-за множественных прыжков или проблемы доступности DHCP-сервера, это может представлять те же симптомы

Другими причинами этого могут быть проблемы с репликацией контроллеров домена, когда компьютер не подключен к домену (выключен) на длительное время или RPC недоступен на клиенте или контроллере домена.

Обычно причина, по которой он будет работать снова, если вы дадите ему время, состоит в том, что в случае сбоя машина попытается снова через случайный короткий период времени. Если ваш DHCP-адрес был получен, DNS-клиент настроен и подключен к DC и т.д. - проверка будет завершена, и ваш компьютер будет готов к входу в систему.

  • Прежде всего - убедитесь, что все ваши DNS настроены правильно. В идеале, ваш DNS будет находиться на ваших контроллерах домена и будет реплицироваться с AD ... и ваши клиенты будут искать контроллеры домена для DNS.
  • Если у вас несколько контроллеров домена, каждый раз проверяйте, к какому DC подключен ваш компьютер, чтобы сузить поиск.
  • Попробуйте вручную ввести известный исправный DC в качестве основного DNS-сервера на этом компьютере.
  • проверьте версию объекта AD для этого компьютера на всех контроллерах домена, чтобы исключить проблемы с репликацией
  • вручную скопируйте свои контроллеры домена, чтобы убедиться, что все ссылки на сайты работают
  • проверьте и посмотрите, сохраняется ли проблема со статическим IP
  • Попробуйте команду PowerShell Test-ComputerSecureChannel –credential (Get-Credential) –Repair (запустите в PowerShell от имени администратора и предоставьте ему учетные данные администратора)
  • Попробуй домен рассоединиться / воссоединиться для машины
  • Проверьте, правильно ли обрабатываются все групповые политики на этом компьютере (для обеспечения его обработки используйте обои в стиле фанк через GPO)
  • Переоснащение / восстановление машины выходит за рамки?

Надеюсь, что-то здесь даст вам отправную точку.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .