Windows工作站和主域之间信任关系失败原因和处理方法
完整的系统日志报错
The directory server failed to automatically update service account, dns name and/or port information.
This operation will be tried again at the following interval.
Interval (minutes):
5
Additional Data
Error value:
1789 The trust relationship between this workstation and the primary domain failed.
Internal ID:
32b0bad
这个问题倒是如何造成的呢?
这个错误通常是由于访问的主机不能再确保可以和当前加入的活动目录域进行安全通信造成的。
当前主机的私有安全凭据和域控制器中的值不匹配。当然简单的可以把安全凭据理解为密码,实际上你知道域环境通过非常严格Kerberos验证,因此实际是Kerberos的Keytable的加密存储在本地安全授权子系统中;因此如果在主机上以域账户登录\验证时,如果验证在本地存储的私有凭据和收到来自ActiveDirectory 的 Kerberos票据不匹配时,系统会认为不安全并且信任关系建立失败。
这个报错通常会在windows server和windows client上发生。联网登录时会提示账号认证无效或者提示:The trust relationship between this workstation and the primary domain failed。
当然这个错误多数是由于客户端系统时间与域控制器上的系统时间不同步造成;
也有可能是域控制器更新安全补丁后,造成验证失败。
整理一下遇到和收集的处理方法
解决时间不同步
系统时间不同步,建议采用NTP同步。也可以强制同步与NTP的时间。
gpupdate /force
不重启计算机的话,先
net stop w32time
然后
net start w32time
以上指令都不生效的话,还可以用:
net time \\domainAddress /set /y
强制同步时间。
重新建立域信任关系
Powershell运行
Reset-ComputerMachinePassword
重置计算机账户,重新建立信任关系,如果无效的话,需要在域控上reset账号或者主机后,重新对域客户端重新加域。
解决通信阻碍
域客户端和域控制器通信正常,没有防火墙、IPS、安全补丁等阻碍kerberos验证完整性。放开通信权限或者卸载安全补丁即可恢复。
推荐阅读
钓鱼攻击:相似域名识别及如何有效预防攻击
活用DNS技术实现相同IP的不同端口映射不同域名
Windows域环境下,GPO部署的注意事项。
为什么离线的域电脑还可以用域账号登录呢?
为什么不建议在AD域控制器上安装 DHCP 服务器角色?
更多推荐
所有评论(0)