O que faz com que uma estação de trabalho perca a confiança com o controlador de domínio?

Você provavelmente já sabe disso, mas tenha paciência comigo.

Os computadores possuem senhas no AD, assim como os usuários. Não sabemos a senha do nosso computador e ela muda regularmente por meio da lógica incorporada.

A resposta curta é que a senha do computador não é mais válida e, portanto, o AD não confia mais nessa máquina para logins.

Por quê? Como? Muitas coisas causam isso. Algo interferiu no processo de alteração de senha ou fez com que a máquina fosse revertida para uma senha antiga. Possíveis culpados incluem:

• Restaurando a partir do backup.
• A desativação é longa o suficiente para a senha expirar, seguida por problemas de rede.
• Problemas gerais de rede intermitentes com um tempo insuficiente.
• vírus, malware, etc.
• Mais coisas que não estão acontecendo comigo no momento, provavelmente.

Espero que ajude.

Estendendo a resposta de Katherine:

Uma estação de trabalho perderá a confiança do controlador de domínio se sua conta tiver sido substituída. É totalmente possível (com as permissões corretas) adicionar um computador com um nome que já exista no domínio, mas isso fará com que o computador que antes era conhecido como esse nome perdesse a confiança do controlador de domínio.

Um motivo pode ser o desvio do relógio. Se o relógio da estação de trabalho ficar a mais de 5 minutos do servidor, ele perderá a conexão com o domínio. Isso pode ser causado por hardware escasso, ou quando o sistema está desligado por um longo tempo ou, às vezes, quando um laptop está frequentemente fora da rede, etc.

O processo de senha do computador do AD (documentado aqui) não mudou muito e certamente não é a causa raiz de problemas com schannel quebrados. (na verdade, é o CLIENTE que altera a senha e a senha está isenta da política de expiração de senha. Agora, dependendo do sistema operacional do cliente é onde as coisas ficam interessantes. 1 razão para bloqueio é XP. Se for XP e abaixo o cliente mudará senha - e, em seguida, tente comunicar a nova senha para o DC. Em 7 ou acima, o cliente não tentará até que ele tenha uma conexão com um DC. Problemas de replicação de domínio podem causar falhas de schannel.O casue mais comum é reimages de um sistema onde o mesmo nome foi reutilizado.Os problemas de sincronização de tempo também podem causar problemas com o schannel e, na maioria dos casos, você pode avaliar o que aconteceu (se estiver inclinado) habilitando o log de logon de rede ( link ) e examinando os logs de porque o schannel falhou na configuração. A falha no sysprep de uma imagem também parece causar um problema (eu não descobri exatamente por que mas um desunir e voltar parece sempre resolver o problema)

A outra maneira seria usar o ADUC e redefinir a conta do computador (se ela ficou fora de sincronia com o domínio), basta clicar com o botão direito do mouse no nome do computador e escolher "Redefinir conta" (cerca de 80% do tempo corrija seu problema).

O 'por que' é que no Microsoft Windows 2003 eles estenderam sua implementação de diretório para incluir forçando estações de trabalho a redefinir suas senhas a cada 30 dias ou mais. Eu sei bem, quebrou muitas instalações do SAMBA que eu mantinha na época.

Normalmente, essa redefinição de senha é automática, mas eu já vi muitos casos quando esse design não funciona. Quando desligo um notebook por um tempo, em seguida, tento fazer o login com uma conta não armazenada em cache, recebo imediatamente essa mensagem de erro, independentemente do sistema operacional Microsoft pós-2000 que uso.

Portanto, a maneira mais fácil de manter uma rede funcionando de maneira transparente nessa situação projetada por modo de falha é modificar ou desativar essa configuração de política no nível de domínio: Diretivas de Grupo / Configurações do Windows / Configurações de Segurança / Diretivas Locais / Opções de Segurança olhe para: Membro do domínio: idade máxima da senha da conta da máquina Membro do domínio: desabilitar alterações de senha da conta da máquina

Espero que isso ajude.