Temos um problema com um conjunto de computadores em nosso domínio. eles estão constantemente perdendo sua relação de confiança com o domínio. Aconteceu pela primeira vez na semana passada e 8 dias depois aconteceu novamente. No servidor, estamos recebendo erros NETLOGON com o evento 5722.
The session setup from the computer ComputerName failed to
authenticate. The name of the account referenced in the security database is
AccountName$.
The following error occurred:
Access is denied.
Eu queria saber se havia alguma maneira de determinar por que isso está acontecendo? Verifiquei os logs de erros e nada parece acontecer antes que esses erros ocorram. Eu estava pensando em re-imaginar todo o grupo de máquinas. Se eu re-imagem-los todos seria melhor excluir os objetos de computador do AD completamente e deixá-los criar novos objetos de computador quando eu voltar a eles para o domínio? É melhor juntá-los manualmente ou existe um método melhor? Vou ter que renomear as máquinas, pois é necessário acessá-las localmente.
O servidor é o Windows Server 2008 R2 SP1, as máquinas são o Windows 7 SP1
Editar: - Em resposta aos comentários: -
Essas máquinas executam o Windows 7, Office e Adobe Audition, isso é tão estranho. Eles são exatamente iguais a dez outras máquinas na sala com as quais não temos nenhum problema.
O AD é executado no Server 2008 R2 com um controlador de domínio secundário que executa o Windows Server 2008.
As máquinas sincronizam o tempo com o PDC e verificam se estão no momento correto.
Não há nomes duplicados no AD.
Se eu removê-los e adicionar de novo, eles correm bem de novo, foi o que eu fiz da última vez, então 8 dias depois todos caíram novamente.
Uma coisa estranha:
O quarto ao lado tinha o mesmo problema. Eu removi o PC do domínio. Excluiu as contas de computador do AD. Descarregou o DNS Cache e removeu os registros das máquinas do DNS. Eu os adicionei novamente ao domínio. eles podem entrar em contato com o domínio, mas suas contas de computador não aparecem no AD em nenhum lugar. Me confundiu algo podre.
Você tem alguma coisa alterando o tempo nos PCs independentemente do domínio?
Um cenário em que isso pode ocorrer é se um backup do computador for restaurado para o segundo computador. Quando esse segundo computador fica on-line, a senha da máquina (que a máquina troca a cada 30 dias por padrão) não corresponde à senha e ao AD e desativa a conta da máquina.
O uso da Restauração do sistema também pode restaurar uma senha de conta de máquina anterior.
Observe que a senha do computador não está sujeita à política de expiração de senha do domínio. É controlado pelo serviço netlogon do computador.
Houve um PDC anterior? DNS funcionando perfeitamente (pings trabalhando vice-versa)? Diferenças de tempo entre máquinas? E finalmente você poderia tentar mudar a senha do usuário da estação de trabalho ou vice-versa?
Quando uma estação de trabalho ingressa em um domínio, ela define uma relação de confiança entre o DC e a estação de trabalho. Agora há vários motivos que podem ser encontrados aqui (embora a maioria deles seja apenas para o Server 2000) e um mais recente artigo aqui que pode impedir que isso aconteça.