Risposte:
Probabilmente lo sai già, ma abbi pazienza.
I computer hanno password in AD, proprio come gli utenti. Non conosciamo la password del nostro computer e cambia regolarmente tramite la logica integrata.
La risposta breve è che la password del computer non è più valida e pertanto AD non si fida più di questa macchina per gli accessi.
Perché? Come? Molte cose causano questo. Qualcosa ha interferito con il processo di modifica della password o ha riportato la macchina a una vecchia password. I possibili colpevoli includono:
Spero che aiuti.
Estendendo la risposta di Katherine:
Una workstation perderà la fiducia con il controller di dominio se il suo account è stato sovrascritto. È del tutto possibile (con le giuste autorizzazioni) aggiungere un computer con un nome già esistente nel dominio, ma ciò farà perdere la fiducia al controller di dominio del computer precedentemente noto come quel nome.
Un motivo può essere la deriva dell'orologio. Se l'orologio della stazione di lavoro si sposta di oltre 5 minuti dal server, perderà la connessione al dominio. Ciò può provenire da hardware instabile, o quando il sistema è spento per un periodo piuttosto lungo, o talvolta quando un laptop è spesso lontano dalla rete, ecc.
Il processo di password del computer AD (documentato qui) non è cambiato molto e non è certamente la causa principale di problemi di schannel interrotti. (in effetti è il CLIENTE che cambia la password e la password è esente dalla politica di scadenza della password. Ora a seconda del sistema operativo client è dove le cose diventano interessanti. 1 motivo per il blocco è XP. Se è XP e sotto il client cambierà è password - e quindi provare a comunicare la nuova password al controller di dominio. In 7 o versioni successive il client non tenterà fino a quando non ha una connessione a un controller di dominio. I problemi di replica del dominio possono causare errori di schannel. dove è stato riutilizzato lo stesso nome. I problemi di sincronizzazione temporale possono anche causare problemi con lo schannel e nella maggior parte dei casi puoi valutare cosa è successo (se sei così incline) abilitando la registrazione di netlogon (https://support.microsoft.com/en-us/kb/109626 ) ed esaminando i log per il motivo per cui lo schannel non è stato installato. Non riuscire a sysprep un'immagine sembra anche causare un problema (non ho capito esattamente perché, ma un disgiungere e ricongiungersi sembra risolvere sempre il problema)
L'altro modo sarebbe utilizzare ADUC e ripristinare l'account del computer (se non è stato sincronizzato con il dominio) è sufficiente fare clic con il pulsante destro del mouse sul nome del computer e scegliere "Ripristina account" (circa l'80% delle volte risolverà il problema ).
Il "perché" è che in Microsoft Windows 2003 hanno esteso l'implementazione delle directory per includere la forzatura delle stazioni di lavoro per reimpostare le password ogni 30 giorni circa. Lo so bene, ha rotto molte installazioni SAMBA che stavo mantenendo in quel momento.
Normalmente questo ripristino della password è tutto automatico, ma ho visto molti, molti casi in cui questo design non funziona. Quando spengo un notebook per un po ', quindi provo ad accedere con un account non memorizzato nella cache, ricevo immediatamente quel messaggio di errore, indipendentemente dal sistema operativo Microsoft post-2000 che utilizzo.
Quindi il modo più semplice per far funzionare una rete in modo trasparente in questa situazione progettata in modalità di errore è modificare o disattivare l'impostazione di tale criterio a livello di dominio: Criteri di gruppo / Impostazioni di Windows / Impostazioni di sicurezza / Criteri locali / Opzioni di sicurezza, quindi cercare: Membro di dominio: età massima password account macchina Membro di dominio: disabilita modifiche password account macchina
Spero che aiuti.