-)重裝系統後無法通過域身份驗證,即使計算機名相同。因爲新安裝的系統會生產新的SID。
-)使用備份還原的系統無法通過身份驗證。默認計算機會每30天更改一次密碼,而AD會記錄當前和上一個密碼。也就是說,如果系統是從60天以前的備份中還原的,
那麼計算機 就無法通過域身份驗證。
-)計算機的LSA密文(計算機會以本地安全機構 Local Security Authority 密文的形式保存密碼 )與域中保存的密碼不一致。
-)計算機和域之間的信任關係丟失。登陸時會有提示。
-)AD中的計算機賬戶丟失。
解決方法:
最後一種情況,需要重新創建計算機的域賬戶。
如果是其他的情況, 不要直接刪除並重新創建計算機的域賬戶,這樣再計算機加入域後會生成新的SID,這樣也會丟失原有的組成員關係。
正確的做法是——重置賬戶:
-)”AD用戶和計算機管理單元“ 重置賬戶——右鍵“計算機”賬戶;選擇“重置賬戶”;然後使計算機重新加入域並重啓。
-)“dsmod” 命令重置賬戶—— dsmod computer “計算機的DN” -reset ;然後使計算機重新加入域並重啓 。
-)“netdom” 命令重置賬戶—— netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password | *} 。
其中提供的憑據是計算機本地 Administrators 組的憑據。該命令是通過重置計算機和域密碼的方式嘗試重置安全通道,無需重啓。
-)“nltest” 命令重置賬戶—— nltest /server:ServerName /sc_reset:DOMAIN\DomainController 。該命令與netdom的重置方式相同。
實際生產環境中,應該優先嚐試 “netdom” 和 “nlset” 方式重置密碼。