30或60天后无法登录域
2011-08-10 15:32
274 查看
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。
请问如何修改计算机超过60天就无法登陆域控的天数?这个60天是否可以延长?比如说1200天等。
回答:根据您的描述,我对这个问题的理解是:能否修改计算机超过60天无法登录域控的天数。
分析:
根据我的经验和研究,当您将一台客户端加入域时,默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象,这意味着DC已经和客户端建立起了secure channel,同时会生成一个key,安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP,默认计算机帐户密码的更换周期为 30 天。客户端计算机每次登录域时都会尝试发送一个请求与DC同步密码,如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,意味着客户端与DC的通信被断掉,则会导致客户端提示没有找到计算机账户。但是,如果该客户端离线或者不在域中的时间超过30天甚至60天,那么在下次登录时依然会尝试使用原来的密码与DC同步,因此,离线的时间长短不会影响客户端登录不到域。
建议:
可能您所说的登录不到域是指在登录域时客户端会提示“您用的windows与此域无法联系,原因是域控制器存在故障或不可用,或没有找到计算机帐户,请稍后重试,若持续出现,请与系统管理员联系”,出现该提示可能的原因
1. 将客户端加入到域时,域中已经存在与该计算机同名的计算机账户,那么在该计算机加入域后,会将本计算机的名称覆盖与其同名的计算机帐户,这样就会导致备覆盖的哪个计算机在登录域时报错
2. 将ADUC中的计算机账户删除也会导致上述错误
解决该问题,我们需要同步计算机帐户的密码和 LSA 机密,在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法:
1.使用 Netdom.exe 命令行工具
2.使用 Nltest.exe 命令行工具
注意:Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 Support\Tools 文件夹中。要安装这两个工具,请运行 Setup.exe 或从 Support.cab 文件中提取文件。
3.使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。
4.使用 Microsoft Visual Basic 脚本
具体步骤请参照:http://support.microsoft.com/kb/216393/zh-cn
如果希望避免此问题可以参照下面几点建议:
1. 将客户端加入到域时请检查是否与域中的计算机同名
2. 请不要在ADUC中删除域中的有效计算机账户
如果我的理解与您的意思有偏差,或者您有其他的需求,请告诉我,我将很乐意与您一起讨论问题!
相关出错对照信息可以帮助您更快更准确的界定您的问题:
1.每个成员都维护着这样的一个 LSA 机密,用于建立安全通道由 Netlogon 服务。 如果,出于某种原因,计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录以下错误:
NETLOGON Event ID 3210:
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.
2.如果计算机账户被删除,通过成员Netlogon服务会记录下面的错误信息:
NETLOGON Event ID 5721:
The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.
3.同样,域控制器上的 Netlogon 服务密码不同步时记录以下错误:
NETLOGON Event 5722
The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.
有关安全通道的信息,请参阅 Microsoft 知识库中下列文章:
ARTICLE-ID: 131366 (http://support.microsoft.com/kb/131366/EN-US/ )
TITLE: 事件错误 5712 状态访问被拒绝
ARTICLE-ID: 142869 (http://support.microsoft.com/kb/142869/EN-US/ )
TITLE: 同步整个域时出现事件 ID 3210 and 5722
ARTICLE-ID: 149664 (http://support.microsoft.com/kb/149664/EN-US/ )
TITLE: 验证域 Netlogon 同步
ARTICLE-ID: 158148 (http://support.microsoft.com/kb/158148/EN-US/ )
TITLE: 域安全通道实用工具--Nltest.exe
Jason Hou 侯铮 微软全球技术支持中心
请问如何修改计算机超过60天就无法登陆域控的天数?这个60天是否可以延长?比如说1200天等。
回答:根据您的描述,我对这个问题的理解是:能否修改计算机超过60天无法登录域控的天数。
分析:
根据我的经验和研究,当您将一台客户端加入域时,默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象,这意味着DC已经和客户端建立起了secure channel,同时会生成一个key,安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP,默认计算机帐户密码的更换周期为 30 天。客户端计算机每次登录域时都会尝试发送一个请求与DC同步密码,如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,意味着客户端与DC的通信被断掉,则会导致客户端提示没有找到计算机账户。但是,如果该客户端离线或者不在域中的时间超过30天甚至60天,那么在下次登录时依然会尝试使用原来的密码与DC同步,因此,离线的时间长短不会影响客户端登录不到域。
建议:
可能您所说的登录不到域是指在登录域时客户端会提示“您用的windows与此域无法联系,原因是域控制器存在故障或不可用,或没有找到计算机帐户,请稍后重试,若持续出现,请与系统管理员联系”,出现该提示可能的原因
1. 将客户端加入到域时,域中已经存在与该计算机同名的计算机账户,那么在该计算机加入域后,会将本计算机的名称覆盖与其同名的计算机帐户,这样就会导致备覆盖的哪个计算机在登录域时报错
2. 将ADUC中的计算机账户删除也会导致上述错误
解决该问题,我们需要同步计算机帐户的密码和 LSA 机密,在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法:
1.使用 Netdom.exe 命令行工具
2.使用 Nltest.exe 命令行工具
注意:Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 Support\Tools 文件夹中。要安装这两个工具,请运行 Setup.exe 或从 Support.cab 文件中提取文件。
3.使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。
4.使用 Microsoft Visual Basic 脚本
具体步骤请参照:http://support.microsoft.com/kb/216393/zh-cn
如果希望避免此问题可以参照下面几点建议:
1. 将客户端加入到域时请检查是否与域中的计算机同名
2. 请不要在ADUC中删除域中的有效计算机账户
如果我的理解与您的意思有偏差,或者您有其他的需求,请告诉我,我将很乐意与您一起讨论问题!
相关出错对照信息可以帮助您更快更准确的界定您的问题:
1.每个成员都维护着这样的一个 LSA 机密,用于建立安全通道由 Netlogon 服务。 如果,出于某种原因,计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录以下错误:
NETLOGON Event ID 3210:
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.
2.如果计算机账户被删除,通过成员Netlogon服务会记录下面的错误信息:
NETLOGON Event ID 5721:
The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.
3.同样,域控制器上的 Netlogon 服务密码不同步时记录以下错误:
NETLOGON Event 5722
The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.
有关安全通道的信息,请参阅 Microsoft 知识库中下列文章:
ARTICLE-ID: 131366 (http://support.microsoft.com/kb/131366/EN-US/ )
TITLE: 事件错误 5712 状态访问被拒绝
ARTICLE-ID: 142869 (http://support.microsoft.com/kb/142869/EN-US/ )
TITLE: 同步整个域时出现事件 ID 3210 and 5722
ARTICLE-ID: 149664 (http://support.microsoft.com/kb/149664/EN-US/ )
TITLE: 验证域 Netlogon 同步
ARTICLE-ID: 158148 (http://support.microsoft.com/kb/158148/EN-US/ )
TITLE: 域安全通道实用工具--Nltest.exe
Jason Hou 侯铮 微软全球技术支持中心
相关文章推荐
- Ubuntu设置环境变量错误导致系统无法登录解决方法
- [ROM] 最新版20150522秋大5.1.1谷歌服务包+谷歌帐号无法登录解决方法
- 登录服务器windows2008出现:远程桌面服务当前正忙,因此无法完成您尝试执行的任务。请在几分钟后重试。其他用户应该仍然能够登录
- [系统故障]系统无法让您登录,因为发生以下错误:不支持网络请求。
- 有些网站,禁用cookie就无法登录
- Oracle无法登录及Oracle备份
- 无法打开登录所请求的数据库 "****"。登录失败
- group client policy无法登录,谢绝访问
- Ubuntu的tty1无法登录
- oracle 12c 解决pdb中用户无法登录问题的详细步骤
- Magento 后台无法登录Invalid Form Key. Please refresh the page. on magento admin login page
- loadrunner--浏览器不支持或禁止了网页脚本,导致您无法正常登录
- 关于微信第三方登录 AppId 和AppSecret 忘记修改无法登录问题
- 由于帐户限制,您无法登陆 -- 远程桌面无法登录问题解决方法
- SQL2008无法连接到.\SQLEXPRESS,用户'sa'登录失败(错误18456)图文解决方法
- 数据库无法远程登录
- 解决vmware无法使用root远程登录
- 使用IE7.0登录OCS客户登录时出现“无法同步通讯录”
- “引用的账户当前已锁定,切无法登录“问题解决方案
- Rundeck用户无法登录问题解决