Новый Контроллер домена 2012 и ошибка “База данных системы защиты на сервере не имеют учетной записи компьютера за эти доверительные отношения рабочей станции”
У меня есть контроллер домена Windows Server 2012 на домене DOM1, работающем в домене Windows Server 2008 R2 и функциональном уровне. Все другие контроллеры домена в DOM1 являются 2 008 R2. DOM1 имеет двухстороннее непереходное доверие с другим доменом DOM2, работающим в лесу Windows Server 2003 и функциональном уровне.
Существует одна машина Windows 7 на DOM1, который находится на той же LAN как контроллер домена. Когда пользователь с учетной записью в DOM2 пытается войти в эту машину, они получают ошибку:
База данных системы защиты на сервере не имеет учетной записи компьютера за эти доверительные отношения рабочей станции.
Когда я выключаю контроллер домена 2012, ошибка не появляется, и пользователь может войти в систему. Когда я снова включаю DC, пользователь получает ошибку.
Вчера я включил DC, к которому не присоединяются машина Windows 7 от DOM1, затем воссоединился с ним. Пользователь затем смог войти в систему. Сегодня, однако, пользователь еще раз получил ошибку. Я выключил DC, и пользователь вошел в систему.
Я заметил, что после возражения с машиной Windows 7 к домену, учетная запись компьютера обнаруживается в AD, как отключено.
Несколько других компьютеров в том же месте также получают ошибку, однако, большинство не делает.
Вот мои вопросы:
Why does the error occur only when the 2012 DC is on?
How is the user able to log into the Windows 7 machine even if the computer account is disabled?
Почему ошибка возникает только при включенном контроллере домена 2012 DC?
Потому что компьютер подключается к контроллеру домена Windows 2012, который не имеет записи об этом. Это указывает на проблему синхронизации Active Directory между контроллером домена и остальными контроллерами домена.
Как пользователь может войти на машину Windows 7, даже если учетная запись компьютера отключена?
Возможно, кэшированные учетные данные позволяют пользователю обойти проверку домена, или, возможно, учетная запись не отключена на контроллере домена, с которым работает компьютер.
В любом случае, вы хотите исправить несинхронизированный домен ASAP - с этим будет только хуже и сложнее справиться, чем дольше это продолжается.
.Как пользователь может войти в систему с Windows 7, даже если учетная запись компьютера отключена?
Для этой части попробуйте отсоединить физический кабель LAN от компьютера и попробуйте войти в систему снова с обычными учетными данными.Пароль кеша должен быть доступен для входа в систему, однако, пока вы находитесь в системе, вам все равно нужно будет повторно присоединиться к домену на этом компьютере, иначе он останется прежним после перезагрузки компьютера с снова подключенным кабелем LAN.