Случалось ли Вам, как системному администратору при работе с доменом видеть, что пользователь в связи с отсутствием на своём рабочем месте довольно длительное время не может зайти в домен. Нарушены доверительные отношения между рабочей станцией и основным домен контроллером.
И столь ненавистное сообщение экране компьютера предвещало время затрачиваемое на устранение проблемы.
Всё дело в том, что каждые 30 дней все рабочие станции, авторизовавшиеся на домен контроллере отправляют запрос на изменение учётной записи компьютера. Т.е. контроллер домена принимает запрос, пароль меняется, а затем изменения передаются на все контроллеры в домене при следующей репликации. Если рабочая станция за этот период ничего не отправила, то домен контроллер считает, что данная рабочая станция больше недействительна.
Чтобы восстановить связь, существует 100% способ:
- вывести рабочую станцию из домена
- перезагрузиться
- ввести рабочую станцию в домен
, но у этого способа есть существенный недостаток – это время, затрачиваемое на эту процедуру.
Но если в Вашем домене такое случается периодически, то можно подкорректировать значение по умолчанию с 30 дней, к примеру, до 90 дней, как на весь домен, так и на отдельную организационную группу компьютеров (OU). В этот срок обязательно сотрудник обязательно воспользуется своим рабочим местом и авторизуется на домен контроллере.
Я покажу на практическом примере применительно ко всему домену, для этого понадобиться зайти на домен контроллер под учётной запись Администратора домена (в моём случае данными правами обладает учётная запись – ekzorchik)
[dc1]
Start – Control Panel – Administrative Tools – Group Policy Management, далее открываем политику Default Domain Policy:
Переходим в раздел конфигурирования компьютера:
Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options
Domain member: Maximum machine account password age
определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;
было:
Выставил:
Теперь политика настроена, далее следует по мере возможности перезагрузить рабочие станции чтобы применилась политика. Вот собственно и всё, мы устранили наиболее часто встречающуюся проблему нарушения доверительных отношений между компьютером и домен контроллером. Удачи!!!