此工作站和主域間的信任關系失敗

此工作站和主域間的信任關系失敗 在服務器的日志上，這個錯誤應該大家都不陌生了，錯誤的特征，我給大致描述一下： 在域中總是會有計算機由於某種原因，導致計算機賬戶的密碼無法和 lsa secret 同步
系統會在計算機登陸到域的時候，提示已經丟失域的信任關系。
日志大致如下：
Event ID: 5
Source NETLOGON
Type Error
Description The session setup from the computer TEST_COMP1 failed to authenticate. The name of the
account referenced in the security database is TEST_COMP1$. The following error occurred: Access is
denied.
察看了 kb175468 Effects of Machine Account Replication on a Domain 了解了有可能導致這一現象的原 因 察看了 kb154501 How to disable automatic machine account password changes 知道了如何停止這一同
步
察看了 Q216393 Resetting computer accounts in Windows 2000 and Windows XP 和 KB260575 HOW
TO：使用 Netdom.exe 重置 Windows 2000 域控制器的機器帳戶密碼
但似乎即便到出現問題的工作站上執行了 netdom ，也無法再次讓這個同步回復正常。只能 reset this
computer account in active diretory ，然后 rejoin domain 。 我的解決辦法是：
先使用本地管理員賬戶連接到工作站（此時，由於丟失了和域的信任關系， domain admins 無法登陸到工 作站）， nslookup 確認 dns 解析的正常。確認 dns 后綴是否正確。
然后使用 gpresult 察看，最后一次是哪一台 dc 驗證了此工作站的登陸。 net time /querysntp 察看時間服 務是否指向正確位置，如果沒有特別指定，應該是登陸的那台 dc。
再次到那台 dc 上，使用該命令確認是否指定了時間源，如果域中沒有設置 time server ，那么可以將時間
源指向自己，如果是子域可以指向 root。 最后把此工作站重新加域。
由於這樣的問題一直沒有得到官方的答案， 特地詢問了微軟的工程師， 陸續的回答中我做了一些整理如下： 通常情況下，我們建議客戶采取下面的措施：
1 不要在客戶機上長時間不登陸域。 2 把客戶機從域中移走時，盡量先移到工作組中，而不是直接重裝。否則要注意刪掉相應的機器帳號。
3 域中的機器時間要同步。 4 把客戶機加入域之前，確認域中沒有其他同名的機器帳號。 同時您可以嘗試下面的命令：
netdom reset computername /domain:domainname /server:servername
/userO:computernameadministrator /passwordO:*
然后在提示時輸入 computername 本機管理員的密碼。但是如果您現在並不能用域用戶登陸
computername ，那么意味着安全通道已經無法建立，這樣做就可能沒有用。
對於 Netdom.exe 和 Nltest.exe 工具而言，它們是用來重置已經建立好的安全通道同時同步計算機帳戶的
密碼。如果安全通道已經斷掉，通訊不正常了，就不能用這些工具了。我們需要在客戶端重新加入域或者 運行 Network Identification Wizard ( 在系統屬性里 )重建安全通道。
這在 Q216393 Resetting computer accounts in Windows 2000 and Windows XP 中同樣提到：
These tools allow for remote and non-remote administration. Netdom.exe and Nltest.exe are
command-line tools that reset a successfully established security channel. You cannot use these tools
when the security channel is broken, and communication is not working correctly. 后面我查到 kb 中還有一個關於此問題的論述：
如果確實有固定的機器是頻繁的發生這種事情， 可以修改本地計算機注冊表禁止計算機和 dc 之間的這個定 期的密碼同步動作。 方法可以參考： Q154501 How to disable automatic machine account passwordchanges 地址在 http://support.microsoft.com/default.aspx?scid=kb;EN-US;154501 如果您需要進一步了解計算機帳戶與域控制器密碼同步的問題，可以參考
http://support.microsoft.com/default.aspx?scid=kb;en-us;810977 至此，這個問題應該算是定論了！如果有朋友仍然有自己的看法和建議，歡迎提出來大家討論一下！