- 計算機長時間沒登陸域會自動脫離域,那么是不是超過30天未登錄過域的計算機就一定會脫離域?
- 我的環境中發現有幾台計算機由於休假或者出差長時間(兩三個月)未登錄域,這部分計算機在30天以前已經被我經用了,今天我啟用這幾台計算機之后,發現他們仍能后登陸域。計算機與域控間的網絡正常。這個怎么解釋?(域功能級別windows server 2008 r2)
回答:從您的描述中,我對這個問題的理解是您想知道計算機是不是超過30天未登錄就一定會脫域。
默認情況下,加域計算機每三十天就會更改一次計算機密碼,這個密碼會分別被存在計算機本地和AD里面。同時,計算機本身會保存兩份密碼在本地:當前的密碼和之前的密碼。當計算機嘗試和DC建立secure channel的時候,它會先使用最新的密碼,如果這個密碼無效,那么它會嘗試使用之前的那個密碼,如果這個密碼也不能夠和AD域里面保存的密碼匹配,那么計算機和DC之間的secure channel就會被破壞,我們將不能通過域賬號登錄到這台電腦上。因為我們不清楚計算機密碼是什么時候更改的,所以一般情況下,計算機不能登錄到域的時間范圍是31到60天。您看到的文章來自活動目錄seo http://adirectory.blog.com/category/active-directory/
這里也要分兩種情況:
- 加域的計算機shutdown的話,在它Start up之前,它是不會更改計算機密碼的。
- 如果加域的計算機一直在運行,只是沒有連到公司網絡,那么它仍然會每隔三十天更改一次密碼。
計算機脫域的時間不是隨機的,它是由計算機能夠聯系到DC的時候最后一次改密碼的時間決定的。舉個例子:比如還有十天計算機就需要更改密碼了,從這個時候開始,它將不再處於域環境中,那么,他不能夠登錄到域的時間是四十天之后。
具體一點說:比如它在域的最后一次密碼是:password1(剩余有效期:10天),十天之后他需要改密碼了,改為password2(有效期30天)。這時候在計算機保存的密碼是:password1和password2,在DC端保存的密碼是password1。在第三十五天的時候,如果計算機連到公司網絡,它會首先嘗試用password2去和DC建立安全通道,由於DC沒有這個新的密碼,計算機再次嘗試並用password1,由於DC保存有這個密碼,密碼匹配,那么安全通道成功建立,計算機就可以登錄到域。
然而,如果是在第四十五天的時候,這時候計算機已經第二次改密碼了,假設為:password3。那么在計算機保存的密碼是:password2和password3,在DC端保存的密碼仍然是password1。當計算機連到公司網絡,他會嘗試用password3和password2去和DC建立安全通道,由於DC上面保存的密碼是password1,他們不能夠匹配,安全通道建立不起來,計算機就不能夠登錄到域環境。
不過由於我們無法得知計算是具體是什么時候更改的密碼,所以在某種程度上面來講,您可以認為計算機不能夠登錄到域的時間在31~60天的時間段內是隨機的。
當計算機在未脫域的情況下聯網后會自動想dc同步密碼。
個人總結:一台客戶端加入域以后,它會與域控制器建立Secure Channel,而Secure Channel的密碼存儲在域控制器上。這個密碼會每隔30天自動更新(機器自動操作,無需人為介入)。如果由於任何原因導致客戶端本地的Secure Channel密碼與域控制器端存儲的不一致,就會出現該問題。 客戶端可以在控制面板-管理工具-本地安全策略-安全設置-本地策略-安全選項里看到“計算機賬戶密碼最長使用期限”,正常脫域的周期是設置日+1≤脫域周期≤設置日期*2。
這篇文章看的過程中可以參考本博客的另一篇https://www.cnblogs.com/xuxiaole/p/13070375.html