ドメイン上の一連のコンピューターに問題があります。ドメインとの信頼関係は絶えず失われています。それは先週最初に起こり、8日後に再び起こりました。サーバーでは、イベント5722でNETLOGONエラーが発生しています。
The session setup from the computer ComputerName failed to
authenticate. The name of the account referenced in the security database is
AccountName$.
The following error occurred:
Access is denied.
なぜこれが起こっているのかを判断する方法があるのだろうかと思っていました。エラーログを確認しましたが、これらのエラーが発生する前に何も起こらないようです。マシンのグループ全体を再イメージングすることを考えていました。それらすべてを再イメージ化する場合、ADからコンピューターオブジェクトを完全に削除し、ドメインに再参加するときに新しいコンピューターオブジェクトを作成させるのが最善でしょうか?それらを手動で結合するのが最善ですか、それともより良い方法がありますか?マシンの名前をそのまま変更する必要があるため、ローカルでアクセスする必要があります。
サーバーはWindowsServer 2008 R2 SP1、マシンはWindows 7SP1です。
編集:-コメントへの応答:-
これらのマシンはWindows7、Office、Adobe Auditionを実行しているので、何も奇妙なことではありません。それらは、私たちが問題のない部屋の他の10台のマシンとまったく同じです。
ADは、Windows Server2008を実行しているセカンダリドメインコントローラーを備えたServer2008R2で実行されます。マシンはPDCと同期し、これを正しい時刻にチェックします。
ADには重複する名前はありません。
それらを削除して再度追加すると、それらは再び正常に実行されます。これは前回と同じですが、8日後にすべてが再びドロップしました。
1つの奇妙なこと:
隣の部屋にも同じ問題がありました。ドメインからPCを削除しました。 ADからコンピューターアカウントを削除しました。 DNSキャッシュをフラッシュし、マシンのレコードをDNSから削除しました。次に、それらをドメインに再度追加しました。ドメインに正常に接続できますが、コンピューターアカウントはADのどこにも表示されません。何か腐ったものを私に混乱させた。
残念ながら、WDSを使用して自己結合ドメインイメージを展開すると、この問題は自然に解決しました。 ADからすべてのコンピューター名を削除し、すべてのマシンを事前にステージングしましたが、このような問題は二度と発生していません。
ドメインとは別にPCの時間を変更するものはありますか?
これが発生する可能性がある1つのシナリオは、コンピューターのバックアップが2番目のコンピューターに復元された場合です。その2台目のコンピューターがオンラインになると、マシンのパスワード(デフォルトではマシンは30日ごとに変更されます)がADのパスワードと一致せず、マシンアカウントが無効になります。
システムの復元を使用すると、以前のマシンアカウントのパスワードも復元される場合があります。
コンピューターのパスワードは、ドメインのパスワード有効期限ポリシーの対象ではないことに注意してください。これは、コンピューターのnetlogonサービスによって制御されます。