Windows Server 2008R2ドメインおよび機能レベルで実行されているドメインDOM1にWindowsServer2012ドメインコントローラーがあります。 DOM1の他のすべてのドメインコントローラーは2008R2です。 DOM1は、Windows Server2003フォレストおよび機能レベルで実行されている別のドメインDOM2との双方向の非推移的な信頼を持っています。
ドメインコントローラーと同じLAN上にあるDOM1上に1台のWindows7マシンがあります。 DOM2のアカウントを持つユーザーがこのマシンにログインしようとすると、次のエラーが発生します。
サーバー上のセキュリティデータベースには、このワークステーションの信頼関係のためのコンピューターアカウントがありません。
2012ドメインコントローラーの電源をオフにすると、エラーは表示されず、ユーザーはログインできます。DCをオンに戻すと、ユーザーにエラーが発生します。
昨日、DCをオンにして、Windows 7マシンのDOM1からの参加を解除し、再度参加しました。その後、ユーザーはログインできました。しかし、今日、ユーザーは再びエラーを受け取りました。私はDCをオフにして、ユーザーがログインしました。
Windows 7マシンをドメインに再参加させた後、コンピューターアカウントがADに無効として表示されることに気付きました。
同じ場所にある他のいくつかのコンピューターでもエラーが発生しますが、ほとんどのコンピューターではエラーが発生しません。
これが私の質問です:
Why does the error occur only when the 2012 DC is on?
How is the user able to log into the Windows 7 machine even if the computer account is disabled?
2012 DCがオンの場合にのみエラーが発生するのはなぜですか?
コンピューターがWindows2012ドメインコントローラーに接続しているためです。Windows2012ドメインコントローラーにはその記録がありません。これは、そのドメインコントローラーと残りのドメインコントローラー間のActiveDirectory同期の問題を示しています。
コンピューターアカウントが無効になっている場合でも、ユーザーはどのようにしてWindows 7マシンにログインできますか?
ユーザーがドメインチェックをバイパスできるようにキャッシュされた資格情報である可能性があります。または、コンピューターがチェックしているドメインコントローラーでアカウントが無効になっていない可能性があります。
いずれにせよ、同期されていないドメインをできるだけ早く修正する必要があります。これが長く続くほど、状況は悪化し、対処が難しくなります。