全部博文(136)
分类: WINDOWS
2006-11-12 17:06:30
2、用户登录时,若碰巧连接到一个非PDC仿真主控的DC上进行身份验证,如果:
·用户输入的密码与该DC上存储的相同,同意登录,颁发令牌。
·若用户输入的密码与该DC上存储的不相同,并不会马上拒绝登录,该DC会立即联系PDC仿真主控进行确认:最底是用户的密码错误,还是自己未及时和PDC仿真同步。
结合我前面答的贴子:
MS考虑到笔记本电脑用户的脱机文件的应用,默认本地缓存密码。第二次用户登录时,即使断开它的网线,仍可以登录进去。是用本地缓存验证的。
解决方法:在默认的域的组策略/计算机/配置安全设置/本地策略/安全选项下,设置
交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)=0
即不缓存密码。
说明:此策略的最大值为50,设置50以上均认为是50。默认值相当于是1。
脱机并不一定非得是真正的断开网线,比如客户机的DNS未指向DC所用的DNS,而单纯依赖不可靠的、且不可跨路由的浏览服务;又比如客户机指对了,但DNS服务器又出现了问题,导致用户无法找到DC,这都会导致客户机使用本地缓存进行验证。
综合所述,排错应该从以下三个方面着眼: 1、是否是由于密码缓存引起的。 2、是否是由于DNS故障引起的。 3、是否是由于PDC仿真主控失效引起的。
操作步骤:略。
如果你只是个初级网管,建议你找个明白人帮你调一下。否则可能会越搞越糟,DNS的SRV记录,PDC仿真主控的唯一性、查封。操作不当都会导致需要重装服务,重装系统等麻烦。
没有别的意思,我只是担心别是我没帮到你,反而问题更复杂化了,因为你管理的是5个域的较大的网络。又因为经常有网管给我打手机,说问题再不解决他就要走人了,所以要慎重
