想請教關於電腦加入網域後，沒幾天就出現與工作站信任關係失敗的問題

gcb,windows10 gcb ad

wick_huang 2022-02-17 16:27:30 ‧ 3637 瀏覽

分享至

關於最近待的單位，有群PC加入網域後，沒幾天就出現與工作站信任關係失敗的問題
有裝還原卡EZ-Back SYSTEM

附圖為GCB的設定

但還原卡廠商是這樣回覆的以下為廠商回覆，想請問板友真是GCB的設定影響到PC嗎?

目前會發生【網域信任關係失敗】之PC，是因為網域規則內有一個規則為：【網域成員：最長電腦帳號戶密碼有效期】設定到30天。(或者更短的日期)

如下圖所示

請協助看一下電腦裡面的【本機安全原則】→【安全性選項】→【網域成員：最長電腦帳號戶密碼有效期】是否為30天

若有管理權限，可以試著將30天的設定延長

進入登入編輯器：regedit

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
路徑下：將
"DisablePasswordChange" 將此值改為1，[停用電腦帳戶密碼變更] 改為[已啟用]。
MaximumPasswordAge 將此值改為 f4240 可延長為1000000天。

但是若再次套用網域規則(或GCB規則後)，若此設定值修正為30天。可能就必須要將此電腦脫離網域，才有可能解決單位登入問題。

窮嘶發發發 iT邦高手 1 級 ‧ 2022-02-17 17:06:13 檢舉

還原卡不適合加入網域的電腦使用，如果你非要使用能夠重開就系統還原的話，你應該用子系VHD開機並且以READ-ONLY去啟動系統，這樣你每次重開機回到原始的狀態，如果你的系統有必要更新，那就是選擇父系VHD開機，接著就是做好更新的動作，再重新建立子系VHD，之後用新的子系VHD開機，有不少商用環境是這麼做的，例如巨X電腦之類補教業者

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2022-02-17 17:31:30

最佳解答

如果他的還原卡要求這樣才能過的話, 代表這家還原卡不能與 GCB 相容.

再來就要看決策單位決定怎麼做了:

違反上級資安命令, 撤銷 GCB 設定
全面廢除 EZ-Back, 改用其他方案
每隔 30 天重做一次還原 Image

上面三個挑一個做就可以.....

還原卡會跟這條 GCB 牴觸的原因是這樣:

還原卡一旦做還原的 Image 時, 他連當時的 Computer Password 也一併寫入 Image 了. 問題是, 這個 Password token 被寫定之後, 就不會再變動, 所以他會永遠停在 D Day.

接下來:
如果你的電腦在 D+30 天以內執行還原:
此時跟 DC 之間驗證的 Computer password token 尚未輪替, 所以還原回來的 token, 跟你目前使用的 token 相同, 驗證就沒有問題, 不會被踢出網域.

如果你的電腦在 D+30 天以後執行還原:
此時跟 DC 之間驗證的 Computer password token 已經替換成新版的, 還原回來的舊 token, 跟你目前使用的新 token 不同, 驗證不過關, 只好被踢出網域.

這個 Token 為何要經常輪替?

這是資安的需要, 避免有人竊取某台電腦的 Token 之後, 偽造自己的身分直接就進入網域.

所以, 如果你真的把 GCB 關掉, 將來萬一出現上面這種狀況, 導致單位內發生資安事件而資料受損的話, 請問這條鍋要叫誰出來背? (當然是:誰下令關掉的, 誰就要出來當砲灰)

追根究底, 這是還原卡廠商不瞭解 Windows 還原的正確作法, 又不知道如何解, 所以才教你這種棄械投降式的解法; 這種還原卡缺乏資安專業, 遲早會讓你的單位出事...

(正確的作法: 應該要在執行還原的時候, 先把當初記下來的舊 Token 砍掉, 跟 DC 重新同步過拿到新的 Token, 恢復網域之後, 才將電腦還給使用者, 這個動作可以用 Sysprep 程序來做前處理; 但還原卡廠商大部分只知道如何做到單機還原, 它們並不懂如何做網域內的還原, 這方面可能許多世界級的備份軟體要比他們懂很多....)