![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
6 個問題
你好
謝謝您在Microsoft Community發文。
檢查 DNS 配置
DNS 設定:確保用戶端的 DNS 設定正確,指向的是您網域中的 DNS 伺服器,而不是本機 DNS 或其他外部 DNS。網域控制器和網域解析依賴 DNS,如果 DNS 配置錯誤,可能會導致與網域控制器的通訊中斷。
在用戶端電腦上,執行 ipconfig /all,檢查 DNS 伺服器 設定,確保指向網域內的 DNS 伺服器。
檢查 DNS 解析:確保用戶端可以正確解析網域控制站的名稱。可以透過 nslookup 指令進行測試:
nslookup
檢查 DNS 反向解析:除了正向解析外,還需要檢查網域控制站的反向解析是否正常。可以使用 nslookup 來查看是否能解析到正確的 IP 位址。
檢查網路連線和時間同步
網路連線問題:確保客戶端能夠存取網域控制器,尤其是透過 TCP/IP 連線。您可以透過 ping 指令測試與網域控制站的連通性:
ping
如果無法 ping 通,表示可能有網路連線問題,您需要進一步排查網路設定。
時間同步:網域控制站和客戶端的時間必須同步,否則身份驗證會失敗。使用 w32tm 指令檢查用戶端與網域控制器的時間是否一致:
w32tm /query /status
如果時間不同步,可以透過以下命令重新同步:
w32tm /resync
檢查用戶帳號的權限和狀態
密碼變更原則:儘管您提到 AD 中沒有對該帳號的密碼變更進行限制,但請確保該使用者沒有被設定為 密碼永不過期,並且 使用者帳戶未被鎖定。
帳戶鎖定與限制:透過 Active Directory 使用者和電腦(Active Directory Users and Computers,ADUC)檢查該使用者帳戶是否有其他限制(如帳戶已鎖定、到期、停用等)。
使用 net user 命令:您也可以使用以下命令來檢查使用者帳戶的狀態:
net user /domain
本機的帳戶快取問題
快取憑證問題:如果該用戶端之前沒有與網域控制站同步,或離線時無法驗證憑證,可能導緻密碼變更時出現問題。可以嘗試在客戶端清除 快取憑證:
開啟 控制台 > 使用者帳戶 > 管理憑證,然後刪除任何儲存的憑證,嘗試重新登入。
強制刷新使用者憑證:您也可以透過命令列清除憑證快取:
rundll32.exe keymgr.dll,KRShowKeyMgr
然後刪除相關的憑證。
檢查本地安全策略
本機安全性原則問題:檢查客戶端的 本機安全性原則,確認沒有阻止密碼變更的設定。可以在 本機群組原則編輯器 中查看相關的設定:
開啟 gpedit.msc。
導覽至 電腦設定 > Windows 設定 > 安全性設定 > 本機原則 > 使用者權限分配,檢查是否有任何限制對密碼變更產生影響的政策。
查看事件日誌
用戶端事件日誌:在用戶端電腦上查看 事件檢視器,特別是 Windows 日誌 > 安全性 和 系統 日誌,看是否有與驗證相關的錯誤訊息。
尋找有關 Kerberos 或 驗證 的事件,通常會包含更多的錯誤代碼和詳細資訊。
網域控制站事件日誌:在網域控制站上查看 事件檢視器 > Windows 日誌 > 安全性 和 應用程式 日誌,檢查是否有關於該使用者帳號嘗試變更密碼的錯誤訊息。
我希望以上資訊對您有所幫助。
此致敬禮
Runjie Zhai