О наличии проблемы дубликатов могут свидетельствовать сообщения в журнале системы на домен контроллере: «KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя: host/hostname.domen.ru (тип DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению до NTLM. Чтобы предотвратить появление подобной ситуации, удалите в Active Directory повторяющиеся записи для host/hostname.domen.ru.»
А также сообщение при входе на рабочую станцию через rdp: «База данных учетных записей сервере не содержит записи регистрации компьютера через доверительные отношения с этой рабочей станции»
В первом случае нужно убедиться в отсутствии spn дубликатов, запустив проверку с домен контроллера.
setspn.exe -X
Далее нужно удалить или скорректировать доменные имена станций, возможной причиной будут ручные записи в dns и dhcp.
После этого проверяем работоспособность. Если это не принесло результатов, то можно проверить и восстановить доверенный канал с доменом.
- Восстанавливаем доверительные отношения с доменом и сбрасываем учетную запись ПК.
netdom reset /d:имя_домена имя_ПК /server:имя_контроллера_домена /uo:имя_пользователя /po:пароль
Для того чтобы не писать пароль в открытом виде, можно указать вместо параметра /po звездочку *
2. Сброс пароля учетной записи компьютера в AD.
Netdom Resetpwd /Server:имя-контроллера-домена /UserD:учетная-запись-администратора-домена /SecurePasswordPrompt /PasswordD:*
Для того чтобы зайти на проблемную машину, необходимо отключить сетевой LAN кабель, либо войти под локальным пользователем.