این خطا زمانی رخ میدهد که رابطه اعتماد بین کامپیوتر عضو دامنه و کنترلر دامنه (در این مورد سرور 2012 R2 و اکتیو دایرکتوری ویندوز 2003) از بین رفته است.
بازنشانی رابطه اعتماد از طریق کامپیوتر عضو دامنه:
1. به سرور 2012 R2 به صورت لوکال لاگین کنید (با حساب administrator محلی)
2. PowerShell را به عنوان administrator اجرا کنید و دستور زیر را وارد کنید:
Reset-ComputerMachinePassword -Server "نام_کنترلر_دامنه" -Credential "نام دامنه\administrator"
GPO ها به 4 بخش تقسیم می شوند:
1- Local Computer
2- OU
3- Site
4- Domain
خوب حالا اون دو تا GPO پیش فرض Domain به صورت زیر است:
1- Default Domain Controllers Policy: این GPO همانطور که از اسمش و مکانی که Assign شده پیدا هست، فقط به DC ها اعمال می شود. و یا به عبارت دیگر فقط به Computer Account هایی که در OU ی Domain Controllers قرار دارند، اعمال می شود.
2- Default Domain Policy: و این GPO هم همانطور که از اسم و مکانی که به صورت پیش فرض Assign شده پیداست، به object های(user & computer) موجود در کل Domain اعمال می شود. یعنی به هر کامپیوتر که join شود و هر ou ای که ساخته شود این پالیسی اعمال می شود مگر اینکه خودمان دستی پالیسی دیگری را به آنها Assign کنیم.
و نکته آخر در مجموع، پالیسی هایی به object های ما اعمال می شوند که دارای اولویت بالاتری باشند.
حالا پالیسی هامو تو کدومش بزنم بهتر هستش؟
در جواب باید گفت که هیچ کدام!؟
بهترین راه این هست که شما policy مورد نظرتون را ایجاد کنید (روی OU مورد نظرتون کلیک راست کنید و گزینه Create a GPO... را انتخاب کنید) و تغییری در پالیسی های default ندهید، تا اگر مشکلی پیش اومد پالیسی های خودتون رو پاک کنید و دوباره پالیسی های Default خود Domain را Assign کنید.
منبع: توسینسو
روی کامپیوتر کلاینت برای Local Security Policy از دستور gpedit.msc استفاده می شود
روی سرور Active Directory برای Group Policy Management از دستور gpmc.msc استفاده می شود