Всем привет! Возникла след. проблема: пользователь меняет пароль, заходит в домен и на один контроллер домена заходит в шары без проблем, на второй контроллер (глобальный каталог и хозяин операций он же) никак не заходит, просит логин пароль, я ввожу в след. формате: домен\имя_пользователя и пароль - ничего не выходит, он просто повторно запрашивает. Захожу в св-ва учетной записи - запись заблокирована(в политике блокировок указано: 5 ошибок входа в систему), убираю блокировку, снова пробую - не выходит и снова блокировка. НО когда пользователь заходит на терм. сервер (он же обычный контроллер домена в шары которого пользователь может попасть), то сводобно попадает на второй контроллер домена(куда прежде попасть не мог). При этом в процессе работы, блокировка уч. записи постоянно возникает. Разобраться в проблеме не могу. Всем заранее благодарен за помощь.
» Проблема с учетной записью в домене
Интересный вопрос, ажно самому интересно стало.
В логах компьютера пользователя след. инфа:
с чего все начиналось:
источник ошибки: Kerberos
"В диспетчере учетных данных был введен пароль с ошибкой. Откройте объект "Сохранение имен пользователей и паролей" на панели управления и снова введите ПИН-код для учетных данных XXX\yyy." где XXX - домен, yyy - учетка
дальше:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу ldap/КД/XXX@XXX. Отсутствуют доступные протоколы проверки подлинности.
далее:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу cifs/КД. Отсутствуют доступные протоколы проверки подлинности.
где КД - контроллер домена - ГК и хозяин операций
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу HTTP/КД. Отсутствуют доступные протоколы проверки подлинности.
эти ошибки регулярно повторяются, а подитожить можно вот такой ошибкой:
источник: LSASRV, категория: SPNEGO (согласователь)
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/КД. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.
(0xc0000234)".
с чего все начиналось:
источник ошибки: Kerberos
"В диспетчере учетных данных был введен пароль с ошибкой. Откройте объект "Сохранение имен пользователей и паролей" на панели управления и снова введите ПИН-код для учетных данных XXX\yyy." где XXX - домен, yyy - учетка
дальше:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу ldap/КД/XXX@XXX. Отсутствуют доступные протоколы проверки подлинности.
далее:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу cifs/КД. Отсутствуют доступные протоколы проверки подлинности.
где КД - контроллер домена - ГК и хозяин операций
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу HTTP/КД. Отсутствуют доступные протоколы проверки подлинности.
эти ошибки регулярно повторяются, а подитожить можно вот такой ошибкой:
источник: LSASRV, категория: SPNEGO (согласователь)
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/КД. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.
(0xc0000234)".
Вообщем переименовал её профиль(профиль локальный), создал новый, все четко, сменил пароль - все четко. Вообщем проблема в профиле, не знаю в чем конкретно, но однозначно в нем, с новым профилем нет проблем.
Может, кому поможет:
Не знаю, тянет ли на ФАК - пишу здесь. Ситуация: сеть, домен с АД, Win2000 + Win2003 (есть станции с Win9x) все юзеры с перемещаемыми профилями - ибо бродят, у всех есть замапеные диски.
Утром приходит юзер (WinXPSP2) и жалуется, что не пускают его в общую папку, попробовал перегрузится - не пустила система. Смотрю в АД - заблокирован. Разблокирую, он сразу после входа блокируется. Разблокирую - выясняется, пускают вовсюда кроме одного из серверов. С другой станции (WinXPSP2) - картина та же. Характерные записи в логе системы станций (в остальных логах куча страшных сообщений) такая:
Цитата:
Проблема прояснилась - видимо,что-то не срослось
, сервер был недоступен, система спросила у юзера пароль на доступ к серваку - а юзер ввёл неправильный пароль и поставил "сохранить".
Однако, станция в домене - до сохранённых паролей не добраться хоть убейся.
Помогло вот это Access Stored User Names and Passwords with rundll32.exe
Статья короткая - вот она:
Цитата:
После этого проблема решилась за примерно секунд 10.
взято здесь: http://www.sql.ru/forum/actualthread.aspx?tid=147719&pg=86
Не знаю, тянет ли на ФАК - пишу здесь. Ситуация: сеть, домен с АД, Win2000 + Win2003 (есть станции с Win9x) все юзеры с перемещаемыми профилями - ибо бродят, у всех есть замапеные диски.
Утром приходит юзер (WinXPSP2) и жалуется, что не пускают его в общую папку, попробовал перегрузится - не пустила система. Смотрю в АД - заблокирован. Разблокирую, он сразу после входа блокируется. Разблокирую - выясняется, пускают вовсюда кроме одного из серверов. С другой станции (WinXPSP2) - картина та же. Характерные записи в логе системы станций (в остальных логах куча страшных сообщений) такая:
Цитата:
System Event Log
Kerberos event ID 14
В диспетчере учетных данных был введен пароль с ошибкой. Откройте объект "Сохранение имен пользователей и паролей" на панели управления и снова введите ПИН-код для учетных данных DOMEN\Pupkin.
LsaSrv event ID 40961
Системе безопасности не удалось установить безопасное подключение к серверу cifs/servak.domen.ru. Отсутствуют доступные протоколы проверки подлинности.
Проблема прояснилась - видимо,что-то не срослось
, сервер был недоступен, система спросила у юзера пароль на доступ к серваку - а юзер ввёл неправильный пароль и поставил "сохранить". Однако, станция в домене - до сохранённых паролей не добраться хоть убейся.
Помогло вот это Access Stored User Names and Passwords with rundll32.exe
Статья короткая - вот она:
Цитата:
TweakXP Member
The Stored User Names and Passwords applet lets you assign user names and passwords to use when needing to authenticate yourself to services in domains other than the one you are currently logged into. The normal way of running this applet can be difficult to find quickly, so here is a way to launch it using a desktop shortcut using the rundll32.exe program:
Click on START - RUN and type the following (follwed by ENTER):
rundll32.exe keymgr.dll,KRShowKeyMgr
После этого проблема решилась за примерно секунд 10
. взято здесь: http://www.sql.ru/forum/actualthread.aspx?tid=147719&pg=86
theodore
Цитата:
спасибо) помогло.
Цитата:
Click on START - RUN and type the following (follwed by ENTER):
rundll32.exe keymgr.dll,KRShowKeyMgr
спасибо) помогло.
А мне rundll32.exe keymgr.dll,KRShowKeyMgr не помогло 
Домен на Srv2003. На нескольких рабочих станция XP периодически появляется системное событие 40960:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/SRV. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
и за ним событие 40961:
Системе безопасности не удалось установить безопасное подключение к серверу cifs/SRV. Отсутствуют доступные протоколы проверки подлинности.
После этого сеть недоступна до перезагрузки. После ребута день работает нормально, но ночью опять эта хрень.
В rundll32.exe keymgr.dll,KRShowKeyMgr - пусто
Домен на Srv2003. На нескольких рабочих станция XP периодически появляется системное событие 40960:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/SRV. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
и за ним событие 40961:
Системе безопасности не удалось установить безопасное подключение к серверу cifs/SRV. Отсутствуют доступные протоколы проверки подлинности.
После этого сеть недоступна до перезагрузки. После ребута день работает нормально, но ночью опять эта хрень.
В rundll32.exe keymgr.dll,KRShowKeyMgr - пусто
disaboard
у меня такая трабла, ща разбираюсь.
Цитата:
+ за ним второе:
Цитата:
Это все на моем ноуте, на работе он введен в домен, а дома выскакивает такая хрень. Дома локалка от провайдера и 172-я сеть - это как раз она. Разбираюсь пока, мож параллельно кто подскажет.
у меня такая трабла, ща разбираюсь.
Цитата:
Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40960
Дата: 17.05.2009
Время: 23:44:15
Пользователь: Н/Д
Компьютер: XXX
Описание:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/172.X.X.X. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
+ за ним второе:
Цитата:
Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40961
Дата: 17.05.2009
Время: 23:44:15
Пользователь: Н/Д
Компьютер: XXX
Описание:
Системе безопасности не удалось установить безопасное подключение к серверу cifs/172.X.X.X. Отсутствуют доступные протоколы проверки подлинности.
Это все на моем ноуте, на работе он введен в домен, а дома выскакивает такая хрень. Дома локалка от провайдера и 172-я сеть - это как раз она. Разбираюсь пока, мож параллельно кто подскажет.
+1
Кто-нибудь решил проблему?
Кто-нибудь решил проблему?
+1
Есть решение?
Есть решение?
тоже на одном клиенте постоянно 40960 и 40961 выскакивают. не знаю что делать
Мне помогло rundll32.exe keymgr.dll,KRShowKeyMgr + Reboot
Блин, неужели за три года не найдено решения? У меня та же проблема началась 40960 и 40961. Сохраненных паролей нет.
Проблема решилась следующим образом: удаление учетной записи на контроллере домена, создание новой, запуск принудительной репликации. Последнее обязательно!! Данный глюк возникае эпизодически. Закономерности не наблюдается.
Если +1 относиться к заглавному посту темы, которому уже три года, то все просто. Пароль на доступ к конкретному компу был запомнен в системе. После смены пароля в домене, виндовс все равно шлет на комп то, что запомнила. control userpasswords2 вам в помощь
Такая же проблема, но похуже: два домена с трастами, соседский контроллер домена при назначении прав на папку не может получить список наших пользователей. Выпадает ошибка. Причем с Windows 7, 2008 все получается отлично.
solstice
Цитата:
Попробуйте копнуть в сторону настроек LM, NTLM, NTLMv2 на клиентских машинах с XP.
http://support.microsoft.com/kb/954387/en-us
Цитата:
Причем с Windows 7, 2008 все получается отлично.
Попробуйте копнуть в сторону настроек LM, NTLM, NTLMv2 на клиентских машинах с XP.
http://support.microsoft.com/kb/954387/en-us
Цитата:
Попробуйте копнуть в сторону настроек LM, NTLM, NTLMv2 на клиентских машинах с XP.
http://support.microsoft.com/kb/954387/en-us
Доменными политиками всем машинам на ХР принудительно включается "Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLM ответ". Для серверов уровень проверки подлинности не назначается политиками, но тоже LMCompatibilityLevel=2, т. е. "Отправлять только NTLM ответ".
solstice
Тогда текст ошибки приведите.
Тогда текст ошибки приведите.
Цитата:
Система безопасности обнаружила попытку атаки для понижения роли сервера ldap/serv.domain.local/domain.local@DOMAIN.LOCAL. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
Проблема с трастами.
Вам нужно тщательнее описать проблему (между какими доменами трасты (версии КД), проходят ли тесты трастов между доменами, dcdiag и т.п.).
Возможно, стоит завести отдельную тему.
Вам нужно тщательнее описать проблему (между какими доменами трасты (версии КД), проходят ли тесты трастов между доменами, dcdiag и т.п.).
Возможно, стоит завести отдельную тему.
FL0od13
Спасибо за наводки, буду разбираться.
Спасибо за наводки, буду разбираться.
была подобная проблема - причина оказалась банальной - рассинхронизация времени.
рабочая станция по своим часам немного уходит - и тут же отбрасывает из AD.
более подробное решение тут:
для раб станции http://support.microsoft.com/kb/314054
для сервера http://support.microsoft.com/kb/816042/ru
только надо на раб станции проверить чтоб фаервол не блокировал и правильно настроить с кого брать время.
удачи!
рабочая станция по своим часам немного уходит - и тут же отбрасывает из AD.
более подробное решение тут:
для раб станции http://support.microsoft.com/kb/314054
для сервера http://support.microsoft.com/kb/816042/ru
только надо на раб станции проверить чтоб фаервол не блокировал и правильно настроить с кого брать время.
удачи!
Может кому-нить поможет. Была аналогичная проблема, точнее как выяснилось даже не проблема, а шаловливые ручки. Конфа dc - W2k3 x64 + одна машинка в домене, весьма странно себя вела, причём те же самые сообщения в журнале событий. Собственно начал ковырять, выяснилось, что некие умники (ну вот так получилось) взяли, да и присвоили статику машинке, при этом поле DNS оставили пустым разумеется. Ну и всё.
Собственно эти товарищи (приходящие) товарищи устанавливали некую софтину, меня не было в офисе, спросили пароль. Установили, ушли. Зачем нужно было назначать машине статику - непонятно, ведь всё было настроено и усё работало, но это уже тема кривых рук и другой истории)).
Собственно эти товарищи (приходящие) товарищи устанавливали некую софтину, меня не было в офисе, спросили пароль. Установили, ушли. Зачем нужно было назначать машине статику - непонятно, ведь всё было настроено и усё работало, но это уже тема кривых рук и другой истории)).
Цитата:
FL0od13
Спасибо за наводки, буду разбираться.
Понимаю, что тема очень стара, но интересно solstice разобрался в итоге с данным вопросом? У меня такие же ошибки только у одной учетной записи. Указанные выше способы исправления не помогают (.
И хотелось бы узнать что значит
Цитата:
Проблема с трастами.?
Домен всего один
======================
Прошу прощения, вопрос решен.
Спасибо, сработало
Страницы: 1
Предыдущая тема: w2k3 - не реплицируется SYSVOL
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.