Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Проблема с учетной записью в домене

Автор: RA85
Дата сообщения: 20.12.2007 08:20
Всем привет! Возникла след. проблема: пользователь меняет пароль, заходит в домен и на один контроллер домена заходит в шары без проблем, на второй контроллер (глобальный каталог и хозяин операций он же) никак не заходит, просит логин пароль, я ввожу в след. формате: домен\имя_пользователя и пароль - ничего не выходит, он просто повторно запрашивает. Захожу в св-ва учетной записи - запись заблокирована(в политике блокировок указано: 5 ошибок входа в систему), убираю блокировку, снова пробую - не выходит и снова блокировка. НО когда пользователь заходит на терм. сервер (он же обычный контроллер домена в шары которого пользователь может попасть), то сводобно попадает на второй контроллер домена(куда прежде попасть не мог). При этом в процессе работы, блокировка уч. записи постоянно возникает. Разобраться в проблеме не могу. Всем заранее благодарен за помощь.
Автор: LomKonAl
Дата сообщения: 20.12.2007 08:32
Интересный вопрос, ажно самому интересно стало.
Автор: RA85
Дата сообщения: 20.12.2007 09:48
В логах компьютера пользователя след. инфа:

с чего все начиналось:

источник ошибки: Kerberos
"В диспетчере учетных данных был введен пароль с ошибкой. Откройте объект "Сохранение имен пользователей и паролей" на панели управления и снова введите ПИН-код для учетных данных XXX\yyy." где XXX - домен, yyy - учетка
дальше:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу ldap/КД/XXX@XXX. Отсутствуют доступные протоколы проверки подлинности.
далее:
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу cifs/КД. Отсутствуют доступные протоколы проверки подлинности.
где КД - контроллер домена - ГК и хозяин операций
источник: LSASRV, категория: SPNEGO (согласователь)
Системе безопасности не удалось установить безопасное подключение к серверу HTTP/КД. Отсутствуют доступные протоколы проверки подлинности.

эти ошибки регулярно повторяются, а подитожить можно вот такой ошибкой:

источник: LSASRV, категория: SPNEGO (согласователь)
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/КД. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.
(0xc0000234)".
Автор: RA85
Дата сообщения: 21.12.2007 06:54
Вообщем переименовал её профиль(профиль локальный), создал новый, все четко, сменил пароль - все четко. Вообщем проблема в профиле, не знаю в чем конкретно, но однозначно в нем, с новым профилем нет проблем.
Автор: theodore
Дата сообщения: 09.07.2008 17:52
Может, кому поможет:
Не знаю, тянет ли на ФАК - пишу здесь. Ситуация: сеть, домен с АД, Win2000 + Win2003 (есть станции с Win9x) все юзеры с перемещаемыми профилями - ибо бродят, у всех есть замапеные диски.
Утром приходит юзер (WinXPSP2) и жалуется, что не пускают его в общую папку, попробовал перегрузится - не пустила система. Смотрю в АД - заблокирован. Разблокирую, он сразу после входа блокируется. Разблокирую - выясняется, пускают вовсюда кроме одного из серверов. С другой станции (WinXPSP2) - картина та же. Характерные записи в логе системы станций (в остальных логах куча страшных сообщений) такая:

Цитата:
System Event Log

Kerberos event ID 14
В диспетчере учетных данных был введен пароль с ошибкой. Откройте объект "Сохранение имен пользователей и паролей" на панели управления и снова введите ПИН-код для учетных данных DOMEN\Pupkin.

LsaSrv event ID 40961
Системе безопасности не удалось установить безопасное подключение к серверу cifs/servak.domen.ru. Отсутствуют доступные протоколы проверки подлинности.


Проблема прояснилась - видимо,что-то не срослось , сервер был недоступен, система спросила у юзера пароль на доступ к серваку - а юзер ввёл неправильный пароль и поставил "сохранить".
Однако, станция в домене - до сохранённых паролей не добраться хоть убейся.
Помогло вот это Access Stored User Names and Passwords with rundll32.exe
Статья короткая - вот она:

Цитата:
TweakXP Member
The Stored User Names and Passwords applet lets you assign user names and passwords to use when needing to authenticate yourself to services in domains other than the one you are currently logged into. The normal way of running this applet can be difficult to find quickly, so here is a way to launch it using a desktop shortcut using the rundll32.exe program:

Click on START - RUN and type the following (follwed by ENTER):

rundll32.exe keymgr.dll,KRShowKeyMgr


После этого проблема решилась за примерно секунд 10 .

взято здесь: http://www.sql.ru/forum/actualthread.aspx?tid=147719&pg=86
Автор: VEnZ0ja
Дата сообщения: 10.03.2009 13:39
theodore


Цитата:
Click on START - RUN and type the following (follwed by ENTER):

rundll32.exe keymgr.dll,KRShowKeyMgr


спасибо) помогло.
Автор: disaboard
Дата сообщения: 06.05.2009 11:19
А мне rundll32.exe keymgr.dll,KRShowKeyMgr не помогло
Домен на Srv2003. На нескольких рабочих станция XP периодически появляется системное событие 40960:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/SRV. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

и за ним событие 40961:
Системе безопасности не удалось установить безопасное подключение к серверу cifs/SRV. Отсутствуют доступные протоколы проверки подлинности.

После этого сеть недоступна до перезагрузки. После ребута день работает нормально, но ночью опять эта хрень.

В rundll32.exe keymgr.dll,KRShowKeyMgr - пусто
Автор: LX77
Дата сообщения: 18.05.2009 11:35
disaboard
у меня такая трабла, ща разбираюсь.

Цитата:
Тип события:    Предупреждение
Источник события:    LSASRV
Категория события:    SPNEGO (согласователь)
Код события:    40960
Дата:        17.05.2009
Время:        23:44:15
Пользователь:        Н/Д
Компьютер:    XXX
Описание:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/172.X.X.X. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

+ за ним второе:

Цитата:
Тип события:    Предупреждение
Источник события:    LSASRV
Категория события:    SPNEGO (согласователь)
Код события:    40961
Дата:        17.05.2009
Время:        23:44:15
Пользователь:        Н/Д
Компьютер:    XXX
Описание:
Системе безопасности не удалось установить безопасное подключение к серверу cifs/172.X.X.X. Отсутствуют доступные протоколы проверки подлинности.

Это все на моем ноуте, на работе он введен в домен, а дома выскакивает такая хрень. Дома локалка от провайдера и 172-я сеть - это как раз она. Разбираюсь пока, мож параллельно кто подскажет.
Автор: Infected Switch
Дата сообщения: 14.10.2009 16:48
+1
Кто-нибудь решил проблему?
Автор: kOSts
Дата сообщения: 01.02.2010 22:31
+1
Есть решение?
Автор: tralala85
Дата сообщения: 10.02.2010 08:17
тоже на одном клиенте постоянно 40960 и 40961 выскакивают. не знаю что делать
Автор: GhoolVandal
Дата сообщения: 06.09.2010 12:58
Мне помогло rundll32.exe keymgr.dll,KRShowKeyMgr + Reboot
Автор: rulezztim
Дата сообщения: 03.11.2010 11:18
Блин, неужели за три года не найдено решения? У меня та же проблема началась 40960 и 40961. Сохраненных паролей нет.
Автор: demon1369
Дата сообщения: 26.11.2010 09:39
Проблема решилась следующим образом: удаление учетной записи на контроллере домена, создание новой, запуск принудительной репликации. Последнее обязательно!! Данный глюк возникае эпизодически. Закономерности не наблюдается.
Автор: kromanyonec
Дата сообщения: 26.11.2010 13:10
Если +1 относиться к заглавному посту темы, которому уже три года, то все просто. Пароль на доступ к конкретному компу был запомнен в системе. После смены пароля в домене, виндовс все равно шлет на комп то, что запомнила. control userpasswords2 вам в помощь
Автор: solstice
Дата сообщения: 10.03.2011 15:38
Такая же проблема, но похуже: два домена с трастами, соседский контроллер домена при назначении прав на папку не может получить список наших пользователей. Выпадает ошибка. Причем с Windows 7, 2008 все получается отлично.
Автор: FL0od13
Дата сообщения: 10.03.2011 16:06
solstice

Цитата:
Причем с Windows 7, 2008 все получается отлично.

Попробуйте копнуть в сторону настроек LM, NTLM, NTLMv2 на клиентских машинах с XP.
http://support.microsoft.com/kb/954387/en-us
Автор: solstice
Дата сообщения: 11.03.2011 10:22

Цитата:
Попробуйте копнуть в сторону настроек LM, NTLM, NTLMv2 на клиентских машинах с XP.
http://support.microsoft.com/kb/954387/en-us

Доменными политиками всем машинам на ХР принудительно включается "Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLM ответ". Для серверов уровень проверки подлинности не назначается политиками, но тоже LMCompatibilityLevel=2, т. е. "Отправлять только NTLM ответ".
Автор: FL0od13
Дата сообщения: 11.03.2011 11:07
solstice
Тогда текст ошибки приведите.
Автор: solstice
Дата сообщения: 11.03.2011 12:22

Цитата:
Система безопасности обнаружила попытку атаки для понижения роли сервера ldap/serv.domain.local/domain.local@DOMAIN.LOCAL. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
Автор: FL0od13
Дата сообщения: 11.03.2011 16:33
Проблема с трастами.
Вам нужно тщательнее описать проблему (между какими доменами трасты (версии КД), проходят ли тесты трастов между доменами, dcdiag и т.п.).
Возможно, стоит завести отдельную тему.
Автор: solstice
Дата сообщения: 16.03.2011 15:03
FL0od13
Спасибо за наводки, буду разбираться.
Автор: vgrin2
Дата сообщения: 08.10.2011 20:46
была подобная проблема - причина оказалась банальной - рассинхронизация времени.
рабочая станция по своим часам немного уходит - и тут же отбрасывает из AD.
более подробное решение тут:
для раб станции http://support.microsoft.com/kb/314054
для сервера http://support.microsoft.com/kb/816042/ru
только надо на раб станции проверить чтоб фаервол не блокировал и правильно настроить с кого брать время.
удачи!
Автор: daledale
Дата сообщения: 05.11.2011 22:55
Может кому-нить поможет. Была аналогичная проблема, точнее как выяснилось даже не проблема, а шаловливые ручки. Конфа dc - W2k3 x64 + одна машинка в домене, весьма странно себя вела, причём те же самые сообщения в журнале событий. Собственно начал ковырять, выяснилось, что некие умники (ну вот так получилось) взяли, да и присвоили статику машинке, при этом поле DNS оставили пустым разумеется. Ну и всё.
Собственно эти товарищи (приходящие) товарищи устанавливали некую софтину, меня не было в офисе, спросили пароль. Установили, ушли. Зачем нужно было назначать машине статику - непонятно, ведь всё было настроено и усё работало, но это уже тема кривых рук и другой истории)).
Автор: Igoreshka_Dolphin
Дата сообщения: 24.01.2014 06:56

Цитата:
FL0od13
Спасибо за наводки, буду разбираться.


Понимаю, что тема очень стара, но интересно solstice разобрался в итоге с данным вопросом? У меня такие же ошибки только у одной учетной записи. Указанные выше способы исправления не помогают (.
И хотелось бы узнать что значит
Цитата:
Проблема с трастами.
?

Домен всего один


======================
Прошу прощения, вопрос решен.



Автор: Naryck
Дата сообщения: 22.10.2014 20:58
Спасибо, сработало

Страницы: 1

Предыдущая тема: w2k3 - не реплицируется SYSVOL


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.