none
AD 2016 - после ввода неверного пароля один раз, не пускает в домен даже с верным паролем RRS feed

  • Вопрос

  • Домен существует давно, станции и юзеры не менялись. Подняты два контроллера под 2016 и домен перенесен на них, уровень домена/леса поднят до 2016. Старые контроллеры корректно понижены и выключены. Переход в целом проходил без дизастеров.

    Спустя месяц стали учащаться случаи, когда при включении станции или при разблокировке консоли юзер вводит неверный пароль один раз, ему закономерно отлуп. Но вот он вводит верный пароль(или сменили пароль), а его все равно продолжает не пускать.

    Закономерно в журнале DC: Event  4771, Параметры билета: 0x40810010, Код ошибки:0x18, Тип предварительной проверки подлинности:2.  У юзера атрибут BadPasswordTime=времени инцидента, но количество попыток не зашкаливает и учетка не блокирована.

    Удаленно компьютер недоступен в это время по RPC (рестартить сервисы). Никакие действия с учеткой юзера не помогают. Перезагрузка станции помогает на 100% случаев.

    Еще новые контроллеры теперь размещены в соседней LAN (за маршрутизатором без файрволов), не говорите "фу", не мое талантливое планирование. Более того в LAN со станциями нельзя поднимать дополнительных контроллеров. Короче, широковещания между dc и станциями нет и не будет.

    Что можно поделать, потестить вместо перезагрузки станций? Спасибо за идеи!

    22 июля 2019 г. 10:31

Все ответы

  • Приветствую.

    Как минимум смотреть трафик на Роутерах (Включить Дебаг), файревол понятие порой не однозначное...


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    22 июля 2019 г. 10:41
    Модератор
  • Информация об ошибке в журнале говорит о том, что был предоставлен именно невереный пароль.

    Со стороны контроллеров домена стоит убедиться, что задержек репликации пароля нет. Например, сравнить с помощью команды 

    repadmin /showobjmeta имя_КД distingushedName_пользователя

    метаданные репликации проблемного пользователя для атрибутов userPassword и unicodePwd: если время последнего изменения и номер версии совпадают, то проблема может быть только на стороне рабочей станции - она почему-то шлет не тот пароль.


    Слава России!

    22 июля 2019 г. 11:51
  • Спасибо за ответы! repadmin выдал про сегодняшнюю жертву (26-07-2019 до 8-30 )следующее:

    2019-06-24 15:05:23   57 unicodePwd
    2019-06-24 15:05:23   57 ntPwdHistory
    2019-06-24 15:05:23   61 pwdLastSet
    2019-06-24 15:05:23   56 supplementalCredentials
    2013-10-14 08:39:39    1 accountExpires
    2019-06-24 15:05:23   57 lmPwdHistory
    2019-07-26 08:31:15  247 lockoutTime   (это отработало мое "разблокировать пользователя") вчера и далее юзер работал

    Как вариант я подозреваю, что проблема в учетной записи компа, а не юзера.

    Сегодня она повторилась на терминальном сервере, при чем он был недоступен по RPC, но доступен по RDP(без NPS). Всем юзерам начало выдавать "неверный логин или пароль" в Журнале терминальника ошибки 4625 с кодом 0xC000006D, которые опять-таки расшифровываются в "неверный пароль"

    Еще в 5 утра было событие 5823 netlogon - успешная смена пароля компа на контроллере домена dc.mydomain.local

    Вылечилось перезагрузкой терминальника.

    Что это за пароли компов такие на 2016 AD? и как проверить их валидность, если сам комп по сети на виндовые протоколы не отвечает?

    26 июля 2019 г. 7:10