none
Проблема с клиентскими машинами в домене. Не работают групповые политики, подключение по локальной сети(Подлинность не проверена) LsaSrv 40960 Прошу помощи!!!(Возможно проблема с Kerberos) RRS feed

  • Вопрос

  • Добрый день! После восстановление из резервной копии трехдневной давности столкнулся с проблемой в домене на клиентских ПК не применяются групповые политики, при этом подключение к доменной сети выдает ошибку "Подлинность не проверена". В просмотре событий следующие ошибки: 

    Система безопасности выявила ошибку проверки подлинности для сервера ldap/ADDC.geodata.local. Код сбоя от протокола проверки подлинности Kerberos: "  (0x80080341)".

    Система безопасности выявила ошибку проверки подлинности для сервера LDAP/ADDC.geodata.local/geodata.local@GEODATA.LOCAL. Код сбоя от протокола проверки подлинности Kerberos: "  (0x80080341)".

    Система безопасности выявила ошибку проверки подлинности для сервера cifs/ADDC.geodata.local. Код сбоя от протокола проверки подлинности Kerberos: "  (0x80080341)".

    Ошибка при обработке групповой политики. Не удалось разрешить имя пользователя. Возможные причины: 
    a) Ошибка разрешения имен на текущем контроллере домена. 
    b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).

    У некоторых пользователей ошибка при обработке политики ссылается на недоступность контроллера домена.

    Выход из домена и повторное заведение в домен проблемы не решает. Удаление пк из домена так же не помогает.

    Если компьютер ранее никогда не заводился в домен, то после присоединения проблем и ошибок нет. 

    Данные DCdiag 

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = ADDC
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\ADDC
          Запуск проверки: Connectivity
             ......................... ADDC - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\ADDC
          Запуск проверки: Advertising
             ......................... ADDC - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... ADDC - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... ADDC - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... ADDC - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... ADDC - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... ADDC - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... ADDC - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... ADDC - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... ADDC - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... ADDC - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... ADDC - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... ADDC - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... ADDC - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0xC000001B
                Время создания: 12/18/2018   10:28:43
                Строка события:
                При обработке TGS-запроса для конечного сервера ldap/ADDC.geodata.local обнаружено, что учетная запись hrom_10@GEODATA.LOCAL не имеет подходящего ключа для создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы - 1. Доступные E-типы учетных записей - 23  -133  -128  18  17.
             Возникла ошибка. Код события (EventID): 0xC000001B
                Время создания: 12/18/2018   10:28:46
                Строка события:
                При обработке TGS-запроса для конечного сервера cifs/ADDC.geodata.local обнаружено, что учетная запись hrom_10@GEODATA.LOCAL не имеет подходящего ключа для создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы - 1. Доступные E-типы учетных записей - 23  -133  -128  18  17.
             Возникло предупреждение. Код события (EventID): 0x0000000C
                Время создания: 12/18/2018   10:42:44
                Строка события:
                NTP-клиент поставщика времени: этот компьютер настроен на использование доменной иерархии для определения своего источника времени, но при этом он является эмулятором основного контроллера домена Active Directory для домена в корне леса, поэтому в доменной иерархии не существует компьютера, расположенного выше, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене или вручную настроить основной контроллер домена Active Directory для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли заслуживающего доверия источника времени в доменной иерархии. Если внешний источник времени не настроен или не используется для этого компьютера, можно отключить NTP-клиент.
             Возникло предупреждение. Код события (EventID): 0x00000090
                Время создания: 12/18/2018   10:42:44
                Строка события: Служба времени прекратила объявлять себя как источник точного времени.
             Возникла ошибка. Код события (EventID): 0xC000001A
                Время создания: 12/18/2018   10:49:41
                Строка события:
                При обработке AS-запроса для конечной службы krbtgt учетная запись HROM10$ не имела подходящего ключа для создания билета Kerberos (код недостающего ключа - 1). Запрошенные E-типы - 1  3. Доступные E-типы учетных записей - 23  -133  -128  18  17.
             ......................... ADDC - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... ADDC - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: geodata
          Запуск проверки: CheckSDRefDom
             ......................... geodata - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... geodata - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: geodata.local
          Запуск проверки: LocatorCheck
             ......................... geodata.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... geodata.local - пройдена проверка Intersite




    • Изменено ELRAT 18 декабря 2018 г. 6:32
    18 декабря 2018 г. 6:02

Ответы

  • Проблема оказалась со стороны клиентов, а именно включена поддержка DES_CBC_CRC  в локальных политиках безопасности. Отключение ее решает проблему. В связи с чем вопрос возможно ли добавить данный тип шифрования сети на КД, чтобы не вносить в ручную подобные правки на клиентских пк? Если да то каким образом?
    • Помечено в качестве ответа ELRAT 19 декабря 2018 г. 5:27
    19 декабря 2018 г. 5:21