none
域用户登录提示密码错误,重启后登录正常 RRS feed

  • 问题

  • 多台域控,级别2012R2,客户端win7系统。

    最近经常出现域用户登录提示密码错误的现象(密码肯定正确),用其他域账号登录也提示密码错误,但是重启客户端后就可以正常登录。

    在客户端发现登录就注销的日志。

    请教一下是什么个情况?这个问题发生在不同的客户端。

    2018年11月1日 2:19

答案

全部回复

  • 多台域控,级别2012R2,客户端win7系统。

    最近经常出现域用户登录提示密码错误的现象(密码肯定正确),用其他域账号登录也提示密码错误,但是重启客户端后就可以正常登录。

    在客户端发现登录就注销的日志。

    请教一下是什么个情况?这个问题发生在不同的客户端。

    在域控日志中发现对应的日志,具体内容如下:

    已成功登录帐户。
    
    使用者:
    	安全 ID:		NULL SID
    	帐户名:		-
    	帐户域:		-
    	登录 ID:		0x0
    
    登录类型:			3
    
    模拟级别:		模拟
    
    新登录:
    	安全 ID:		contoso\SGIT-TXG-V03$
    	帐户名:		SGIT-TXG-V03$
    	帐户域:		contoso
    	登录 ID:		0x16C7D084
    	登录 GUID:		{232731a5-0a8e-641d-6c02-df6218428a11}
    
    进程信息:
    	进程 ID:		0x0
    	进程名:		-
    
    网络信息:
    	工作站名:	
    	源网络地址:	192.168.25.201
    	源端口:		49176
    
    详细身份验证信息:
    	登录进程:		Kerberos
    	身份验证数据包:	Kerberos
    	传递的服务:	-
    	数据包名(仅限 NTLM):	-
    	密钥长度:		0
    
    创建登录会话后,在被访问的计算机上生成此事件。
    

    已注销帐户。
    
    使用者:
    	安全 ID:		contoso\SGIT-TXG-V03$
    	帐户名:		SGIT-TXG-V03$
    	帐户域:		contoso
    	登录 ID:		0x16C7D084
    
    登录类型:			3
    
    在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。

    2018年11月1日 2:42
  • 您好,

    感谢您在我们论坛上发帖。

    最近经常出现域用户登录提示密码错误的现象(密码肯定正确),用其他域账号登录也提示密码错误,但是重启客户端后就可以正常登录。

    这个问题是因为验证的DC存储的密码跟域账号的密码不一致,这个可能是因为复制的问题。重启后可以正常登陆,这是因为重启之后,会再一次执行DC loctor, 找到的验证的DC所存储的密码是正确的,所以验证成功。我建议是执行repadmin检查复制是否有问题。

    根据我的理解,关于登陆就注销的日志,跟您现在所面临的问题没有关联,我的环境里也是这样的。后续我会继续研究,一旦有新的进展会给更新。

    希望我的回复对您有所帮助。如有任何不明白的地方请您让我知道。

    Best regards

    Julie


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月2日 10:00
    版主
  • 感谢您的回复,首先用户的密码近期未变更,理应不是复制问题,其次,我检查过复制状态,一切正常。
    2018年11月5日 1:56
  • 您好,

    请问您是怎么检查复制状态的呢?请尝试使用repadmin /showrepl检查复制状态。

    Best regards

    Julie 



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月8日 10:19
    版主
  • repadmin /showrepl检查是正常的,看到以下日志不知道是否有关,来自无法登录计算机在域控上的错误日志。

    Kerberos 客户端收到了来自服务器  的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 host/shanghai-bangong-011.domain.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域()与客户端域(domain.com)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    Kerberos 客户端收到了来自服务器 shanghai-bangong-011$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 RPCSS/shanghai-bangong-011.domain.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(domain.com)与客户端域(domain.com)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    • 已编辑 原罪狼 2018年11月12日 0:53 添加内容
    2018年11月12日 0:48
  • 您好!

    关于这个报错,可能的原因是服务器的SPN跟其他电脑账号相同,请尝试以下文档中提供的步骤用setspn找出重复的SPN并加以修正:

    Fixing the Security-Kerberos / 4 error

    https://blogs.technet.microsoft.com/dcaro/2013/07/04/fixing-the-security-kerberos-4-error/

    Event ID 4 Kerberos Client Configuration

    https://technet.microsoft.com/en-us/library/cc733987(v=ws.10).aspx

    下面的贴子跟您的情况一样供您参考:

    https://social.microsoft.com/Forums/azure/zh-CN/dff8836f-c963-4544-86e3-0f96706bc697/kerberos234582514331471259102104020102264693325826381211532212030?forum=windowsserversystemzhchs

    Best Regards

    Julie



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 原罪狼 2018年11月19日 4:14
    2018年11月16日 12:39
    版主