全部回复

• 

  

  0

  登录进行投票

  多台域控，级别2012R2,客户端win7系统。

  最近经常出现域用户登录提示密码错误的现象（密码肯定正确），用其他域账号登录也提示密码错误，但是重启客户端后就可以正常登录。

  在客户端发现登录就注销的日志。

  

  请教一下是什么个情况？这个问题发生在不同的客户端。

  在域控日志中发现对应的日志，具体内容如下：

  已成功登录帐户。
  
  使用者:
  	安全 ID:		NULL SID
  	帐户名:		-
  	帐户域:		-
  	登录 ID:		0x0
  
  登录类型:			3
  
  模拟级别:		模拟
  
  新登录:
  	安全 ID:		contoso\SGIT-TXG-V03$
  	帐户名:		SGIT-TXG-V03$
  	帐户域:		contoso
  	登录 ID:		0x16C7D084
  	登录 GUID:		{232731a5-0a8e-641d-6c02-df6218428a11}
  
  进程信息:
  	进程 ID:		0x0
  	进程名:		-
  
  网络信息:
  	工作站名:	
  	源网络地址:	192.168.25.201
  	源端口:		49176
  
  详细身份验证信息:
  	登录进程:		Kerberos
  	身份验证数据包:	Kerberos
  	传递的服务:	-
  	数据包名(仅限 NTLM):	-
  	密钥长度:		0
  
  创建登录会话后，在被访问的计算机上生成此事件。
  

  
  

  已注销帐户。
  
  使用者:
  	安全 ID:		contoso\SGIT-TXG-V03$
  	帐户名:		SGIT-TXG-V03$
  	帐户域:		contoso
  	登录 ID:		0x16C7D084
  
  登录类型:			3
  
  在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中，登录 ID 是唯一的。

  
  

  2018年11月1日 2:42

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  感谢您在我们论坛上发帖。

  最近经常出现域用户登录提示密码错误的现象（密码肯定正确），用其他域账号登录也提示密码错误，但是重启客户端后就可以正常登录。

  这个问题是因为验证的DC存储的密码跟域账号的密码不一致，这个可能是因为复制的问题。重启后可以正常登陆，这是因为重启之后，会再一次执行DC loctor, 找到的验证的DC所存储的密码是正确的，所以验证成功。我建议是执行repadmin检查复制是否有问题。

  根据我的理解，关于登陆就注销的日志，跟您现在所面临的问题没有关联，我的环境里也是这样的。后续我会继续研究，一旦有新的进展会给更新。

  希望我的回复对您有所帮助。如有任何不明白的地方请您让我知道。

  Best regards

  Julie

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已建议为答案 Julie AmllyMicrosoft contingent staff, Moderator 2018年11月5日 9:18

  2018年11月2日 10:00

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  感谢您的回复，首先用户的密码近期未变更，理应不是复制问题，其次，我检查过复制状态，一切正常。

  2018年11月5日 1:56

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  请问您是怎么检查复制状态的呢？请尝试使用repadmin /showrepl检查复制状态。

  Best regards

  Julie 

  
  

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年11月8日 10:19

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  用repadmin /showrepl检查是正常的，看到以下日志不知道是否有关，来自无法登录计算机在域控上的错误日志。

  Kerberos 客户端收到了来自服务器  的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 host/shanghai-bangong-011.domain.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)，则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定，并且目标域()与客户端域(domain.com)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定的名称标识服务器。

  Kerberos 客户端收到了来自服务器 shanghai-bangong-011$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 RPCSS/shanghai-bangong-011.domain.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)，则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定，并且目标域(domain.com)与客户端域(domain.com)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定的名称标识服务器。

  • 已编辑 原罪狼 2018年11月12日 0:53 添加内容

  2018年11月12日 0:48

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好！

  关于这个报错，可能的原因是服务器的SPN跟其他电脑账号相同，请尝试以下文档中提供的步骤用setspn找出重复的SPN并加以修正：

  Fixing the Security-Kerberos / 4 error

  https://blogs.technet.microsoft.com/dcaro/2013/07/04/fixing-the-security-kerberos-4-error/

  Event ID 4 —Kerberos Client Configuration

  https://technet.microsoft.com/en-us/library/cc733987(v=ws.10).aspx

  下面的贴子跟您的情况一样供您参考：

  https://social.microsoft.com/Forums/azure/zh-CN/dff8836f-c963-4544-86e3-0f96706bc697/kerberos234582514331471259102104020102264693325826381211532212030?forum=windowsserversystemzhchs

  Best Regards

  Julie

  
  

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已标记为答案 原罪狼 2018年11月19日 4:14

  2018年11月16日 12:39

  回复

  |

  引用

  版主