none
User PC的事件檢示器出現有嘗試降級DC的訊息 RRS feed

  • 問題

  •  

     

    今天User 反應無法登入網域(已發生兩次),我都是先把它退網域,再加入網域就正常了

    但檢查事件檢示器時發現有嘗試降級DC的訊息(有一堆...)
    請問這如何解決?
    該PC有中毒
    這是Hacker 在操控pc搞我的DC嗎?

     

     

    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期: 2008/12/2
    時間: 上午 10:22:39
    使用者: N/A
    電腦: UserPC001
    描述:
    安全性系統偵測出一個嘗試降級伺服器 ldap/dc1.domain.corp 的操作。從驗證通訊協定 Kerberos
    傳回失敗碼 "參考帳戶目前已停用且無法登入。 (0xc0000072)"。


    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。


    事件類型: 錯誤
    事件來源: NETLOGON
    事件類別目錄: 無
    事件識別碼: 5721
    日期: 2008/12/2
    時間: 上午 10:22:21
    使用者: N/A
    電腦: UserPC001
    描述:
    在 Windows NT 或 Windows 2000 網域控制站 \\dc1.domain.corp 設定網域 domain 的工作階段失敗。
    因為網域控制站沒有電腦 UserPC001 的帳戶。

    請在 http://go.microsoft.com/fwlink/events.asp
    查看說明及支援中心,以取得其他資訊。
    資料:
    0000: 8b 01 00 c0               ‹..À   


    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40961
    日期: 2008/12/2
    時間: 上午 10:21:37
    使用者: N/A
    電腦: UserPC001
    描述:
    安全性系統無法建立伺服器 LDAP/dc1.domain.corp 的安全連線。沒有可用的驗證通訊協定。


    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。


    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期: 2008/12/2
    時間: 上午 09:27:34
    使用者: N/A
    電腦: UserPC001
    描述:
    安全性系統偵測出一個嘗試降級伺服器 DNS/dc1.domain.corp 的操作。從驗證通訊協定 Kerberos
    傳回失敗碼 "參考帳戶目前已停用且無法登入。
     (0xc0000072)"。

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。


     

    2008年12月2日 上午 03:31

解答

所有回覆

  • 你的user pc 是不是ghost 出來?

    或是你的user account set 了 expires?
    2008年12月3日 上午 09:45
  •  

    PC都是用ghost  的

    現在有人裝pc會從頭灌到好嗎…

    很難吧~

     

    請問什麼是user account set 了expires ?

     

    好像用ghost 都會出現靈異現像...

    2008年12月4日 上午 01:18
  • 在企業內部用Ghost 尤其是在有網域的環境,

    非常容易發生很多靈異事件,

    可以參考之前的幾篇討論:

    請教GUID,安全識別項SID重複將會產生何種影響問題

    wsus client有部份未出現在主控台中

    sid 相同的 疑惑?

     

    把電腦的SID想像成身份證字號,

    就算現在有科學家可以生出複製人,

    複製人的身份證字號也應該要給不一樣的吧,

    不然就會天下大亂了。

    2008年12月4日 上午 02:18
    版主
  •  小芋頭 寫信:

     

    PC都是用ghost  的

    現在有人裝pc會從頭灌到好嗎…

    很難吧~

     

    請問什麼是user account set 了expires ?

     

    好像用ghost 都會出現靈異現像...

    那你用完ghost 之後.有沒有轉sid?

     

     

    2008年12月4日 上午 06:14
  • 最近這幾個月電腦都是用重灌的,沒用ghost...

    但那一台PC是如何灌的,就不知啦,很早就有這一台說

    也許真的是因為ghost 造成的也說不定

     

    ghost 後, 轉sid 機器就不會有問題嗎?

    記得以前在某教育訓練中心時,那的server 都是用ghost 的

    轉sid 後,還是會有靈異現像呢~

     

     

     rickyyuen 寫信:

     

    那你用完ghost 之後.有沒有轉sid?

     

     

    2008年12月9日 上午 01:31
  • 像每次遇到年底,公司採購的電腦都很多(像現在就是....),

    我就會採用Ghost再轉SID的方式處理,

    目前沒有發生任何問題。

     

    不過我建議Ghost前的系統是尚未加入網域的環境。

    2008年12月9日 上午 01:45
    版主
  •  小芋頭 寫信:

    最近這幾個月電腦都是用重灌的,沒用ghost...

    但那一台PC是如何灌的,就不知啦,很早就有這一台說

    也許真的是因為ghost 造成的也說不定

     

    ghost 後, 轉sid 機器就不會有問題嗎?

    記得以前在某教育訓練中心時,那的server 都是用ghost 的

    轉sid 後,還是會有靈異現像呢~

     

     

     rickyyuen 寫信:

     

    那你用完ghost 之後.有沒有轉sid?

     

     

     

     

    之前上堂.老師說過.....

    server 不可以ghost 的..

     

    2008年12月9日 上午 06:56
  • 那請問用ghost 或besr 單獨為一台Server 備份,
    那一台再Server 加入網域,
    然後正常退網域
    此設備又用Besr 倒回
    再加入網域
    這樣會有sid 衝突問題嗎?

     

     rickyyuen 寫信:

     

    之前上堂.老師說過.....

    server 不可以ghost 的..

     

    2008年12月9日 上午 07:17
  •  小芋頭 寫信:

    那請問用ghost 或besr 單獨為一台Server 備份,
    那一台再Server 加入網域,
    然後正常退網域
    此設備又用Besr 倒回
    再加入網域
    這樣會有sid 衝突問題嗎?

    我公司有三台主機之前直接用BESR轉成虛擬機器在跑,

    在轉虛擬機器的過程中,由於作了sysprep的動作,有需要重新加入網域,

    但之後沒有發生什麼問題。

     

    如果是同一台硬體設備的還原,

    應該不會發生SID衝突的問題,

    除非又用那個Image倒進另一台同規格的主機了。

    2008年12月9日 下午 02:01
    版主