locked
網域中的最後一台Win2000Server降級後,某些AD帳號有時可以登入有時無法登入 RRS feed

  • 一般討論

  • 各位前輩好:

    我公司原先共有三台DC,一台2000,一台2003,一台2008,FSMO 均於2000那一台。
    後來我將FSMO、GC均移到2008那一台身上,2003也具GC,2000則降級為一般成員伺服器。

    這時候問題就開始出現了:

        原先有一台多功能事務機(有加AD)有某些人的帳號就是有時不能登入有時可以,某些人的固定永遠都可以一次就登入成功很快

        至於其它與AD有關的系統(例如EIP、Mail),因為會做多次重試,所以還登得進去(但也不是每回都一次就成功)

        而File Server、PC Login等原本一般AD服務則沒有出現登入失敗問題





    我查看了事件,登入失敗的事件內容如下:

    這台是事務機(Konica C252)登入失敗時的第一種事件訊息:
    -----------------------------------------------------------------------
    Kerberos 預先驗證失敗。
    
    
    
    
    
    
    
    帳戶資訊:
    
    
    
    	安全性識別碼:		XXX\yuri
    
    
    
    	帳戶名稱:		yuri
    
    
    
    
    
    
    
    服務資訊:
    
    
    
    	服務名稱:		krbtgt/XXX.COM.TW
    
    
    
    
    
    
    
    網路資訊:
    
    
    
    	用戶端位址:		172.16.1.251
    
    
    
    	用戶端連接埠:		1525
    
    
    
    
    
    
    
    其他資訊:
    
    
    
    	票證選項:		0x10
    
    
    
    	錯誤碼:		0x18
    
    
    
    	預先驗證類型:	2
    
    
    
    
    
    
    
    憑證資訊:
    
    
    
    	憑證簽發者名稱:		
    
    
    
    	憑證序號:	
    
    
    
    	憑證指紋:		
    
    
    
    
    
    
    
    如果憑證用於預先驗證,才會提供憑證資訊。
    
    
    
    
    
    
    
    預先驗證類型、票證選項與錯誤碼定義於 RFC 4120。
    
    
    
    
    
    
    
    如果在傳輸期間,票證格式不正確或是損毀,以致於無法解密,則這個事件很多欄位可能不會顯示。
    -----------------------------------------------------------------------
    下面這是事務機登入失敗的第二種訊息(確定帳號與密碼有打對)
    -----------------------------------------------------------------------

    帳戶無法登入。
    
    
    
    
    
    
    
    主旨:
    
    
    
    	安全性識別碼:		NULL SID
    
    
    
    	帳戶名稱:		-
    
    
    
    	帳戶網域:		-
    
    
    
    	登入識別碼:		0x0
    
    
    
    
    
    
    
    登入類型:			3
    
    
    
    
    
    
    
    登入失敗的帳戶:
    
    
    
    	安全性識別碼:		NULL SID
    
    
    
    	帳戶名稱:		yuri
    
    
    
    	帳戶網域:		GOJAL9
    
    
    
    
    
    
    
    失敗資訊:
    
    
    
    	失敗原因:		不明的使用者名稱或錯誤密碼。
    
    
    
    	狀態:			0xc000006d
    
    
    
    	子狀態:		0xc000006a
    
    
    
    
    
    
    
    處理程序資訊:
    
    
    
    	呼叫者處理程序識別碼:	0x0
    
    
    
    	呼叫者處理程序名稱:	-
    
    
    
    
    
    
    
    網路資訊:
    
    
    
    	工作站名稱:	EIP2
    
    
    
    	來源網路位址:	172.16.1.222
    
    
    
    	來源連接埠:		4391
    
    
    
    
    
    
    
    詳細驗證資訊:
    
    
    
    	登入處理程序:		NtLmSsp 
    
    
    
    	驗證封裝:	NTLM
    
    
    
    	轉送的服務:	-
    
    
    
    	封裝名稱 (僅限 NTLM):	-
    
    
    
    	金鑰長度:		0
    
    
    
    
    
    
    
    當登入要求失敗的時候,就會產生這個事件。這個事件在嘗試存取的電腦上產生。
    
    
    
    
    
    
    
    主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。
    
    
    
    
    
    
    
    登錄類型欄位顯示要求的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。
    
    
    
    
    
    
    
    處理程序資訊欄位顯示系統上哪個帳戶與處理程序要求登入。
    
    
    
    
    
    
    
    網路資訊欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。
    
    
    
    
    
    
    
    驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
    
    
    
    	- 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
    
    
    
    	- 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
    
    
    
    	- 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。
    -----------------------------------------------------------------------
    下面這個是一個EIP系統登入失敗時的事件:
    -----------------------------------------------------------------------
    Kerberos 預先驗證失敗。
    
    
    
    
    
    
    
    帳戶資訊:
    
    
    
    	安全性識別碼:		XXX\yuri
    
    
    
    	帳戶名稱:		yuri
    
    
    
    
    
    
    
    服務資訊:
    
    
    
    	服務名稱:		krbtgt/XXX.COM.TW
    
    
    
    
    
    
    
    網路資訊:
    
    
    
    	用戶端位址:		::ffff:172.16.1.222
    
    
    
    	用戶端連接埠:		4393
    
    
    
    
    
    
    
    其他資訊:
    
    
    
    	票證選項:		0x40810010
    
    
    
    	錯誤碼:		0x18
    
    
    
    	預先驗證類型:	2
    
    
    
    
    
    
    
    憑證資訊:
    
    
    
    	憑證簽發者名稱:		
    
    
    
    	憑證序號:	
    
    
    
    	憑證指紋:		
    
    
    
    
    
    
    
    如果憑證用於預先驗證,才會提供憑證資訊。
    
    
    
    
    
    
    
    預先驗證類型、票證選項與錯誤碼定義於 RFC 4120。
    
    
    
    
    
    
    
    如果在傳輸期間,票證格式不正確或是損毀,以致於無法解密,則這個事件很多欄位可能不會顯示。
    下面這一個是MailServer登入失敗的訊息:

    Kerberos 預先驗證失敗。
    
    
    
    
    
    
    
    帳戶資訊:
    
    
    
    	安全性識別碼:		xxx\yuri
    
    
    
    	帳戶名稱:		yuri
    
    
    
    
    
    
    
    服務資訊:
    
    
    
    	服務名稱:		krbtgt/XXX.COM.TW
    
    
    
    
    
    
    
    網路資訊:
    
    
    
    	用戶端位址:		::ffff:172.16.1.245
    
    
    
    	用戶端連接埠:		1787
    
    
    
    
    
    
    
    其他資訊:
    
    
    
    	票證選項:		0x40810010
    
    
    
    	錯誤碼:		0x18
    
    
    
    	預先驗證類型:	2
    
    
    
    
    
    
    
    憑證資訊:
    
    
    
    	憑證簽發者名稱:		
    
    
    
    	憑證序號:	
    
    
    
    	憑證指紋:		
    
    
    
    
    
    
    
    如果憑證用於預先驗證,才會提供憑證資訊。
    
    
    
    
    
    
    
    預先驗證類型、票證選項與錯誤碼定義於 RFC 4120。
    
    
    
    
    
    
    
    如果在傳輸期間,票證格式不正確或是損毀,以致於無法解密,則這個事件很多欄位可能不會顯示。
    -----------------------------------------------------------------------
    以上打的很多,希望各位幫忙協助...
    • 已變更類型 Vincent Lin 2010年1月6日 上午 09:27
    2009年12月29日 上午 07:59

所有回覆

  • 請查 client端網卡上的DNS的設定是否正確無誤.
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2009年12月30日 上午 12:55
  • 您好:

    已確認網卡DNS設定無誤的.
    2009年12月30日 上午 07:00
  • 請將網卡DNS 只指定到win2008 DC上,測試會不會有時可/有時不能登入. 之後再測win2003 DC.

    DC的directory server/DNS server複寫都正常嗎?

    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2009年12月30日 上午 07:48
  • 您好,DNS與DC的目錄服務複寫已利用dcdiag、repadmin檢測確認無誤
    您的方法我有測試,目前都只有指向2008 DC.



    2009年12月30日 上午 08:28
  • 有此徵狀嗎? http://support.microsoft.com/kb/942564/zh-tw
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2009年12月30日 上午 09:25
  • 沒有發現,最近沒再發生,不知是否與以下兩件事有關:

    1.將樹系提升為 Windows Server 2003
    2.啟用舊式密碼演算法
    2010年1月8日 上午 07:07