none
Domain Member Server 無法使用網域帳號登入 , ID 1097 , ID 4 RRS feed

  • 問題

  • 各位好 : 

    目前公司發生有幾台 AD Member Server 突然無法使用網域帳戶登入的問題

    目前發現Event Log 有連續顯示以下兩筆訊息

    事件 1097 GroupPolicy (Microsoft-Windows-GroupPolicy)

    群組原則處理失敗。Windows 無法決定要針對哪個電腦帳戶強制套用群組原則設定。這可能是暫時性問題。將不會針對此電腦強制套用群組原則設定,包括電腦設定。

    事件 4 Security-Kerberos

    Kerberos 用戶端從伺服器 srv1$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 srv1$。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。請確定目標 SPN 僅在伺服器所使用的帳戶上登錄。當目標服務帳戶密碼與在 Kerberos 金鑰發佈中心為該目標服務設定的帳戶密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 均設為使用相同的密碼。若伺服器名稱不是完整合格名稱,且目標網域 (ABC.COM.TW) 與用戶端網域 (ABC.COM.TW) 不同,請檢查這兩個網域中是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。

    公司有四台 DC , 兩台為 Windows 2012 兩台為 Windows 2003 

    目前Member server 設定的 DNS 為第一與第三台DC

    因為只有幾台Server突然出現這個問題

    是否可以請各位先進協助提供建議 ? 

    謝謝

    2017年4月5日 上午 02:52

解答

所有回覆

  • 你好, 遇見這個問題通常是因為設定spn的服務帳號改變或兩端不同引起

    你可以依以下文章的指令確認及修復問題

    https://blogs.technet.microsoft.com/dcaro/2013/07/04/fixing-the-security-kerberos-4-error/

    Solution applied:

    To solve this issue, I took the following steps:

    1. Unregister the bad service entry : 
      setspn –D MSOMSdkSvc/SCSMDW SCSMDW 
      Unregistering ServicePrincipalNames for CN=SCSMDW,CN=Computers,DC=wsdemo,DC=com 
              MSOMSdkSvc/SCSMDW 
      Updated object 
    2. Register the service entry with the right information : 
      setspn -A MSOMSdkSvc/SCSMDW smsvc 
      Checking domain DC=wsdemo,DC=com

      Registering ServicePrincipalNames for CN=smsvc,OU=ServiceAccounts,OU=demo,DC=wsd 
      emo,DC=com 
              MSOMSdkSvc/SCSMDW 
      Updated object


    邊幫助, 邊鍛鍊

    2017年4月5日 上午 09:19
  • 您好,

    建議您將五大角色及GC移轉至Windows 2012 DC上,

    然後在將Windows 2003 dcpromo降級.

    最後,將Windows 2012 DC升級樹系及網域功能為2012,

    也將用戶端DNS IP指向此兩台Windows 2012即可.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2017年4月6日 上午 06:10
  • 您好 : 

    目前查看到似乎是因為Windows 2003 與 Windows 2012 R2 DC 並存造成的

    如下網址所說明

    所以看來只能安排時間將Windows 2003 的DC 降級

    目前的解決方式是將有問題的主機重新開機就好了

    謝謝

    Blogs網址:https://blogs.technet.microsoft.com/askds/2014/07/23/it-turns-out-that-weird-things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012-r2-domain-controllers/

    Fix網址:http://support.microsoft.com/kb/2989971

     

    • 已標示為解答 Goran Yeh 2017年4月21日 上午 12:55
    2017年4月13日 上午 02:35
  • 您好,

    您這方式只能暫時解決,而不是真正解決問題,

    還是建議您安排時間移轉吧!不要共存喔.

    加油...

    提供您參考,

    希望對您有所幫助

    謝謝.

    2017年4月13日 上午 09:30