none
Window Server 2003 with SP2 出現 Userenv 1053錯誤與 LsaSrv 40960 警告 RRS feed

  • 一般討論

  • 近來發現一個幾乎一天一次的問題, 詳述如下:

    1. 在事件檢視器中的應用程式記錄中, 記載如下錯誤:

    事件類型: 錯誤
    事件來源: Userenv
    事件類別目錄:
    事件識別碼: 1053
    日期: 2014/10/31
    時間: 下午 01:31:01
    使用者: NT AUTHORITY\SYSTEM
    電腦: XXXXXX
    描述:
    Windows 無法判定使用者或電腦名稱。(系統偵測到可能的危害安全性的企圖,請確定您可以連絡驗證您的伺服器。 )。群組原則處理已中止。 

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

    而在系統記錄檔中, 則記載了下列明細:

    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator) 
    事件識別碼: 40960
    日期: 2014/10/31
    時間: 下午 01:31:00
    使用者: N/A
    電腦: XXXXXX
    描述:
    安全性系統偵測出伺服器 LDAP/DC.Mydomain.com/Mydomain.com@mydomain.com 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "參考帳戶目前已停用且無法登入。
     (0xc0000072)"。

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
    資料:
    0000: 72 00 00 c0               r..À    

    請問該如何解決呢? 謝謝..

    • 已變更類型 George.Chang 2014年11月12日 上午 05:07 Customer Discontinued
    2014年11月1日 上午 10:33

所有回覆

  • Hi NobodyinIT

    這個錯誤會發生甚麼問題嗎?

    您的這部Server是DC還是有擔任甚麼網域的角色呢?

    您可以嘗試幾個步驟:

    1. 下指令gpupdate /force確認是否可以強制套用GPO

    2. DNS是否可以解析到您的DC

    3. 內部網路是否正常?

    4. 該電腦的名稱是否還在DC上?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月3日 上午 02:08
  • Hi, George.Change:

    試了您提供的步驟, 皆可正常執行. 而且發現到, 成員伺服器有多台, 三不五時就會出現上述log, 不知還有什麼方法可以解決?

    2014年11月3日 上午 02:34
  • Hi NobodyinIT

    所以您這部是DC嗎?還是有多部DC這只是其中一部?

    其他加入到這個網域的Client端電腦是否也會有同樣的錯誤訊息?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月3日 上午 03:03
  • Hi, George.Chang.

    這二個錯誤與警告訊息是來自二台成員伺服器, 而您所給的步驟, 我在二台成員以及DC上皆可正常運作. DC上的DNS也有此二台的AA記錄. nslookup 與 tracert 指令皆正常.

    DC不止一台, 但我們這個site的成員伺服器, 都會就近找此DC做驗證.

    2014年11月3日 上午 03:27
  • Hi NobodyinIT

    所以問題發生都是一天一次,且時間都是在下午 01:31?

    問題發生的時候成員伺服器有在做甚麼動作嗎?

    DC上的事件檢視器在同個時間點是否有其他錯誤呢?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月3日 上午 04:10
  • 您好,

    請您檢查DC之間的複寫是否正常?

    希望對您有所幫助

    謝謝

    2014年11月3日 上午 07:21
  • Hi, George.Chang.

    不定時出現, 時間不定.

    在DC安全性Log上同時間也出現

    記錄檔名稱:         Security
    來源:            Microsoft-Windows-Security-Auditing
    日期:            2014/10/31 下午 01:31:01
    事件識別碼:         4769
    工作類別:          Kerberos 服務票證操作
    等級:            資訊
    關鍵字:           稽核失敗
    使用者:           不適用
    電腦:            DC4.Mydomain.com
    描述:
    已要求 Kerberos 服務票證。

    帳戶資訊:
    帳戶名稱: UserA@MyDomain.com
    帳戶網域: MyDomain.com
    登入 GUID: {00000000-0000-0000-0000-000000000000}

    服務資訊:
    服務名稱: LDAP/DC4.MyDomain.com/MyDomain.com
    服務識別碼: NULL SID

    網路資訊:
    用戶端位址: ::ffff:10.XX.XX.XX
    用戶端連接埠: 1837

    其他資訊:
    票證選項: 0x40800000
    票證加密類型: 0xffffffff
    錯誤碼: 0x12
    轉送的服務: -

    每次要求存取資源時,例如電腦或 Windows 服務,就會產生這個事件。服務名稱顯示所要求存取的資源。

    比較每一個事件中的登入 GUID 欄位,即可將這個事件與 Windows 登入事件關聯。登入事件發生在存取的電腦中,通常與簽發服務票證之網域控制站的電腦不同。

    票證選項、加密類型與錯誤碼定義於 RFC 4210。


    2014年11月3日 上午 07:30
  • 以repadmin /showrepl 檢查皆正確無誤...
    2014年11月3日 上午 07:54
  • Hi NobodyinIT

    請問您的DC版本是2003還是2008?

    搜尋4769這個事件,錯誤碼0x12,0x12 Clients credentials have been revoked Account disabled, expired, locked out, logon hours.

    您有嘗試過其他Domain帳號做登入,還是有同樣的問題嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月3日 上午 08:16
  • DC是 windows server 2008 R2.

    Group Policy 有設定密碼錯3次鎖10分鐘.

    剛有故意錯3次, 在10分鐘內想登入, 但10分鐘後再登入去看, 在DC端有出現4769事件, 但在client端並沒有出現LsaSrv 40960及userenv 1053的事件....

    另有找到此文章, https://social.technet.microsoft.com/forums/windowsserver/en-US/e2cfe99a-480a-4a35-a8b8-253b510aba8e/kerberos-event-id-532-failure-audit, 不知是否有幫助?


    • 已編輯 NobodyinIT 2014年11月3日 上午 08:34
    2014年11月3日 上午 08:29
  • Hi NobodyinIT

    我想了解一開始的Userenv 1053錯誤與 LsaSrv 40960 警告,在這兩部2003上是會有甚麼問題嗎?

    無法登入?GPO無法套用?還是其他問題呢?

    4769事件,只要做Kerberos logon動作失敗都會出現這個事件。

    參考資料:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4769

    我覺得您還是多做測試確認事件4769和您原本的Userenv 1053錯誤與 LsaSrv 40960 警告,是否有關連的情況,要不然問題太過發散會不知道從哪開始排除。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月3日 上午 09:45
  • Hi, George.Chang

    老闆要求Userenv 1053錯誤與 LsaSrv 40960 警告",這2個Log要如何解決?

    至於在DC上看見4769事件, 只是相對在找解答時, 順便發現的

    此外, 您在最早回覆以下

    1. 下指令gpupdate /force確認是否可以強制套用GPO

    2. DNS是否可以解析到您的DC

    3. 內部網路是否正常?

    4. 該電腦的名稱是否還在DC上?

    這些我今天都重覆在二台成員上檢查時, 完全正常.

    因此這二台成員, 在今天皆無出現Userenv 1053錯誤與 LsaSrv 40960 警告?

    就因為時有時無才在頭痛....

    2014年11月3日 下午 12:51
  • Hi NobodyinIT

    關於Userenv 1053錯誤與 LsaSrv 40960 警告這兩個錯誤,有找到幾個案例是會伴隨著RDP無法登入的情況,

    會有以下的錯誤事件

    Event Type: Error
    Event Source: Winlogon
    Event Category: None
    Event
    ID: 1219
    Date:  2/9/2010
    Time:  12:13:47
    AM
    User:  N/A
    Computer: MACHINE
    Description:
    Logon rejected for
    PROD\user1. Unable to obtain Terminal Server User Configuration. Error: Access
    is denied.

    您有測試過RDP連線到這兩部Server 2003是正常的嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月4日 上午 01:48
  • Hi, George.Chang

    RDP連線正常.

    以發生的前後時間去查找, 並無找到Winlogon 1219錯誤,

    而且奇怪的是, 其中一台Win2003, 在昨晚8:53又再次出現

    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator) 
    事件識別碼: 40960
    日期: 2014/11/3
    時間: 下午 08:53:09
    使用者: N/A
    電腦: XXX
    描述:
    安全性系統偵測出伺服器 LDAP/DC4.MyDomain.com/MyDomain.com@MyDomain.com 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "使用者帳戶已自動鎖定,因為不正確的登入次數過多,或密碼變更嘗試過多。
     (0xc0000234)"。

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
    資料:
    0000: 34 02 00 c0               4..À    

    事件類型: 錯誤
    事件來源: Userenv
    事件類別目錄:
    事件識別碼: 1053
    日期: 2014/11/3
    時間: 下午 08:53:11
    使用者: NT AUTHORITY\SYSTEM
    電腦: XXX
    描述:
    Windows 無法判定使用者或電腦名稱。(系統偵測到可能的危害安全性的企圖,請確定您可以連絡驗證您的伺服器。 )。群組原則處理已中止。 

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

    持有這帳號的同事, 早已打卡下班, 而且在其上的應用軟體, 只有可能在上班時間會有人去使用, 下班確定不會有人連線....


    2014年11月4日 上午 06:58
  • Hi NobodyinIT

    您的事件40960從您發文和這次的錯誤描述並不相同,分別是0xc0000072和0xc0000234,

    而第二次很明顯的是密碼錯誤多次造成帳戶被鎖定,

    建議您先聯繫這位同事確認並沒有在該時間點登入的行為,建議修改密碼強度高的密碼,

    延長鎖定自動解除時間,確認其他Server是否有同樣的行為,

    或是有軟體或服務會使用該同事的帳號進行存取?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月4日 上午 08:26
  • hi, George.Chang:

    想再請教一下, 造成在成員伺服器產生二個警告與錯誤訊息的先決條件是什麼情況? 是AD 複寫不穩嗎? 還是DNS有問題?

    可有官方文件可以提供參考?

    2014年11月5日 上午 01:17
  • Hi NobodyinIT

    錯誤訊息的產生背後的因素有很多,就以目前的帳戶鎖定的這個訊息來說,產生的先決條件是您的GPO有設定鎖定的閥值,當到達一定的錯誤次數就會自動將該帳號鎖定,就是在錯誤訊息中可以看得的情況。

    但如果您是要問說為什麼造成帳戶鎖定,這背後有可能是人為、或是軟體的行為,這就很難從單一紀錄中看出來,所以也很難整理出先決條件的情況,因為每個遇到這個問題的情境,在不同的環境下一定會不相同。

    以AD或DNS的問題,這也只能從您DC上的紀錄去查看,很難從目前的訊息知道全盤的問題來源。

    您也可以從網路設備的紀錄來確認問題發生的時間點,是否有那些來源正在存取您的這兩部Server。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年11月5日 上午 01:46
  • Hi, George.Chang

    花了時間, 翻遍整個架構, 發現以下資訊(以代號代替)

    其實有二個網域(A.com & B.com), 用外部信任方式架成Forest, 但成員伺服器都屬於A.com, 只是在B.com中的DNS也建立的AA record, 例如 Server1.B.com, DNS Server 都指向B.com的DNS, 解析也都正常. 至於A.com的DC, 目前僅做DHCP功能, 鎖MAC方式讓Client租用IP.

    我有一個帳號屬於B.com, B.com有使用GPO來管制帳號的複雜性與鎖定時間等相關設定, 我在A.com中無帳號可以使用, 因此當出現上面2個錯誤與警告時, 偶而會發生(昨晚12:05又再發生).

    想請教的是在A.com上的成員伺服器使用B.com帳號登入時, 憑證是利用kerberos還是其他方式送到B.com的DC做驗證, 還是用較老舊的方式(NTLM)? 若是kerberos, 2個網域彼此Key不相同, 是不是就會造成錯誤與警告時不時發生呢?

    2014年11月6日 上午 08:03
  • 您好,

    建議Site A 和 Site B 之間的回應值最好值是在30ms以下,

    也就是您在Site A的DC上去ping Site B的DC IP看看回應的值

    其中 時間=30ms 以下的話,這樣DC之間跨站台複寫會比較正常.

    若頻寬無法改善的話,就需將DC複寫使用慢速連接及排程方式互相複寫了.

    提供您參考

    希望對您有所幫助

    謝謝.

    2014年11月6日 上午 09:06