none
請問有關 Domain Member Server 無法使用網域帳號登入 , ID 1097 , ID 4 - 已將舊版DC下線 RRS feed

  • 問題

  • 各位好 : 

    之前有發問有關 Domain Server 無法使用網域帳號登入問題

    1. 目前已經將兩台Windows 2003 版本DC 降級並退出網域

    2. 現行兩台DC都是 Windows 2012 版本

    3. 有確認過目前所有 Member Server DNS 都已經指定到新的DC

    但目前仍會發生有數台主機無法使用網域帳號登入的情形

    訊息如下 :

    ==============================

    Kerberos 用戶端從伺服器 xxx-srv$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 MSOMHSvc/xxx.xxx.com.tw。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。請確定目標 SPN 僅在伺服器所使用的帳戶上登錄。當目標服務帳戶密碼與在 Kerberos 金鑰發佈中心為該目標服務設定的帳戶密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 均設為使用相同的密碼。若伺服器名稱不是完整合格名稱,

    目前想到仍未作業的項目就是把網域功能升級到Windows 2012 版本

    目前網域等級還是 Windows 2003 

    所以想請問各位先進是否可以提供一些建議

    若一定要把網域功能升級, 是否會對公司 Windows 2003 OS 的主機有影響 ? 

    謝謝


    2017年7月18日 上午 05:49

所有回覆

  • 請問在降舊版作業系統的DC前,是否有先手動把五大角色,移轉到新版作業系統的DC呢?!

    2017年7月18日 上午 07:12
  • 你好, 這是一台Operation Manager嗎?

    你需要把錯誤的SPN移除, 再登記現有的服務SPN

    指令可以參考這篇

    https://blogs.technet.microsoft.com/dcaro/2013/07/04/fixing-the-security-kerberos-4-error/

    Solution applied:

    To solve this issue, I took the following steps:

    1. Unregister the bad service entry : 
      setspn –D MSOMSdkSvc/SCSMDW SCSMDW 
      Unregistering ServicePrincipalNames for CN=SCSMDW,CN=Computers,DC=wsdemo,DC=com 
              MSOMSdkSvc/SCSMDW 
      Updated object 
    2. Register the service entry with the right information : 
      setspn -A MSOMSdkSvc/SCSMDW smsvc 
      Checking domain DC=wsdemo,DC=com

      Registering ServicePrincipalNames for CN=smsvc,OU=ServiceAccounts,OU=demo,DC=wsd 
      emo,DC=com 
              MSOMSdkSvc/SCSMDW 
      Updated object

    有關Operation Manager的SPN寫法可以參考者一篇

    https://blogs.technet.microsoft.com/jonathanalmquist/2008/08/13/operations-manager-2007-spns/


    邊幫助, 邊鍛鍊

    2017年7月18日 上午 08:13
  • Hi Goran Yeh,

    您可以參考一下這篇:Event ID 11-Service Principal Name Configuration

    希望能夠幫助到您:)


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

     

    Please remember to click Mark as Answer on the post that helps you.
    This can be beneficial to other community members reading the thread.


    2017年7月18日 上午 11:44
  • 您好 : 

    舊版的DC在降級前就已經不是五大角色

    目前五大角色都是在 Windows 2012 DC 上

    目前測試複寫也都正常

    但還是會出現無法登入的情形, 謝謝

    2017年7月19日 上午 12:28
  • 這個情形應該需要重設 "Key Distribution Center (KDC) 服務" 所在 DC 電腦帳戶的密碼

    1. 更改該 DC 的 "KDC服務",設定為 "已停用"
        

    2. 重新開機此 DC

    3. 以系統管理員身份開啟 "命令提示字元",輸入重設電腦帳戶的指令:
        Netdom   ResetPwd   /server:此DC的電腦帳戶名稱   /ud:網域名稱\Administrator   /pd:此管理帳戶的密碼

    4. 成功後需要將此DC再次重新開機

    5. 更改該 DC 的 "KDC服務",設定為 "自動",再次重新開機

    2017年7月19日 下午 04:14
  • 您好:

    目前查看兩台DC都有運行 KDC 服務 

    請問是要兩台DC都進行此作業嗎 ? 

    謝謝

    • 已編輯 Goran Yeh 2017年7月25日 上午 12:33
    2017年7月25日 上午 12:31
  • 您好 : 

    有試著依該文章說明

    執行 setspn -X.

    但沒有發現有重複的SPN 

    謝謝

    2017年7月25日 上午 12:34
  • 其實在 事件檢視器 中仔細找,是可以找得到哪個 DC 有問題

    如果找不到是哪個 DC 導致的問題,就每個 DC 輪流做此設定,不可同時進行就好!

    2017年7月25日 上午 02:12
  • 您好,

    重新將Domain Member Server 退出網域後,再加入網域.

    或者安裝一台Member Server加入網域後,測試登入是否正常?

    提供您參考,

    希望對您有所幫助

    謝謝.

    2017年7月25日 上午 05:19
  • 您好,

    重新將Domain Member Server 退出網域後,再加入網域.

    或者安裝一台Member Server加入網域後,測試登入是否正常?

    提供您參考,

    希望對您有所幫助

    謝謝.

        您好 : 

        有試過將幾台主機退出網域並重新加入

        過一陣子之後也是會出現這樣的情形

        謝謝

     

    2017年7月25日 上午 08:08
  • 您好,

    重新將Domain Member Server 退出網域後,再加入網域.

    或者安裝一台Member Server加入網域後,測試登入是否正常?

    提供您參考,

    希望對您有所幫助

    謝謝.

        您好 : 

        有試過將幾台主機退出網域並重新加入

        過一陣子之後也是會出現這樣的情形

        謝謝

     


    這是 DC 的問題啊, 不是 Member Server !!
    2017年7月25日 上午 08:54
  • 您好,

    重新將Domain Member Server 退出網域後,再加入網域.

    或者安裝一台Member Server加入網域後,測試登入是否正常?

    提供您參考,

    希望對您有所幫助

    謝謝.

        您好 : 

        有試過將幾台主機退出網域並重新加入

        過一陣子之後也是會出現這樣的情形

        謝謝

     


    這是 DC 的問題啊, 不是 Member Server !!

        您好 : 那請問 針對 DC 這邊有甚麼建議的做法嗎 ? 

                   還是您建議先針對 KDC Service 進行設定 ? 

                     謝謝

      

      

    2017年7月26日 上午 08:03
  • 請依照上方我建議的步驟做就可以了

    之前我遇到這個問題就是這樣解決的

    2017年7月26日 上午 09:31
  • 好的 謝謝您

    我會安排假日進行作業

    謝謝

    2017年7月28日 上午 08:54
  • 您好 : 

    我於8/4 進行相關作業後

    依序將DC重開機

    並將之前無法登入網域的主機重新開機, 使用網域帳號登入正常

    目前這周發現還是有主機出現無法使用網域帳號登入的情形

    目前主要無法登入的主機以Windows 2012 R2 為主

    因此請問是否還有別的建議 ? 

    目前網域功能等級為 Windows 2003 

    謝謝

    試著使用Setspn 指令 出現以下錯誤

    C:\Users\Administrator>setspn -x
    LDAP 錯誤(0x31 -- 不正確的認證): ldap_bind_sW
    無法抓取網域 "" 的 DN: 0x00000031
    警告: 未指定有效的目標,正還原為目前網域。
    LDAP 錯誤(0x31 -- 不正確的認證): ldap_bind_sW


    • 已編輯 Goran Yeh 2017年8月16日 上午 07:26
    2017年8月16日 上午 07:20
  • 看來貴單位網域的環境還有其他未被找到的問題存在

    與其這樣頭痛醫頭、腳痛醫腳一個個慢慢找問題處理

    建議先安裝個新版作業系統的DC,把角色都轉過去,降級舊的DC,遇到無法使用網域帳號登入的電腦

    就重建與網域的信任關係

    這樣會比較快些

    2017年8月16日 上午 10:05
  • 老師您好 : 

    我也是這樣打算, 因為這個Domain 只提供給Server Farm 使用

    成員主機不到100台, 我們是可以新建DC來取代

    因此要請問的是

    1. 新DC 是否一樣使用 Windows 2012 R2 ? 

    2. 網域功能等級是否建議提升到 Windows 2012 ? (目前成員主機仍有大部分都是 Windows 2003)

    還請不吝告知

    謝謝


    • 已編輯 Goran Yeh 2017年8月17日 上午 02:42
    2017年8月17日 上午 02:37
  • 1. 以目前的環境來看,新的作業系統不論是安全性、效能、穩定性、甚至是擴充能力,都比以往的作業系統好,如果沒有應用程式相容等問題存在時,建議 DC 作業系統以 Windows Server 2012 R2 以後版本為優先考量

    2. 功能等級關係到 AD DS 新功能,越高帶來越多的新功能,當然安全性也越高,所以除非應用程式或用戶端無法配合這樣的高安全性環境,否則只要 DC 作業系統版本足夠,應該也要考慮提升功能等級

    以上建議提供參考

    2017年8月17日 上午 07:14
  • 老師您好 : 

    我也是這樣打算, 因為這個Domain 只提供給Server Farm 使用

    成員主機不到100台, 我們是可以新建DC來取代

    因此要請問的是

    1. 新DC 是否一樣使用 Windows 2012 R2 ? 

    2. 網域功能等級是否建議提升到 Windows 2012 ? (目前成員主機仍有大部分都是 Windows 2003)

    還請不吝告知

    謝謝


    從整個討論串看起來,如同老師所說的,
    現有網域應該還有一些問題存在未解決,
    我會比較建議先檢查 AD 複寫狀況,網域控制站的時間是否正確,
    及確認是否有未移除乾淨的網域控制站資訊等著手,
    假使仍無法解決,建議找 SI 或顧問到場協助

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2017年8月17日 上午 07:38
    版主
  • 各位好 : 

    目前加入第三台DC 並將五大角色移轉過來之後

    目前觀察沒有再出現主機無法登入的情形

    我會繼續觀察

    謝謝各位的協助

    2017年9月19日 上午 09:24