none
外网远程登录到域内的电脑时不成功,且无提示。查看被登录电脑日志,登录成功2秒后即被注销,有时显示期间出错,有时显示试图使用显式凭据登录 RRS feed

  • 问题

  • 域控:win2003

    成员机,win7,2008R2

    症状:(最近1个多月出现的,以前都是正常)。

    1.外网通过vpn远程登录到域内的电脑时不成功,且在登录时无任何提示,就是输入密码登录,然后不成功,然后要再次输入密码,如此反复。

    查看被登录电脑日志,登录成功2秒后即被注销,有时显示期间出错,有时显示试图使用显式凭据登录

    2.有时在内网登录也是一样,不成功,但这时选登录域控,然后再从域控再远程登录成员机,一般都可以成功。

    3.但在远程登录域控时,均是可以成功的。

    (登录的用户名均已被授权)

    在一台2008R2的成员机上看到日志:

    帐户登录失败。

    主题:
     安全 ID:  NULL SID
     帐户名:  -
     帐户域:  -
     登录 ID:  0x0

    登录类型:   3

    登录失败的帐户:
     安全 ID:  NULL SID
     帐户名:  admin
     帐户域:  HE----

    失败信息:
     失败原因:  登录期间出错。
     状态:   0xc000006d
     子状态:  0x0

    进程信息:
     调用方进程 ID: 0x0
     调用方进程名: -

    网络信息:
     工作站名: ZHEN------PC
     源网络地址: -
     源端口:  -

    详细身份验证信息:
     登录进程:  NtLmSsp
     身份验证数据包: NTLM
     传递服务: -
     数据包名(仅限 NTLM): -
     密钥长度:  0

    登录请求失败时在尝试访问的计算机上生成此事件。

    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “进程信息”字段表明系统上的哪个帐户和进程请求了登录。

    “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
     -“传递服务”指明哪些直接服务参与了此登录请求。
     -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
     -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

    - System
    - Provider
    [ Name] Microsoft-Windows-Security-Auditing
    [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
    EventID 4625
    Version 0
    Level 0
    Task 12544
    Opcode 0
    Keywords 0x8010000000000000
    - TimeCreated
    [ SystemTime] 2015-04-26T14:26:23.051859400Z
    EventRecordID 2010
    Correlation
    - Execution
    [ ProcessID] 660
    [ ThreadID] 728
    Channel Security
    Computer IBM-WIN2008X64.HET---.LOCAL
    Security
    - EventData
    SubjectUserSid S-1-0-0
    SubjectUserName -
    SubjectDomainName -
    SubjectLogonId 0x0
    TargetUserSid S-1-0-0
    TargetUserName        admin
    TargetDomainName hetr---
    Status 0xc000006d
    FailureReason %%2304
    SubStatus 0x0
    LogonType 3
    LogonProcessName NtLmSsp
    AuthenticationPackageName NTLM
    WorkstationName ZH-----PC
    TransmittedServices -
    LmPackageName -
    KeyLength 0
    ProcessId 0x0
    ProcessName -
    IpAddress -
    IpPort

    -

    在这个日志上确实发现详细信息里显示的时间是14:26,同登录和被登录的时间不一样(两台电脑都是正常时间),这真是奇怪的现象。

    另外一台win7的被登录电脑日志:

    从这里能看到登录成功,2秒后即被注销。

    常规信息如下:

    试图使用显式凭据登录。

    主题:
     安全 ID:  SYSTEM
     帐户名:  F0006$
     帐户域:  HET----
     登录 ID:  0x3e7
     登录 GUID:  {00000000-0000-0000-0000-000000000000}

    使用了哪个帐户的凭据:
     帐户名:  admin
     帐户域:  HET-----
     登录 GUID:  {73b6a98a-9540-e9cd-cc03-0b29307009d2}

    目标服务器:
     目标服务器名: localhost
     附加信息: localhost

    进程信息:
     进程 ID:  0x12cc
     进程名:  C:\Windows\System32\winlogon.exe

    网络信息:
     网络地址: 172.16.--------
     端口:   1305

    在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。



    • 已编辑 Evanlei 2015年4月26日 15:17
    2015年4月26日 13:20

答案

  • 您好,

    根据您的描述,我的理解是客户端远程登录到域成员服务器时,不断提示输入用户名和密码。直接远程登录域控制器,或者在从域控制器远程到其他成员设备都正常。

    如果远程登录到域控制器都没有问题,那账户和凭据应该是没有问题的。我们尝试从登录及被登录的设备做进一步的排查。

    建议直接登录到域成员设备,运行GPResult.exe(详情参考:https://technet.microsoft.com/en-us/library/bb456989.aspx?f=255&MSPPError=-2147217396)确认下是否有相关的组策略限制了登录。

    此外,建议暂时关闭防护类的程序(如果有的话)再确认下情况如何。可以参考以下链接中的说明,对远程登录的问题做进一步的排查:
    https://support.microsoft.com/zh-cn/kb/186645

    Event ID 4625显示账户登录失败,建议确认下远程登录时输入的域名、账户名及密码是否正确。

    此外,建议您检查远程设备的事件查看器,确认是否有相关的日志记录,如果有的话请提供Event ID。

    Best Regards,
    Eve Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2015年4月28日 2:52
    版主