none
最近域中一台DC出现event id :40960的信息,请帮忙看看 RRS feed

  • 问题

  • 域中共有5台DC,其中DC1、DC2、DC3属于SITE A  DC5、DC6属于SITE B

    DC2、DC6为GC

    在DC2上出现:

    event id :40960

    type:waring

    category:SPNEGO (Negotiator)

    source:LSASRV

    The Security System detected an authentication error for the server cifs/dc2.topo-sz.com.cn.  The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to a bad username or authentication information.
     (0xc000006d)".

    看意思像说验证失败了,没搞明白怎么回事,其它DC上都正常的,请指教,谢谢

     

    2010年3月31日 1:15

答案

  • 可参考:http://support.microsoft.com/default.aspx/kb/824217?p=1
    在IT的路上,You'll never walk alone
    2010年3月31日 3:35
  • 在您将基于 Windows Server 2003 的计算机升级为域控制器角色后重新启动该计算机时,以下事件可能显示在事件查看器的系统日志中:

    类 型:警告
    来源: LSASRV
    类别: SPNEGO (Negotiator)
    事件 ID: 40960
    日期: <var>date</var>
    时间: <var>time</var>
    用户: N/A
    计算机: <var>Computername</var>
    描述:安全系统检测到一个对服务器 ldap/dca.acc.local 的身份验证错误。来自身份验证协议 Kerberos 的失败代码为“目前没有可用的登录服务器处理登录请求。(0xc000005e)”。
    有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
    日期:0000: c000005e

    类型:警告
    来源: LSASRV
    类别: SPNEGO (Negotiator)
    事件 ID: 40961
    日期: <var>date</var>
    时间: <var>time</var>
    用户: N/A
    计算机: <var>Computername</var>
    描述:安全系统不能与服务器 ldap/<var>Computername.domain.com</var> 建立一个安全连接。没有可用的身份验证协议。
    有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
    日期:0000: c0000388

    解决方案
    如果此错误仅发生在重新启动服务器后,则很可能是该服务正试图在目录服务可用前进行身份验 证。823712  (http://support.microsoft.c...

    <script type="text/javascript"> loadTOCNode(1, 'resolution'); </script>
    如果此错误仅发生在重新启动服务器后,则很可能是该服务正试图在目录服务可用前进行身份验证。

    823712   (http://support.microsoft.com/kb/823712/ ) 在运行 Dcpromo.exe 后重新启动 Windows Server 2003 时系统事件日志中记录 ID 为 40960 和 40961 的事件

    更多信息
    协商安全包是一种专用的安全 支持提供程序 (SSP),它充当安全支持提供程序接口 (SSPI) 和其他 SSP 之间的应用程序层。当应用程序调用 SSPI 以...

    <script type="text/javascript"> loadTOCNode(1, 'moreinformation'); </script>
    协商安全包是一种专用的安全 支持提供程序 (SSP),它充当安全支持提供程序接口 (SSPI) 和其他 SSP 之间的应用程序层。当应用程序调用 SSPI 以将安全主体记录到网络中时,它可以指定一个 SSP 来处理此请求。如果应用程序指定协商,则协商会分析请求并选择最佳 SSP 来处理请求。在 Windows Server 2003 的默认安装上,Negotiate SSP 首先将登录请求提交给 Kerberos,这是因为在身份验证协议当中,Kerberos 因支持相互身验证而成为首选身份验证协议。如果 Kerberos 无法处理此请求,则协商将恢复使用 NTLM。但是,如果 Kerberos 可以处理登录请求,而请求失败并返回一个授权错误,则协商将不会恢复使用 NTLM。Negotiate SSP 将在系统日志中记录 40960 事件,并包含由 Kerberos 返回的错误以解释登录请求失败的原因。

    事件 40960 只记录由 Kerberos 返回的错误,而不记录主体的名称或客户端的名称。要获得此信息,必须启用用户登录失败的审核。通过查看同时作为 SPNEGO 事件记录的登录失败审核事件,可获得有关登录失败的更多信息。

    这 篇文章中的信息适用于:
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows XP Professional Edition
    关键字: 
    kbprb KB824217
    Microsoft和/或其各供应商对于为任 何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何 责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与 该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失 所导致的之损害、数据或利润不负任何责任。

    我要全世界都知道我很低调~~
    • 已标记为答案 sly.lee 2010年4月13日 8:42
    2010年4月13日 6:05

全部回复

  • 可参考:http://support.microsoft.com/default.aspx/kb/824217?p=1
    在IT的路上,You'll never walk alone
    2010年3月31日 3:35
  • 还是没搞明白,这个要怎么检查处理啊

    2010年3月31日 3:43
  • 应该是有用户尝试登录服务器失败造成的,请查查审核日志
    在IT的路上,You'll never walk alone
    2010年3月31日 3:56
  • 您好!

     

    在运行 Dcpromo.exe 实用程序将基于 Windows Server 2003 的计算机提升为域控制器后,重新启动该服务器,在系统事件日志中会出现40960的警告事件。在这种情况下,Windows 时间服务 (W32Time) 会在目录服务启动之前尝试进行身份验证。遇到“症状”部分所述警告事件的计算机不会受到负面影响,您可以忽略该警告信息。

     

    如果在DC上经常出现该错误信息的话,建议您执行以下操作:

    1. 点击“开始->运行”并输入“SERVICES.MSC” ->确认RPC Locator的启动类型为“手动”,服务状态为“停止”。

    2. DC上,运行Ipconfig /all 检查TCP/IP的配置,确保DNS服务器配置正确,请不要配置外部DNS服务器。

     

    更多信息您可以参考以下文章:

    在运行 Dcpromo.exe 后重新启动 Windows Server 2003 时系统事件日志中记录 ID 40960 40961 的事件

    http://support.microsoft.com/kb/823712/

    当您将服务器升级为域控制器角色时出现 LSASRV 事件 ID 40960 40961

    http://support.microsoft.com/kb/824217/zh-cn

     

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。

     

    Tom Zhang 张一平
    Tom Zhang – MSFT
    • 已建议为答案 Anfield.KOP 2010年3月31日 9:12
    • 取消建议作为答案 sly.lee 2010年4月2日 1:55
    2010年3月31日 9:08
    版主
  • 我在这台域控上发现DNS的一个错误

    Event id:6268

    Source:DNS

    Type:Error

    The global query block list is a feature that prevents attacks on your network by  blocking DNS queries for specific host names. This feature has caused the DNS server to fail a query with error code NAME ERROR for WPAD.topo-sz.com.cn. even though data for  this DNS name exists in the DNS database. Other queries in all locally  authoritative zones for other names that begin with labels in the block list  will also fail, but no event will be logged when further queries are blocked until the DNS server service on this computer is restarted. See product documentation for information about this feature and instructions on how to configure it.
     
    Below is the current global query block list  (this list may be truncated in this event if it is too long):
    wpad
    isatap.

    1. 点击“开始->运行”并输入“SERVICES.MSC” ->确认RPC Locator的启动类型为“手动”,服务状态为“停止”。

    2. DC上,运行Ipconfig /all 检查TCP/IP的配置,确保DNS服务器配置正确,请不要配置外部DNS服务器。

    这两项检查过,1是没有问题的,2.此域控的DNS指向本身

    DNS为AD集成的。]

    谢谢

    2010年4月2日 2:00
  •  你在DNS 服务器上启用了ISA WEB代理的自动发现与配置选项了,请检查相关设置是否正常

    2010年4月2日 2:33
  • 在您将基于 Windows Server 2003 的计算机升级为域控制器角色后重新启动该计算机时,以下事件可能显示在事件查看器的系统日志中:

    类 型:警告
    来源: LSASRV
    类别: SPNEGO (Negotiator)
    事件 ID: 40960
    日期: <var>date</var>
    时间: <var>time</var>
    用户: N/A
    计算机: <var>Computername</var>
    描述:安全系统检测到一个对服务器 ldap/dca.acc.local 的身份验证错误。来自身份验证协议 Kerberos 的失败代码为“目前没有可用的登录服务器处理登录请求。(0xc000005e)”。
    有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
    日期:0000: c000005e

    类型:警告
    来源: LSASRV
    类别: SPNEGO (Negotiator)
    事件 ID: 40961
    日期: <var>date</var>
    时间: <var>time</var>
    用户: N/A
    计算机: <var>Computername</var>
    描述:安全系统不能与服务器 ldap/<var>Computername.domain.com</var> 建立一个安全连接。没有可用的身份验证协议。
    有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
    日期:0000: c0000388

    解决方案
    如果此错误仅发生在重新启动服务器后,则很可能是该服务正试图在目录服务可用前进行身份验 证。823712  (http://support.microsoft.c...

    <script type="text/javascript"> loadTOCNode(1, 'resolution'); </script>
    如果此错误仅发生在重新启动服务器后,则很可能是该服务正试图在目录服务可用前进行身份验证。

    823712   (http://support.microsoft.com/kb/823712/ ) 在运行 Dcpromo.exe 后重新启动 Windows Server 2003 时系统事件日志中记录 ID 为 40960 和 40961 的事件

    更多信息
    协商安全包是一种专用的安全 支持提供程序 (SSP),它充当安全支持提供程序接口 (SSPI) 和其他 SSP 之间的应用程序层。当应用程序调用 SSPI 以...

    <script type="text/javascript"> loadTOCNode(1, 'moreinformation'); </script>
    协商安全包是一种专用的安全 支持提供程序 (SSP),它充当安全支持提供程序接口 (SSPI) 和其他 SSP 之间的应用程序层。当应用程序调用 SSPI 以将安全主体记录到网络中时,它可以指定一个 SSP 来处理此请求。如果应用程序指定协商,则协商会分析请求并选择最佳 SSP 来处理请求。在 Windows Server 2003 的默认安装上,Negotiate SSP 首先将登录请求提交给 Kerberos,这是因为在身份验证协议当中,Kerberos 因支持相互身验证而成为首选身份验证协议。如果 Kerberos 无法处理此请求,则协商将恢复使用 NTLM。但是,如果 Kerberos 可以处理登录请求,而请求失败并返回一个授权错误,则协商将不会恢复使用 NTLM。Negotiate SSP 将在系统日志中记录 40960 事件,并包含由 Kerberos 返回的错误以解释登录请求失败的原因。

    事件 40960 只记录由 Kerberos 返回的错误,而不记录主体的名称或客户端的名称。要获得此信息,必须启用用户登录失败的审核。通过查看同时作为 SPNEGO 事件记录的登录失败审核事件,可获得有关登录失败的更多信息。

    这 篇文章中的信息适用于:
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows XP Professional Edition
    关键字: 
    kbprb KB824217
    Microsoft和/或其各供应商对于为任 何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何 责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与 该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失 所导致的之损害、数据或利润不负任何责任。

    我要全世界都知道我很低调~~
    • 已标记为答案 sly.lee 2010年4月13日 8:42
    2010年4月13日 6:05