none
windows机器间歇性出现“服务器上的安全数据库没有此工作站信任的计算机帐号” RRS feed

  • 问题

  • 各位好:

    现在的AD环境有这样的问题,windows的机器包括windows2008r2及windows7的机器,间歇性出现“服务器上的安全数据库没有此工作站信任的计算机帐号”,无法登录到AD中去,只有重启计算机才能登录,重启netlogon服务不行。

    这种情况随机的发生,不确定是那台机器。不能登录的时候用本地管理员帐号进去可看到如下日志:

    日志名称:          System
    来源:            LsaSrv
    日期:            2013/2/4 9:24:12
    事件 ID:         40961
    任务类别:          无
    级别:            警告
    关键字:          
    用户:            SYSTEM
    计算机:           HQVDIDDC01.domainname

    描述:
    安全系统不能与服务器 ldap/ADcomputername@domainname 建立一个安全连接。没有可用的身份验证协议。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LsaSrv" Guid="{199FE037-2B82-40A9-82AC-E1D46C792B99}" />
        <EventID>40961</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2013-02-04T01:24:12.531943000Z" />
        <EventRecordID>7347</EventRecordID>
        <Correlation />
        <Execution ProcessID="796" ThreadID="3984" />
        <Channel>System</Channel>
        <Computer>HQVDIDDC01.domainname</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="Target">ldap/AD_computername@domainname</Data>
      </EventData>
    </Event>


    Ethan Liang


    2013年2月4日 6:05

答案

  • 可参考:

    http://social.technet.microsoft.com/Forums/eu/windowsserversystemzhchs/thread/177e9aef-6f11-42f2-afee-60ec9cc430b6


    在IT的路上,You'll never walk alone

    2013年2月4日 8:50
  • 您好! 

    根据您的描述,我们建议您尝试以下步骤进行排错:

    1. 在凭据管理器中移除所有存储的凭据。

    a. 点击“开始”——“运行”——输入“NUSRMGR.CPL”,打开“用户帐号”,然后点击“高级”——“高级密码”——删除所有存储的用户名和密码。

    b. 打开注册表编辑器,导航到以下子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    c. 在右边的窗口菜单中,双击打开“disabledomaincreds”,将数值数据设置为“1”。

    2. 强制Kerberos使用TCP

    a. 打开注册表编辑器,导航到以下子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters

    注:如果Parameters不存在的话,请创建该项。

    b. 点击Parameters项,在右边的窗口菜单中,右键点击“新建”——DWORD值”。

    c. 输入“MaxPacketSize”,按回车键。

    d. 双击“MaxPacketSize”,将“数值数据”设置为1,“基数”选择为十进制,点击“确定”。

    e. 退出注册表编辑器,重启计算机。

    3. 安装hotfix KB906681,升级Kerberos.dll。该hotfix并不能在网站中直接下载,您可以拨打微软客户服务热线8008203800获取。

    A user can log on to a Windows XP-based computer by using a user name and a password, even though the "Smart card is required for interactive logon" user account property is set

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;906681

    警告:本文中的操作需要更改注册表,由于“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。

    如果您希望从运行 Windows XP 的计算机管理分布式文件系统,可以通过安装 Windows Server 2003 R2 管理工具包,从运行 Windows XP SP2 的计算机管理“DFS 命名空间”和“DFS 复制”。在安装此工具包时,“DFS 管理”管理单元作为“文件服务器管理”管理单元的一部分提供。

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年2月7日 7:25
    版主

全部回复

  • 可参考:

    http://social.technet.microsoft.com/Forums/eu/windowsserversystemzhchs/thread/177e9aef-6f11-42f2-afee-60ec9cc430b6


    在IT的路上,You'll never walk alone

    2013年2月4日 8:50
  • 您好! 

    根据您的描述,我们建议您尝试以下步骤进行排错:

    1. 在凭据管理器中移除所有存储的凭据。

    a. 点击“开始”——“运行”——输入“NUSRMGR.CPL”,打开“用户帐号”,然后点击“高级”——“高级密码”——删除所有存储的用户名和密码。

    b. 打开注册表编辑器,导航到以下子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    c. 在右边的窗口菜单中,双击打开“disabledomaincreds”,将数值数据设置为“1”。

    2. 强制Kerberos使用TCP

    a. 打开注册表编辑器,导航到以下子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters

    注:如果Parameters不存在的话,请创建该项。

    b. 点击Parameters项,在右边的窗口菜单中,右键点击“新建”——DWORD值”。

    c. 输入“MaxPacketSize”,按回车键。

    d. 双击“MaxPacketSize”,将“数值数据”设置为1,“基数”选择为十进制,点击“确定”。

    e. 退出注册表编辑器,重启计算机。

    3. 安装hotfix KB906681,升级Kerberos.dll。该hotfix并不能在网站中直接下载,您可以拨打微软客户服务热线8008203800获取。

    A user can log on to a Windows XP-based computer by using a user name and a password, even though the "Smart card is required for interactive logon" user account property is set

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;906681

    警告:本文中的操作需要更改注册表,由于“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。

    如果您希望从运行 Windows XP 的计算机管理分布式文件系统,可以通过安装 Windows Server 2003 R2 管理工具包,从运行 Windows XP SP2 的计算机管理“DFS 命名空间”和“DFS 复制”。在安装此工具包时,“DFS 管理”管理单元作为“文件服务器管理”管理单元的一部分提供。

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年2月7日 7:25
    版主
  • 感谢你的回复,在这里提供更多的信息给大家:

    1.出现这种问题的机器如果不管他一段时间(几十分钟或几小时)他又能自动登录到AD中;

    2.在出现这种问题的时候,在机器上安装wireshark抓包可以看到一些kerberos的错误信息,是其中一台DC的机器与这机机器的kerberos错误信息,简要如下:

    kerberos KRB-ERROR
    MSG Type: KRB-ERROR (30)
    error_code:KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN (7)

    因此初步定位是这台DC使用kerberos认证协议有问题,但还不能完全确认问题的根源与使用何种解决的办法。


    Ethan Liang

    2013年2月20日 5:47