none
2008 身份验证问题 RRS feed

  • 问题

  • 原有2003主域控一台 现在加入一台08做辅助域控,08加入后管理事件和系统里错误警告日志不断,大多都和身份验证有关,03没什么错误日志,两台服务器可以互PING通,客户端使用一切正常,新建用户或改密码也没问题,两台服务器上执行dcdiag 命令全passed,08上执行Repadmin /syncall也成功,只是在2003上做VPN服务器时会不成功,服务器上日志会提示“身份验证尝试失败,原因如下: 由于未知的用户名或错误密码,身份验证失败。 ”本想两台都升到08的,但看到这么多错误不敢动了,

    C:\Users\ffff> Repadmin /syncall
    回拨消息: 正在进行以下复制:
        从: 040082de-b985-4db5-8083-efcf2574ca67._msdcs.pioneerdg.com
        到: 419c11b6-cf94-4ab3-8fa5-ba97bcd9c09c._msdcs.pioneerdg.com
    回拨消息: 已成功完成以下复制:
        从: 040082de-b985-4db5-8083-efcf2574ca67._msdcs.pioneerdg.com
        到: 419c11b6-cf94-4ab3-8fa5-ba97bcd9c09c._msdcs.pioneerdg.com
    回拨消息: SyncAll 已完成。
    SyncAll 已终止,未出现错误。

    2012年8月10日 3:39

答案

  • 您好!

    根据您提供的信息,我们建议您先根据以下文章中的步骤排错:

    Event ID 1006 — Group Policy Preprocessing (Active Directory)

    http://technet.microsoft.com/zh-cn/library/dd392546

    Event ID 29 — KDC Certificate Availability

    http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月10日 7:59
    版主
  • 您好!                         

    如果问题是否依然存在的话,我们建议您尝试以下步骤进行排错:

    1. 请將"Domain Users", "Domain Computers", "Domain Controllers"加入CERTSVC_DCOM_ACCESS组。

    2. 如果可能的话,请备份其他DC(未安装SP1),然后安装SP1

    3. 使用证书服务更新DCOM security设置,在命令提示符中输入:

    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

    net stop certsvc

    net start certsvc

    Release notes for Windows Server 2003 Service Pack 1

    http://support.microsoft.com/default.aspx?scid=kb;en-us;889101

    另外,如果有多台DC的话,请根据以下步骤检查信任计算机作为委派:

    1. 使用域管理员登录到DC上。

    2. 查看菜单中,单击用户、组和计算机作为容器,然后单击高级功能

    3. 在控制台树中,右键单击适用的域控制器。

    4. 单击属性

    5. 常规页上,选中信任计算机作为委派复选框。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月30日 9:04
    版主

全部回复


    • 已编辑 snvo0927 2012年8月10日 3:44 增加
    2012年8月10日 3:41
  • 您好!

    根据您提供的信息,我们建议您先根据以下文章中的步骤排错:

    Event ID 1006 — Group Policy Preprocessing (Active Directory)

    http://technet.microsoft.com/zh-cn/library/dd392546

    Event ID 29 — KDC Certificate Availability

    http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月10日 7:59
    版主
  • HI Tom

    我有看过这两个KB

    用gpupdate 命令刷新策略后,有显示成功没有在出现组策略错误提示,“成功处理了此用户的组策略设置。自上一次成功处理了组策略后,没有检测到更改。”

    但ID 29 依然没有得到解决 ,我在证书管理器没有看到证书,尝试用certutil -dcinfo验证,得到以下信息

    C:\Users\ssss>certutil -dcinfo
    0: PWE
    1: EX01

    *** 正在测试 DC[0]: PWE
    **  DC PWE 的企业根证书
    企业根存储中没有证书!
    企业根存储: 找不到对象或属性。 0x80092004 (-2146885628)
    **  DC PWE 的 KDC 证书
    证书 0:
    序列号: 1ee37d42000000000002
    颁发者: CN=pweca, DC=pppppp, DC=com
     NotBefore: 2012/7/17 13:52
     NotAfter: 2013/7/17 13:52
    使用者: CN=pwe.pppppp.com
    证书模板名称 (证书类型): DomainController
    非根证书
    模板: DomainController
    证书哈希(sha1): b2 2b fc e3 a6 f1 a9 66 97 ec 54 18 bf 30 1b 0a b6 33 8f 87

    1 KDC 证书,属于 PWE

    *** 正在测试 DC[1]: EX01
    **  DC EX01 的企业根证书
    企业根存储中没有证书!
    企业根存储: 找不到对象或属性。 0x80092004 (-2146885628)
    **  DC EX01 的 KDC 证书
    0 KDC 证书,属于 EX01
    我的存储中没有 KDC 证书
    KDC 证书: 找不到对象或属性。 0x80092004 (-2146885628)

    CertUtil: -DCInfo 失败: 0x80092004 (-2146885628)
    CertUtil: 找不到对象或属性。

    2012年8月11日 1:33
  • 以前在PWE上建过CA后来让我删掉了,08这个也要安装CA服务器吗?
    2012年8月11日 8:56
  • UP help help
    2012年8月13日 6:45
  • 需要新建个证书吗  我的08没有安装CA   这个KDC证书不是默认就有的?

    2012年8月24日 6:41
  • 您好!                         

    如果问题是否依然存在的话,我们建议您尝试以下步骤进行排错:

    1. 请將"Domain Users", "Domain Computers", "Domain Controllers"加入CERTSVC_DCOM_ACCESS组。

    2. 如果可能的话,请备份其他DC(未安装SP1),然后安装SP1

    3. 使用证书服务更新DCOM security设置,在命令提示符中输入:

    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

    net stop certsvc

    net start certsvc

    Release notes for Windows Server 2003 Service Pack 1

    http://support.microsoft.com/default.aspx?scid=kb;en-us;889101

    另外,如果有多台DC的话,请根据以下步骤检查信任计算机作为委派:

    1. 使用域管理员登录到DC上。

    2. 查看菜单中,单击用户、组和计算机作为容器,然后单击高级功能

    3. 在控制台树中,右键单击适用的域控制器。

    4. 单击属性

    5. 常规页上,选中信任计算机作为委派复选框。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月30日 9:04
    版主