У меня ситуация, когда клиентский компьютер (Windows Vista) не отправляет правильный пароль серверу (Windows Server 2003).
В журнале событий регистрируется сбой входа в систему, но, насколько я могу сказать клиенту имеет правильный пароль - поэтому я действительно хотел бы знать, что на самом деле пересылается между двумя компьютерами, когда они пытаются согласовать вход в систему.
Есть ли способ отслеживать / отслеживать / проверять сеанс входа в Windows? (Я предполагаю, что простой захват пакетов не сработает, поскольку пароли не отправляются в виде обычного текста - по крайней мере, я надеюсь, что нет!)
БОЛЬШЕ ИНФОРМАЦИИ: Сервер - единственный сервер в сети. Все компьютеры находятся в одной подсети 192.168.1.xxx. Клиентский компьютер не является членом домена. Серверный компьютер является DNS-сервером, и клиентский компьютер может без проблем правильно разрешить адрес сервера.
В журнале событий регистрируются следующие события:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
, который не работает с кодом 0xC0000234
Все, что пытается сделать клиентский компьютер, - это подключиться к общему сетевому ресурсу (фактически, подключиться к сетевому диску).
Я согласен с Майклом. Хотелось бы еще немного информации. Вы используете AD? Windows 2003 - единственный сервер в вашем домене? Находятся ли они в одном IP-сегменте? Как обрабатывается DNS?
Вы можете прослушивать сеть (поместив сниффер на порт, который «видит» весь трафик). Я не знаю готового способа отслеживать / отслеживать / проверять сеансы входа в Windows.
Необходимо собрать больше данных.
Сообщает ли пользователь о проблемах со входом в систему, или вы просто отвечаете на сообщения в журнале событий? Вы можете воспроизвести это сами?
Если пользователь не сообщает о проблемах, то вполне возможно, что он запускает службу под своим именем пользователя с просроченным паролем. Взгляните на их локальные службы (в разделе «Администрирование» и убедитесь, что в поле «Войти как» нет их имени пользователя.
Также убедитесь, что часы синхронизированы. Kerberos не работает с большим разрывом времени между двумя блоками.
Есть ли у вас какие-либо конкретные идентификаторы ошибок из журналов и когда вы их получаете? (например, одна ошибка при входе пользователя в систему по сравнению с периодическими ошибками за все время входа в систему)