У меня проблема с учетной записью Active Directory, не выполняющей сценарии входа. Скрипты нормально работают в одном месте, а не в другом.
Получение следующих ошибок в журналах событий:
GroupPolicy-Operational event ID 7007
Periodic policy processing failed for user domain\username in 1 seconds.
EventData
PolicyElaspedTimeInSeconds 1
ErrorCode 1265
PrincipalSamName domain\username
IsMachine 0
IsConnectivityFailure false
nt ID 40960 LSA (LsaSrv)
- System
- Provider
[ Name] LsaSrv
[ Guid] {199FE037-2B82-40A9-82AC-E1D46C792B99}
EventID 40960
Version 0
Level 3
Task 0
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2015-01-13T15:03:17.679126200Z
EventRecordID 26015
Correlation
- Execution
[ ProcessID] 896
[ ThreadID] 4656
Channel System
Computer computer.domain.com
- Security
[ UserID] S-1-5-18
- EventData
Target cifs/domain
Protocol Kerberos
Error "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)"
# for hex 0xc0000023 / decimal -1073741789 :
STATUS_BUFFER_TOO_SMALL ntstatus.h
# {Buffer Too Small}
# The buffer is too small to contain the entry. No
# information has been written to the buffer.
# 1 matches found for "0xc0000023"
The Security System detected an authentication error for the server cifs/domain.com The failure code from authentication protocol Kerberos was "{Buffer Too Small}
The buffer is too small to contain the entry. No information has been written to the buffer.
(0xc0000023)".
Решение http://technet.microsoft.com/en-us/library/cc733950(v=ws.10).aspx
Запуск домена Windows 2003, рабочий стол Windows 7, контроллеры домена смесь серверов 2008 и 2003.
Мы не перезагружали некоторые DC 2003 года более 3 лет (другая история), и их планируется списать.
Можно ли аутентифицировать учетную запись Windows AD на конкретном контроллере домена, а не на контроллере домена по умолчанию, в целях устранения проблем со входом в систему?
На самом деле это на удивление сложно сделать.
Есть пара обходных путей, а именно: вы можете создать новый сайт для своего клиента (ов) и контроллера домена, который вы хотите использовать в качестве сервера входа в систему, или что вы можете установить LdapSrvPriority параметр реестра на контроллерах домена чтобы дать наивысший приоритет DC, который вы хотите использовать в качестве сервера входа в систему. Вы также можете настроить LdapSrvWeight параметр реестра на контроллерах домена назначить каждому из них взвешенный приоритет.
Обратите внимание, что редактирование параметров реестра на контроллерах домена - это глобальное изменение, которое будет применяться ко всем клиентам, а не только к тому, который вы тестируете, точно так же, как размещение контроллера домена на новом сайте повлияет на все проверки подлинности клиентов.
Однако, как отмечено в связанной статье, эти настройки только заставят вашего клиента (-ей) предпочесть данный сервер входа в систему, а не заставят их использовать данный сервер входа в систему, а сложность аутентификации в домене Windows означает, что ваш клиент может переключиться Серверы входа в систему в любом случае проходят через этот процесс, так что вам может просто не повезти.
Может быть полезно посмотреть, раскрывает ли подробный журнал GPO что-нибудь о проблеме. Его можно включить с помощью следующего ключа reg. Результирующий файл журнала "gpsvc.log" находится в% WINDIR% \ debug \ usermode.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002
Кроме того, существует история статей о «Слишком маленьком буфере», но обычно это регистрируется как событие System / LsaSrv / 40960. Эти проблемы обычно вызваны учетной записью пользователя / компьютера, которая принадлежит чрезмерному количеству групп, что создает проблему с размером маркера Kerberos.