У меня есть Active Directory Windows Server 2008 R2 SP1 с полным доменом уровня 2008 R2 и клиент Windows XP SP3, который должен присоединиться к этому домену.
К сожалению, клиент не может присоединиться к домену, и если я взгляну на журналы сервера, то увидел следующую ошибку:
ИД СОБЫТИЯ: 4776 ошибка № 0xc000006a
После поиска в Google я сбросил все свои GPO с помощью dcgpofix в соответствии с базой знаний MS, но мой клиент Windows по-прежнему не может присоединиться к домену и выдает ту же ошибку.
Хорошо, я добился некоторого прогресса в решении этой проблемы.
Я заметил две вещи:
Прежде всего: - Кажется, это проблема Kerberos, потому что все журналы говорят о Kerberos.
С сервера:
ИД СОБЫТИЯ: 4776 ошибка № 0xc000006a
Это означает правильное имя пользователя, неверный пароль (я уверен в пароле, потому что использую его для входа в DC). И первая НЕИСПРАВНОСТЬ в моем списке:
ИД СОБЫТИЯ: 4768 -> Запрошен билет Kerberos.
Во-вторых:
На стороне клиента возникла единственная ошибка:
ИД СОБЫТИЯ: 4 -> Ошибка Kerberos, источник: Kerberos -> Клиент получил ошибку KRB_AP_ERR_MODIFIED от сервера prdldap01 $. Это означает, что пароль, используемый для шифрования билета kerberos, отличается от пароля на целевом сервере.
Затем я пытаюсь проверить билет на клиенте с помощью команды Klist Tickets, НО на клиенте никого нет.
Отчет команды klist:
Кешированные билеты: (0)
В заключение:
Все мои клиенты Windows 7 правильно присоединяются к домену. Мой сервер отправляет следующее шифрование билета:
Шифрование KerbTicket: AES-256-CTS-HMAC-SHA1-96
Мои пакеты уведомлений LSA следующие
SCECLI RASSFM SHA1HEXFLTR
Мои пакеты LSA Security следующие:
Kerberos msv1_0 schannel wdigest tspkg pku2u
Я действительно начинаю подозревать GPO безопасности домена или настройки Kerberos. Если у кого есть идеи, слушаю: D
Ваша ошибка связана с недопониманием между клиентом и контроллером домена. Убедитесь, что между ними нет какой-либо фильтрации пакетов - даже отключите встроенный брандмауэр, чтобы убедиться.
Также - убедитесь, что время / дата выровнены между ними, глупо, да, но это причина №1 для проблем AD.
В случае, если это была проблема типа шифрования Kerberos: реализация Kerberos в Windows XP SP3 не поддерживала новые типы шифрования AES128-CTS-HMAC-SHA1-96 и AES256-CTS-HMAC-SHA1-96. Они были добавлены только в Windows Vista. Исправление уже давно заключалось в постепенном отказе от Windows XP. Раньше решение заключалось в том, чтобы убедиться, что флажки «Эта учетная запись поддерживает 128/256-битное шифрование AES» в графическом интерфейсе пользователей и компьютеров Active Directory на вкладке «Учетная запись» не отмечены для всех пользователей и компьютеров, участвующих в работе до Vista.
Что ж, я наконец выяснил, что происходит с моим доменом. проблема возникла из-за модуля аутентификации Google, добавленного для привязки нашего AD к инфраструктурам Google.
Этот модуль весьма полезен, но содержит много ошибок и небезопасен, поэтому, если кто-либо из вас использует модуль SHA1HEXFilter от Google, имейте в виду, что в вашей сети может возникнуть утечка хэша паролей.
Спасибо всем, кто пытается решить мою проблему: D