Logarea interactiva nu este permisa – Windows Server

• 23.09.2020
• 4 minute de citit

In acest articol

Acest articol ofera o solutie la o eroare care apare atunci cand controlerul de domeniu nu permite conectarea interactiva.

Se aplica:   Windows Server 2012 R2, Windows 10 – toate editiile

Numar original KB:   2015518

Simptome

Dupa repornire, un Windows Server 2012 R2 DC nu mai poate fi conectat. Vedeti acest lucru atat cu o consola de conectare, fie cu servicii de terminal / desktop la distanta. Eroarea afisata este:

Baza de date de securitate de pe server nu are un cont de computer pentru aceasta relatie de incredere a statiei de lucru

Daca reporniti computerul in modul Directory Services Restore (DSRM) si examinati jurnalul de evenimente al sistemului , vedeti:

Nume jurnal:

Sursa sistem : NETLOGON

Data: <DateTime>

ID eveniment: 5721

Categorie sarcina: Nici unul

Nivel: Eroare

Cuvinte cheie:

Utilizator clasic : N / A

Computer: < Numele computerului>

Descriere:

Configurarea sesiunii pe controlerul de domeniu Windows NT sau Windows 2000 \\ 2008r2spn-01.northwindtraders.com pentru domeniul NWTRADERS nu a reusit deoarece Controlerul de domeniu nu avea un cont 2008R2SPN-02 $ necesar pentru a configura sesiunea de pe acest computer 2008R2SPN-02.

DATE ADITIONALE

Daca acest computer este membru sau controler de domeniu in domeniul specificat, contul mentionat anterior este un cont de computer pentru acest computer din domeniul specificat. In caz contrar, contul este un cont de incredere intre domenii cu domeniul specificat.

Si

Nume jurnal:

Sursa sistem : Microsoft-Windows-Security-Kerberos

Data: <DateTime>

ID eveniment: 3

Categorie sarcina: Nici unul

Nivel: Eroare

Cuvinte cheie:

Utilizator clasic : N / A

Computer: < Numele computerului>

Descriere:

A fost primit un mesaj de eroare Kerberos :

la sesiunea de conectare

Ora clientului: Ora serverului: 18: 35: 19.0000 1/27/2010 Z Cod eroare: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Eroare extinsa: 0xc0000035 KLIN (0) Taram client: Nume client: Taram server: Nume server NORTHWINDTRADERS.COM: gazda /2008r2spn-02.northwindtraders.com Nume tinta: host/[email protected] Text de eroare: Fisier: 9 Linie: efb Datele de eroare sunt in datele inregistrate.

La fiecare incercare de conectare, jurnalul de evenimente de securitate va afisa:

Nume jurnal:

Sursa securitate : Microsoft-Windows-Security-Auditing

Data: <DateTime>

ID eveniment: 4625

Categorie sarcina:

Nivel logare : Informatii

Cuvinte cheie: Esec de audit

Utilizator: N / A

Computer: <ComputerName>

Descriere:

Un cont nu a reusit sa se conecteze pe.

Subiect:

ID securitate: SISTEM

Nume cont: 2008SPN-02 $

Domeniu cont: ADATUM

ID logare: 0x3e7

Tipul de conectare: 2

Cont pentru care conectarea nu a reusit:

ID de securitate : NID SID

Nume cont: Administrator

Cont domeniu: ADATUM

Informatii privind esecul:

Motivul esecului: A aparut o eroare in timpul conectarii.

Stare: 0xc000018b

Stare secundara : 0x0

Informatii despre proces:

ID proces apelant: 0x214

Nume proces apelant: C: \ Windows \ System32 \ winlogon.exe

Informatii despre retea:

Nume statie de lucru: 2008SPN-02

Sursa adresa retea: 127.0.0.1

Port sursa: 0

Informatii detaliate de autentificare:

Proces de conectare:

Pachet de autentificare User32 : Negociati

servicii tranzitate: –

Numele pachetului (numai NTLM): –

Lungimea cheii: 0

Acest eveniment este generat atunci cand o cerere de conectare esueaza. Este generat pe computerul unde a fost incercat accesul.

Campurile Subiect indica contul de pe sistemul local care a solicitat logarea. Acesta este cel mai frecvent un serviciu precum serviciul Server sau un proces local precum Winlogon.exe sau Services.exe.

Campul Tip conectare indica tipul de conectare care a fost solicitat. Cele mai frecvente tipuri sunt 2 (interactive) si 3 (retea).

Campurile Informatii despre proces indica contul si procesul din sistem care au solicitat conectarea.

Campurile Informatii retea indica de unde a aparut o cerere de conectare la distanta. Numele statiei de lucru nu este intotdeauna disponibil si poate fi lasat necompletat in unele cazuri.

Campurile cu informatii de autentificare ofera informatii detaliate despre aceasta solicitare de conectare specifica.

• Serviciile tranzitate indica ce servicii intermediare au participat la aceasta cerere de conectare.
• Numele pachetului indica ce sub-protocol a fost utilizat printre protocoalele NTLM.
• Lungimea cheii indica lungimea cheii de sesiune generate. Acesta va fi 0 daca nu a fost solicitata nicio cheie de sesiune.

Este posibil sa vedeti si o eroare KDC 11 pentru un SPN duplicat in jurnalul de evenimente al sistemului :

Nume jurnal:

Sursa sistem : Microsoft-Windows-Kerberos-Key-Distribution-Center

Data: <DateTime>

ID eveniment: 11

Categorie sarcina: Niciun

Nivel: Eroare

Cuvinte cheie:

Utilizator clasic : N / A

Computer: <ComputerName>

Descriere:

KDC a intalnit nume duplicat in timpul procesarii unei cereri de autentificare Kerberos. Numele duplicat este host / 2008spn-02.adatum.com (de tip DS_SERVICE_PRINCIPAL_NAME). Acest lucru poate avea ca rezultat erori de autentificare sau retrogradari la NTLM. Pentru a preveni acest lucru, eliminati intrarile duplicat pentru host / 2008spn-02.adatum.com in Active Directory.

Cauza

Numele principiului de serviciu DC (SPN) a fost duplicat si exista acum ca atribut atat pe DC, cat si pe un alt utilizator sau computer.

Rezolutie

Localizati duplicatul SPN si eliminati-l. Aceasta valoare poate fi gasita cu SETSPN.EXE sau LDIFDE.EXE. In acest exemplu, numele duplicat este 2008r2spn-02.

• setspn.exe -x
• setspn.exe -q 2008r2spn-02 *
• ldifde.exe -f spn.txt -d -l serviceprincipalname -r “(serviceprincipalname = * 2008r2spn-02 *)” -p subarborele

Mai multe informatii

Acest comportament difera de Windows Server 2003 sau Windows 2000. Aceste sisteme de operare nu primesc aceleasi erori si pot fi conectate in continuare cu SPN-uri DC duplicate. Incepand cu Windows Vista, revenirea la NTLM este interzisa prin conectari interactive – aceasta este o caracteristica de securitate pentru a preveni ca un atacator sa deterioreze cumva Kerberos, fortand astfel sa se utilizeze un protocol mai putin sigur.

Pentru a actualiza un SPN pe un utilizator sau computer, un utilizator trebuie sa fie membru al administratorilor, administratorilor de domeniu, administratorilor de intreprindere sau sa li se acorde permisiunile pentru a modifica atributul servicePrincipalName pe un utilizator sau computer. Niciun utilizator standard nu poate modifica SPN-urile – nici macar pe sine sau pe computerele pe care le-au adaugat la domeniu. Numai utilizatorii cu privilegii ridicate pot crea acest scenariu de intrerupere.