Autentica o cliente em relação a um controlador de domínio específico

Navegue suas respostas
2

Estou tendo um problema com uma conta de diretório ativa que não está executando scripts de login. Os scripts são executados bem em um local e não no outro.

Obtendo os seguintes erros nos logs de eventos: 

GroupPolicy-Operational event ID 7007
Periodic policy processing failed for user domain\username in 1 seconds.
EventData
        PolicyElaspedTimeInSeconds  1
        ErrorCode   1265
        PrincipalSamName    domain\username
        IsMachine   0
        IsConnectivityFailure   false



nt ID 40960 LSA (LsaSrv)
-   System
        -   Provider
            [ Name]     LsaSrv
            [ Guid]     {199FE037-2B82-40A9-82AC-E1D46C792B99}

            EventID 40960

            Version 0

            Level   3

            Task    0

            Opcode  0

            Keywords    0x8000000000000000

        -   TimeCreated
            [ SystemTime]   2015-01-13T15:03:17.679126200Z

            EventRecordID   26015

            Correlation

        -   Execution
            [ ProcessID]    896
            [ ThreadID]     4656

            Channel System

            Computer    computer.domain.com

        -   Security
            [ UserID]   S-1-5-18

-   EventData
        Target  cifs/domain
        Protocol    Kerberos
        Error   "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)"

# for hex 0xc0000023 / decimal -1073741789 :
  STATUS_BUFFER_TOO_SMALL                                       ntstatus.h
# {Buffer Too Small}
# The buffer is too small to contain the entry. No
# information has been written to the buffer.
# 1 matches found for "0xc0000023"

The Security System detected an authentication error for the server cifs/domain.com The failure code from authentication protocol Kerberos was "{Buffer Too Small}
The buffer is too small to contain the entry. No information has been written to the buffer.
(0xc0000023)".

Solução link

Executando um domínio do Windows 2003, o desktop é o Windows 7, os controladores de domínio são uma mistura de servidores de 2008 e 2003.

Ainda não reiniciamos alguns dos CDs de 2003 por mais de três anos (história diferente) e eles estão programados para serem desativados.

É possível autenticar uma conta do Windows AD em um DC específico, em vez do DC padrão, para solucionar um problema de login?

    
por JJJJNR 02.02.2015 / 09:30

2 respostas

4

Isso é realmente surpreendentemente difícil de fazer .

Existem algumas soluções alternativas, a saber, que você pode criar um novo site para seu (s) cliente (s) e o Controlador de Domínio que deseja que eles usem como servidor de logon ou que você pode definir a configuração do registro LdapSrvPriority nos seus controladores de domínio para dar a prioridade mais alta ao DC que você deseja usar como o servidor de logon. Você também pode configurar a configuração do registro LdapSrvWeight nos seus controladores de domínio para atribuir uma prioridade ponderada para cada um .

Observe que a edição das configurações do Registro nos controladores de domínio é uma alteração global que será aplicada a todos os clientes, não apenas àquele que você está testando, assim como colocar um controlador de domínio em um novo site também afetará todas as autenticações do cliente .

Conforme observado no artigo vinculado, essas configurações só farão com que seus clientes prefiram um determinado servidor de logon, não os forcem a usar um determinado servidor de logon, e as complexidades da autenticação em um domínio do Windows significam que seu O cliente pode alternar os servidores de logon no meio do processo, de modo que você pode ficar sem sorte.

    
por 02.02.2015 / 10:24
1

Pode ser útil ver se o registro em log detalhado do GPO revela algo sobre o problema. Pode ser ativado com a seguinte chave reg. O arquivo de log resultante "gpsvc.log" pode ser encontrado em% WINDIR% \ debug \ usermode. 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002

Além disso, há um histórico de artigos sobre "Buffer muito pequeno", mas normalmente isso é registrado no evento System / LsaSrv / 40960. Esses problemas geralmente são causados por uma conta de usuário / computador que pertence a um número excessivo de grupos, o que cria um problema de tamanho de token do Kerberos.

    
por 02.02.2015 / 15:37

Tags

motivo: falha no handshake de TLS 403 4.7.0 possível fazer o servidor de dns interno do samba4 escutar na porta não padrão?