Eu tenho um Active Directory do Windows Server 2008 R2 SP1 com domínio de nível 2008 R2 completo e um cliente Windows XP SP3 que precisa ingressar nesse domínio.
Infelizmente, o cliente não pode ingressar no domínio e, se eu der uma olhada nos registros do servidor, vi o seguinte erro:
EVENT ID: 4776 error N° 0xc000006a
Após minha pesquisa no Google, redefini todos os meus GPOs com o comando dcgpofix de acordo com a base de conhecimento do MS, mas meu cliente do Windows ainda não conseguiu ingressar no domínio e apresentou o mesmo erro.
Ok, então, fiz algum progresso com esse problema.
Eu notei duas coisas:
Primeiro de tudo: - Parece ser um problema do Kerberos, porque todos os logs estão falando sobre o Kerberos.
Do servidor:
EVENT ID: 4776 error N° 0xc000006a
Quer dizer, nome de usuário correto, senha incorreta (tenho certeza da senha porque estou usando para me logar no controlador de domínio). E a primeira falha na minha lista é:
EVENT ID: 4768 -> A Kerberos Ticket has been requested.
Em segundo lugar:
No lado do cliente, tenho um único erro:
EVENT ID: 4 -> Error Kerberos, Source: Kerberos -> The client received a KRB_AP_ERR_MODIFIED error from the server prdldap01$. This indicates that the password used to encrypt the kerberos ticket is different than that on the target server.
Em seguida, tentei verificar o ticket no cliente com o comando tickets do Klist, MAS não há ninguém no cliente.
O relatório do comando klist:
Cached tickets: (0)
Finalmente:
Todos os meus clientes do Windows 7 estão ingressando corretamente no domínio. Meu servidor envia a seguinte criptografia de ticket:
KerbTicket Encryption: AES-256-CTS-HMAC-SHA1-96
Os meus pacotes de notificação LSA são os seguintes
SCECLI RASSFM SHA1HEXFLTR
Os meus pacotes de segurança LSA são os seguintes:
kerberos msv1_0 schannel wdigest tspkg pku2u
Eu realmente começo a suspeitar das configurações de GPO ou Kerberos de Segurança de Domínio. Se alguém tiver uma ideia, eu estou ouvindo: D
Bem, finalmente descubro o que está acontecendo com meu domínio. o problema veio de um módulo de autenticação do Google adicionado para vincular nosso AD às infraestruturas do Google.
Este módulo é bastante útil, mas com muito bugs e inseguro, portanto, se algum de vocês usar o módulo SHA1HEXFilter do Google, avise sobre algum vazamento de hash de senha na sua rede.
Obrigado a todos que tentam solucionar meu problema: D
Seu erro está relacionado à falta de comunicação entre o cliente e o controlador de domínio. Certifique-se de que não há nenhum tipo de filtragem de pacotes entre - até mesmo desabilite o firewall embutido para ter certeza.
Além disso - verifique se a hora / data está alinhada entre eles, bobo sim, mas é a razão # 1 para problemas de anúncios.