Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en lösning på ett fel som uppstår när domänkontrollanten inte tillåter interaktiv inloggning.
Ursprungligt KB-nummer: 2015518
Symptom
Efter omstarten kan inte en Windows Server 2012 R2-domänkontrollant loggas in på längre. Du ser detta med både en konsolinloggning eller terminaltjänster/fjärrskrivbord. Felet som visas är:
Säkerhetsdatabasen på servern har inget datorkonto för den här arbetsstationens förtroenderelation
Om du startar om datorn i Återställningsläge för Katalogtjänster (DSRM) och granskar systemhändelseloggen ser du:
Loggnamn: System
Källa: NETLOGON
Datum: <DateTime>
Händelse-ID: 5721
Aktivitetskategori: Ingen
Nivå: Fel
Nyckelord: Klassisk
Användare: Ej tillämpligt
Dator: <ComputerName>
Beskrivning:
Sessionskonfigurationen för Windows NT eller Windows 2000-domänkontrollanten\\2008r2spn-01.northwindtraders.comför domänen NWTRADERS misslyckades eftersom domänkontrollanten inte hade ett konto 2008R2SPN-02$ som behövdes för att konfigurera sessionen av den här datorn 2008R2SPN-02.
YTTERLIGARE DATA
Om den här datorn är medlem i eller en domänkontrollant i den angivna domänen är ovan nämnda konto ett datorkonto för den här datorn i den angivna domänen. Annars är kontot ett interdomänförtroendekonto med den angivna domänen.
och
Loggnamn: System
Källa: Microsoft-Windows-Security-Kerberos
Datum: <DateTime>
Händelse-ID: 3
Aktivitetskategori: Ingen
Nivå: Fel
Nyckelord: Klassisk
Användare: Ej tillämpligt
Dator: <ComputerName>
Beskrivning:
Ett Kerberos-felmeddelande togs emot:
vid inloggningssession
Klienttid: Servertid: 18:35:19.0000 1/27/2010 Z Felkod: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN utökat fel: 0xc0000035 KLIN(0) Klientsfär: Klientnamn: Serversfär:NORTHWINDTRADERS.COMServernamn: värd/2008r2spn-02.northwindtraders.com Målnamn: värd/2008r2spn-02.northwindtraders.com@NORTHWINDTRADERS.COM FelText: Fil: 9 rad: efb Feldata finns i postdata.
Vid varje inloggningsförsök visas händelseloggen Säkerhet :
Loggnamn: Säkerhet
Källa: Microsoft-Windows-Security-Auditing
Datum: <DateTime>
Händelse-ID: 4625
Aktivitetskategori: Inloggning
Nivå: Information
Nyckelord: Granskningsfel
Användare: Ej tillämpligt
Dator: <ComputerName>
Beskrivning:
Det gick inte att logga in på ett konto.Ämne:
Säkerhets-ID: SYSTEM
Kontonamn: 2008SPN-02$
Kontodomän: ADATUM
Inloggnings-ID: 0x3e7Inloggningstyp: 2
Konto för vilket inloggningen misslyckades:
Säkerhets-ID: NULL SID
Kontonamn: Administratör
Kontodomän: ADATUMFelinformation:
Felorsak: Ett fel uppstod under inloggningen.
Status: 0xc000018b
Understatus: 0x0Processinformation:
Samtalsprocess-ID: 0x214
Namn på samtalsprocess: C:\Windows\System32\winlogon.exeNätverksinformation:
Namn på arbetsstation: 2008SPN-02
Källnätverksadress: 127.0.0.1
Källport: 0Detaljerad autentiseringsinformation:
Inloggningsprocess: User32
Autentiseringspaket: Förhandla
Transiterade tjänster: -
Paketnamn (endast NTLM): -
Nyckellängd: 0Den här händelsen genereras när en inloggningsbegäran misslyckas. Den genereras på den dator där åtkomstförsök gjordes.
Fälten Ämne anger kontot i det lokala system som begärde inloggningen. Detta är oftast en tjänst som servertjänsten eller en lokal process som Winlogon.exe eller Services.exe.
Fältet Inloggningstyp anger vilken typ av inloggning som begärdes. De vanligaste typerna är 2 (interaktiv) och 3 (nätverk).
Fälten Processinformation anger vilket konto och vilken process i systemet som begärde inloggningen.
Fälten Nätverksinformation anger var en fjärrinloggningsbegäran har sitt ursprung. Namnet på arbetsstationen är inte alltid tillgängligt och kan lämnas tomt i vissa fall.
Fälten för autentiseringsinformation innehåller detaljerad information om den här specifika inloggningsbegäran.
- Transiterade tjänster anger vilka mellanliggande tjänster som har deltagit i denna inloggningsbegäran.
- Paketnamnet anger vilket underprotokoll som användes bland NTLM-protokollen.
- Nyckellängden anger längden på den genererade sessionsnyckeln. Detta blir 0 om ingen sessionsnyckel begärdes.
Du kan också se ett KDC 11-fel för ett duplicerat SPN i systemhändelseloggen:
Loggnamn: System
Källa: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: <DateTime>
Händelse-ID: 11
Aktivitetskategori: Ingen
Nivå: Fel
Nyckelord: Klassisk
Användare: Ej tillämpligt
Dator: <ComputerName>
Beskrivning:
KDC påträffade dubblettnamn vid bearbetning av en Kerberos-autentiseringsbegäran. Dubblettnamnet är värd/2008spn-02.adatum.com (av typen DS_SERVICE_PRINCIPAL_NAME). Detta kan leda till autentiseringsfel eller nedgradering till NTLM. För att förhindra att detta inträffar tar du bort duplicerade poster för värd/2008spn-02.adatum.com i Active Directory.
Orsak
DCs Service Principle Name (SPN) har duplicerats och finns nu som ett attribut på både domänkontrollanten och någon annan användare eller dator.
Åtgärd
Leta upp det duplicerade SPN:t och ta bort det. Det här värdet finns med SETSPN.EXE eller LDIFDE.EXE. I det här exemplet är dubblettnamnet 2008r2spn-02.
setspn.exe -xsetspn.exe -q 2008r2spn-02*ldifde.exe -f spn.txt -d -l serviceprincipalname -r "(serviceprincipalname=*2008r2spn-02*)" -p subtree
Mer information
Det här beteendet skiljer sig från Windows Server 2003 eller Windows 2000. Dessa operativsystem får inte samma fel och kan fortfarande loggas in med duplicerade DC SPN. Från och med Windows Vista tillåts inte återställning efter fel till NTLM med interaktiva inloggningar – det här är en säkerhetsfunktion för att förhindra att en angripare på något sätt skadar Kerberos, vilket tvingar fram ett mindre säkert protokoll som ska användas.
För att kunna uppdatera ett SPN på en användare eller dator måste en användare vara medlem i administratörer, domänadministratörer, företagsadministratörer eller ha beviljats behörighet att ändra attributet servicePrincipalName på en användare eller dator. Ingen standardanvändare kan ändra SPN: er – inte ens på sig själva eller datorer som de har lagt till i domänen. Endast användare med hög behörighet kan skapa det här avbrottsscenariot.