NetApp错误：STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT

由于在台式机上升级到Windows 7，我开始有一个病毒检查的问题。 特别是 – 在（托pipe文件的）CIFS共享上执行重命名操作时。 病毒检查程序似乎在文件pipe理器上触发一组消息：

[filerB: auth.trace.authenticateUser.loginTraceIP:info]: AUTH: Login attempt by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20 (server-wk8-r2). [filerB: auth.dc.trace.DCConnection.statusMsg:info]: AUTH: TraceDC- attempting authentication with domain controller \\MYDC. [filerB: auth.trace.authenticateUser.loginRejected:info]: AUTH: Login attempt by user rejected by the domain controller with error 0xc0000199: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT. [filerB: auth.trace.authenticateUser.loginTraceMsg:info]: AUTH: Delaying the response by 5 seconds due to continuous failed login attempts by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20. 

这似乎是特别触发rename所以我们认为是病毒检查正在看到一个“新”的文件，并试图做一个访问时扫描。 病毒检查程序 – 以前以LocalSystem身份运行，因此发送null因为它的身份validation请求现在看起来更像DOS攻击，并导致文件暂时黑名单。 这个5slocking每个“访问尝试”在大多数情况下是一个小的麻烦，对于一些操作真的非常重要 – 例如大文件传输，每个文件需要5s

做了一些挖掘，这似乎与NLTMauthentication有关：

 Symptoms Error message: System error 1808 has occurred. The account used is a computer account. Use your global user account or local user account to access this server. A packet trace of the failure will show the error as: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT (0xC0000199) Cause Microsoft has changed the functionality of how a Local System account identifies itself during NTLM authentication. This only impacts NTLM authentication. It does not impact Kerberos Authentication. Solution On the host, please set the following group policy entry and reboot the host. Network Security: Allow Local System to use computer identity for NTLM: Disabled Defining this group policy makes Windows Server 2008 R2 and Windows 7 function like Windows Server 2008 SP1. 

所以我们现在已经有了一些解决方法，不是特别好 – 一个是改变这个安全选项。 一种是禁用病毒检查，或者免除部分基础设施。

• 香草Windows与Windows服务器
• IIS工作进程的虚拟内存使用是否可以超过专用内存限制？
• 在Windows 7上运行清漆
• 我怎样才能防止在Windowsnetworking桥MAC地址设置本地pipe理位？
• 当前的KMS是否需要旧版本的密钥？

这里是我向我请求ServerFault帮助的地方 – 最好的方法是什么？ 我缺乏Windows的经验，以确定我所看到的。

我不完全确定为什么NTLM首先是这个图像的一部分 – 我以为我们正在使用Kerberos身份validation。 我不知道如何开始诊断或解决这个问题。 （我们正在跨域 – 工作站计算机帐户是在一个单独的AD和DNS域到我的文件pipe理器。然而，正常的用户身份validation工作正常。

如果没有这个，任何人都可以提出其他的问题？ 我想避免一个网站广泛的安全选项的变化，或者如果我这样做，我需要能够提供详细的推理。 同样，禁用病毒检查是一个短期的解决方法，应用排除可能有帮助…但我宁愿不，也不认为解决了潜在的问题。

编辑：在AD ldap Filers有SPNs：

 nfs/host.fully.qualified.domain nfs/host HOST/host.fully.qualified.domain HOST/host 

（对不起，必须混淆这些）。

难道是没有“cifs / host.fully.qualified.domain”它不会工作？ （或其他一些SPN？）

编辑：作为我一直在做的search的一部分，我发现： http : //itwanderer.wordpress.com/2011/04/14/tread-lightly-kerberos-encryption-types/

这表明在Win7 / 2008R2中默认禁用了几种encryptiontypes。 这可能是相关的，因为我们肯定与Keberized NFSv4有类似的问题。 有一个隐藏的选项可能会帮助一些未来的Keberos用户：选项nfs.rpcsec.trace（虽然这还没有给我任何东西，所以可能只是NFS特定的）。

编辑：进一步挖掘让我跟踪它跨域validation。 它看起来像我的Windows 7工作站（在一个域中）没有获得其他域的Kerberos票据，其中我的NetApp文件pipe理器已joinCIFS。 我已经单独对独立服务器（Win2003和Win2008）做了这个，并没有得到这些Kerberos门票。

这意味着我认为 Kerberos可能会被破坏，但我不知道如何排除故障。

编辑：进一步更新：它看起来像这可能是Kerberos门票不被发出跨域。 然后触发NTLM回退，然后运行到这个问题（自Windows 7以来）。 第一个停靠点将是调查Kerberos方面的事情，但是在任何情况下我们都没有指向Filer的根本原因。 就像这个存储工程师一样，它已经不在我的手中了。

但是，如果任何人都可以指向我跨两个Windows AD域（Kerberos领域）的Kerberos故障排除的方向，那么将不胜感激。

我们将要考虑解决的选项：

• 通过GPO修改所有工作站的政策选项（如上所述）。
• 与AV供应商谈谈重命名触发扫描。
• 与AV供应商交谈有关运行AV作为服务帐户。
• 调查Kerberos身份validation（为什么它不工作，是否应该）。