服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过特定的域控制器validation客户端
Intereting Posts
Exchange将不会login到智能主机 DKIM,垃圾邮件概率,在邮件服务器和发件人域中使用密钥签名? MacBooks正在摧毁固态硬盘 如何发送AWS EBS受损卷的警报? GPO计算机configuration适用于一组用户 如何安装更新版本的PHP作为一个包? stdout / stderr在start-stop-daemon中redirect 使用configuration文件而不是ip命令将静态路由添加到虚拟接口 StrongSwan – Windows 7 0 IPSec IKEv2连接问题 为什么有些机器会用很多RST包而不是RST-ACK来拒绝连接? 在sql_error之后重新启动mysql复制 Vim挂在一个特定的文件? IIS 7 – 你可以隐藏url的别名? 如何更改Ubuntu KVM上的IP地址 在CIDR世界中反向DNS

通过特定的域控制器validation客户端

我有一个没有运行login脚本的活动目录帐户的问题。 脚本在一个位置运行正常,而不是在另一个位置运行。

在事件日志中获取以下错误: 

GroupPolicy-Operational event ID 7007 Periodic policy processing failed for user domain\username in 1 seconds. EventData PolicyElaspedTimeInSeconds 1 ErrorCode 1265 PrincipalSamName domain\username IsMachine 0 IsConnectivityFailure false nt ID 40960 LSA (LsaSrv) - System - Provider [ Name] LsaSrv [ Guid] {199FE037-2B82-40A9-82AC-E1D46C792B99} EventID 40960 Version 0 Level 3 Task 0 Opcode 0 Keywords 0x8000000000000000 - TimeCreated [ SystemTime] 2015-01-13T15:03:17.679126200Z EventRecordID 26015 Correlation - Execution [ ProcessID] 896 [ ThreadID] 4656 Channel System Computer computer.domain.com - Security [ UserID] S-1-5-18 - EventData Target cifs/domain Protocol Kerberos Error "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)" # for hex 0xc0000023 / decimal -1073741789 : STATUS_BUFFER_TOO_SMALL ntstatus.h # {Buffer Too Small} # The buffer is too small to contain the entry. No # information has been written to the buffer. # 1 matches found for "0xc0000023" The Security System detected an authentication error for the server cifs/domain.com The failure code from authentication protocol Kerberos was "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)".

解决schemehttp://technet.microsoft.com/en-us/library/cc733950(v=ws.10).aspx

运行Windows 2003,桌面是Windows 7,域控制器是2008和2003服务器的组合。

我们还没有重新启动一些2003年的DC,3年以上(不同的故事),这些都将被退役。

为了解决login问题,是否可以将Windows AD帐户authentication到特定的DC而不是默认的DC?

这实际上很难做到 。

有几个解决方法,即您可以为您的客户端和您希望它们用作login服务器的域控制器创build一个新的站点,或者您可以设置您的域控制器上的LdapSrvPriorityregistry设置,以提供您希望用作login服务器的DC的最高优先级。 您还可以在域控制器上configurationLdapSrvWeightregistry设置,为每个域分配一个加权优先级。

请注意,编辑域控制器上的registry设置是一种全局更改,将适用于所有客户端,而不仅仅是您正在testing的客户端,就像在新站点中放置域控制器一样,也会影响所有客户端身份validation。

但是,如链接文章中所述,这些设置只会使您的客户端更喜欢给定的login服务器,而不会强制他们使用给定的login服务器,而对Windows域进行身份validation的复杂性意味着您的客户端可能会切换通过这个过程中途login服务器,所以你可能只是运气不好。

看看详细的GPOlogging是否揭示了这个问题,这可能是有用的。 它可以使用下面的registry项启用。 生成的日志文件“gpsvc.log”可以find%WINDIR%\ debug \ usermode。 

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002

此外,还有一些关于“缓冲区太小”的文章的历史,但是通常在System / LsaSrv / 40960事件下logging。 这些问题通常是由属于组数过多的用户/计算机帐户引起的,这会造成Kerberos令牌大小问题。