我有一个带有完整2008 R2级别域的Windows Server 2008 R2 SP1 Active Directory和需要join此域的Windows XP SP3客户端。
不幸的是,客户端无法join域,如果我看看服务器的日志,我看到以下错误:
事件ID:4776错误N°0xc000006a
在Google上search之后,我已经根据MS知识库使用dcgpofix命令重置了所有的GPO,但是我的Windows客户端仍然无法join域,并抛出相同的错误。
好的,我已经在这个问题上取得了一些进展。
我注意到两件事情:
首先: – 这似乎是一个Kerberos问题,因为每个日志都在谈论Kerberos。
从服务器:
事件ID:4776错误N°0xc000006a
这意味着,正确的用户名,错误的密码(我敢肯定的密码,因为我用它login到DC)。 我名单上的第一个FAIL是:
事件ID:4768 – > Kerberos票据已被请求。
其次:
在客户端,我有一个错误:
事件ID:4 – >错误Kerberos,源:Kerberos – >客户端从服务器prdldap01 $收到KRB_AP_ERR_MODIFIED错误。 这表明用于encryptionkerberos票证的密码与目标服务器上的不同。
然后,我尝试使用Klist票据命令检查客户端上的票证,但客户端上没有任何票据。
klist命令报告:
caching门票:(0)
最后:
我的所有Windows 7客户端都正确join域。 我的服务器发送以下票据encryption:
KerbTicketencryption:AES-256-CTS-HMAC-SHA1-96
我的LSA通知包如下
SCECLI RASSFM SHA1HEXFLTR
我的LSA安全软件包如下:
kerberos msv1_0 schannel wdigest tspkg pku2u
我真的开始怀疑域安全GPO或Kerberos设置。 如果有人有想法,我在听:D
您的错误与客户与DC之间的沟通不畅有关。 确保没有任何types的包过滤 – 甚至禁用内置的防火墙,以确保。
另外 – 检查时间/date之间的alignment,愚蠢的是,但这是AD问题的理由#1。
那么,我终于知道我的域名正在发生什么。 问题来自Google的authentication模块,将AD添加到Google的基础设施中。
这个模块是非常有用的,但是非常麻烦和不安全,所以,如果你们中的任何一个人使用Google的SHA1HEXFilter模块,build议在你的networking上使用一些密码散列漏洞。
感谢所有尝试解决我的问题的人:D