SYMPTOMS
When users enter a series of incorrect passwords in an attempt to log on to Windows NT using domain accounts and the Bad Logon Attempts limit for the account is reached, the account is locked out at the domain controller.
Windows NT generates an account lockout event (Event ID: 539) on the workstation where the failed logon attempts occurred if the audit policy on that workstation enables auditing of failed logon/logoff events. However, no event is logged at the domain controller. Administrators must search the event logs of all client systems to locate the computer where the bad password attempts originated.
Есть домен на NT4.
При неправильном вводе пароля пользователя на Win9x Workstation в лог на сервере делается соответствующая запись. Если тоже самое происходит на Win2k Pro, то на сервере ничего нигде не записывается. В чем тут может быть дело ?
> Есть домен на NT4. > При неправильном вводе пароля пользователя на Win9x > Workstation в лог на сервере делается соответствующая > запись. Если тоже самое происходит на Win2k Pro, то на > сервере ничего нигде не записывается. В чем тут может быть > дело ? Это такая фича, и никакими хот фиксами сдесь не поможешь, при локальной аутентификации или при при входе на машину состоящую в домене логи пишутся локально и с этим ничего не сделаешь! Учи мат часть :)
2 Viran А не поучить ли тебе самому мат часть ??, Audit Account Logon Events например !01.04.03 03:11 Автор: babay <Andrey Babkin> Статус: Elderman
Может пользователь на Win2K пытается зарегистрироваться в системе не как член домена, а как локальный пользователь компа? Тогда запизи о неуспешной регистрации будут писаться в Локальный лог безопасности компа.
Примерно те-же мысли24.03.03 17:44 Автор: babay <Andrey Babkin> Статус: Elderman
> Может пользователь на Win2K пытается зарегистрироваться в > системе не как член домена, а как локальный пользователь > компа? Тогда запизи о неуспешной регистрации будут писаться > в Локальный лог безопасности компа.
2000 вообще не создаст юзеру десктоп, если пароль не подходит.
andrjuha пишет что вход в домен НТ 4 юзера со слетевшим паролем на машине под 98 оставляет запись в логах о неправильно набранном пароле, а при входе клиента на 2000 такой записи нет !
Скорее всего ты прав, вход - локальный, а не доменный (мап дисков и прочее проходит под кэшированным паролем, а не под системным паролем входа в домен, т.е. тачка не имеет регистрации в домене или юзер локально вваливается) тогда всё как ты сказал,
но если тачка в домене и вход в домен тогда не ясно нефига :-(.
Пусть andrjuha уточняет, завел ли он машину в домен и какой вход.
Машина в домене, вход тоже в домен24.03.03 23:46 Автор: andrjuha Статус: Незарегистрированный пользователь
> но если тачка в домене и вход в домен тогда не ясно нефига > :-(. > Пусть andrjuha уточняет, завел ли он машину в домен и какой > вход.
В том то вся лажа, что и машина в домене, и юзер входит в домен, а не локально.
Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng.
В локальных логах записывается про неправильный пароль, а на сервере по нулям (хотя про Win98SE все пишет).
Машина в домене, вход тоже в домен25.03.03 14:15 Автор: Den <Денис Т.> Статус: The Elderman
> В том то вся лажа, что и машина в домене, и юзер входит в > домен, а не локально. > Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng. > В локальных логах записывается про неправильный пароль, а > на сервере по нулям (хотя про Win98SE все пишет).
Account Logon Events и Logon Events на серваке в момент неудачного входа 2000 что пишет ?, если установлен на лог всех событий и + и -?
И всё-таки проследи за юзером, не локально ли он входит, чудес не бывает..., в локальный-то лог шарашит, значит попытка входа в локаль есть.
Заведи юзера на тачке, в домене не заводи и попробуй под ним в домен ввалиться, в логах должно что-то быть. Если есть возврат ошибки - заведи этого юзера и в домене, и попробуй поиграться.
Еще раз уточни в домене ли тачка, может она в воркгруппе, одноименной с доменом..., нет ли в систем-логе от нетбиоса вони о конфликте имен ?
> Account Logon Events и Logon Events на серваке в момент > неудачного входа 2000 что пишет ?, если установлен на лог > всех событий и + и -? Вообще ничего
> И всё-таки проследи за юзером, не локально ли он входит, > чудес не бывает..., в локальный-то лог шарашит, значит > попытка входа в локаль есть. Сам пробовал
> Заведи юзера на тачке, в домене не заводи и попробуй под > ним в домен ввалиться, в логах должно что-то быть. Если юзера в домене такого вообще нет, то запись в лог делается, если юзер есть - то записи нет
> Еще раз уточни в домене ли тачка, может она в воркгруппе, > одноименной с доменом..., нет ли в систем-логе от нетбиоса > вони о конфликте имен ? Проблемы на всех тачках с 2к. Точно в домене, логов лишних нет.
> Проблемы на всех тачках с 2к. Точно в домене, логов лишних > нет. Если переносился BDC на PDC в то время как клиенты уже были в домене - возможны проблемы, смотри ссылку. И еще глянь логи BDC и посмотри, не установлена ли на 2000 клиентах процедура аутентификация NTLM 2, и если её не возможно произвести - то NTLM. Поставь принудительно NTLM.
BDC вообще нет.
Включение только NTLM ничего не исправляет.
Вообще это выглядит так: в окне ввода имени пользователя для входа в систему Win2k можно набирать все что угодно - в логи на сервер ничего не попадает (только в локал лог). Если зайти локально под несуществующим в домене именем и попытаться обратиться к серверу, то в лог на сервере пишется соответствующая запись.
Т.е. записи с MyDomaine в поле "домен" на сервере не фиксируются, а записи с MachineName в поле "домен" на сервере фиксируются.
Re: Не то слово...26.03.03 12:48 Автор: Den <Денис Т.> Статус: The Elderman
> Возможно проблема в создании учетных записей машин и длине > их паролей. > Опиши процедуру добавления тобой станций в домен. 1) На сервере в Server Manager
Computer > Add to domain > NewPC > Add
2) На NewPC
System > Network Indentification > Properties > Domain > MyDomain > OK
При запросе имени пользователя ввожу имя доменного юзверя.
Re: Не то слово...26.03.03 18:55 Автор: Den <Денис Т.> Статус: The Elderman
1. В Server Manager'е добавлять не обязательно. Удали бюджет машины, которую хочешь добавить.
2. Когда добавляешь рабочую станцию в домен из System > Network Indentification > Properties > Domain > MyDomain указывай имя и пароль администратора (если конецно не разрешал другим пользователям добавлять станции к домен в User Manager -> Policies -> User Rights...)
В System > Network Indentification > Properties выведи станцию из домена в workgroup, затем выполни п.1 и через 15 минут п.2
Re: Не то слово...26.03.03 23:46 Автор: andrjuha Статус: Незарегистрированный пользователь
1) В Server Manager удалил MyPC из домена.
2) Для MyUser разрешил добавлять станции к домену.
3) Перевел MyPC в MyGroup группу из System > Network Indentification > Properties.
4) Через 30 минут с помощью MyUser добавил MyPC в домен из System > Network Indentification > Properties > Domain
5) Перезагружаю MyPC, в окне ввода пароля выбираю вход в домен, в имени пользователя набираю чушь - в логах на сервере по нулям Как такое может быть ? Может поломал меня кто-то так хитро ?
Re: Не то слово...27.03.03 11:02 Автор: Den <Денис Т.> Статус: The Elderman
Я протормозил... Мне показалось, что ты с 2K не можешь в домен логиниться. А у тебя только логи не пишуться.
У меня нет под рукой W2K, чтобы проверить, но попробуй в User Rights на NT разрешить Access this computer from network только Authenticated Users .
Возможно 2K сама проверяет наличие пользователя в домене.
В догонку...27.03.03 12:36 Автор: Den <Денис Т.> Статус: The Elderman
А тот пользователь, которым ты пытаешься войти, добавлен в какую-либо локальную группу или входит в глобальную группу домена, добавленную в локальную группу на 2K?
Группы подробно27.03.03 13:36 Автор: andrjuha Статус: Незарегистрированный пользователь
> А тот пользователь, которым ты пытаешься войти, добавлен в > какую-либо локальную группу или входит в глобальную группу > домена, добавленную в локальную группу на 2K? Вообще я все оставил по умолчанию, т.е.
на сервере в глобальной группе Domain Users все пользователи.
на MyPC в группе Users:MyDomain\Domain Users;NT AUTHORITY\Authenticated Users;NT AUTHORITY\INTERACTIVE.
Как вообще Win2k может сама проверять пароли, если в Local Security Settings>Number of previous logons to cache стоит 0; а в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa стоит NoLmHash.
Access this computer from network поставил Authenticated Users (стояло Everyone). 15 минут подожду на всякий случай и проверю еще раз.
Группы подробно27.03.03 14:26 Автор: Den <Денис Т.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
