Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | | | | | | |
Updated !!! поверь, после напиши, я ещё копну на всякий случай - но это из одной области (имхо) 28.03.03 00:30 Число просмотров: 817
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 28.03.03 00:52 Количество правок: 2
|
Я же говорил что это из той же оперы, почитай в первой ссылке , а во второй есть как обходиться с этой бедой.
Хотя ты написал что у тебя 1 PDC - так помоему проще переставить, скорее всего криво сервис пак встал, они кричат что ещё в 4 это исправили, так поставь сначала его, а после 6. Не первый случай когда они в новых паках ошибки от предыдущих исправлений плодят или возвращают не исправленные длл.
Auditing Logon Failures Does Not Log Remote Failures
Automating Detection of Logon Failures In a Windows NT Domain
|
|
<sysadmin>
|
Logon logs (NT4 server) 24.03.03 16:10
Автор: andrjuha Статус: Незарегистрированный пользователь
|
Есть домен на NT4.
При неправильном вводе пароля пользователя на Win9x Workstation в лог на сервере делается соответствующая запись. Если тоже самое происходит на Win2k Pro, то на сервере ничего нигде не записывается. В чем тут может быть дело ?
|
|
Logon logs (NT4 server) 31.03.03 12:47 Штраф: 20 [babay]
Автор: Viran Статус: Незарегистрированный пользователь
|
> Есть домен на NT4.
> При неправильном вводе пароля пользователя на Win9x
> Workstation в лог на сервере делается соответствующая
> запись. Если тоже самое происходит на Win2k Pro, то на
> сервере ничего нигде не записывается. В чем тут может быть
> дело ?
Это такая фича, и никакими хот фиксами сдесь не поможешь, при локальной аутентификации или при при входе на машину состоящую в домене логи пишутся локально и с этим ничего не сделаешь! Учи мат часть :)
|
| |
2 Viran А не поучить ли тебе самому мат часть ??, Audit Account Logon Events например ! 01.04.03 03:11
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
|
|
Logon logs (NT4 server) 24.03.03 16:54
Автор: Woonder <Бученков Андрей> Статус: Member
|
|
Может пользователь на Win2K пытается зарегистрироваться в системе не как член домена, а как локальный пользователь компа? Тогда запизи о неуспешной регистрации будут писаться в Локальный лог безопасности компа.
|
| |
Примерно те-же мысли 24.03.03 17:44
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Может пользователь на Win2K пытается зарегистрироваться в
> системе не как член домена, а как локальный пользователь
> компа? Тогда запизи о неуспешной регистрации будут писаться
> в Локальный лог безопасности компа.
2000 вообще не создаст юзеру десктоп, если пароль не подходит.
andrjuha пишет что вход в домен НТ 4 юзера со слетевшим паролем на машине под 98 оставляет запись в логах о неправильно набранном пароле, а при входе клиента на 2000 такой записи нет !
Скорее всего ты прав, вход - локальный, а не доменный (мап дисков и прочее проходит под кэшированным паролем, а не под системным паролем входа в домен, т.е. тачка не имеет регистрации в домене или юзер локально вваливается) тогда всё как ты сказал,
но если тачка в домене и вход в домен тогда не ясно нефига :-(.
Пусть andrjuha уточняет, завел ли он машину в домен и какой вход.
|
| | |
Машина в домене, вход тоже в домен 24.03.03 23:46
Автор: andrjuha Статус: Незарегистрированный пользователь
|
> но если тачка в домене и вход в домен тогда не ясно нефига
> :-(.
> Пусть andrjuha уточняет, завел ли он машину в домен и какой
> вход.
В том то вся лажа, что и машина в домене, и юзер входит в домен, а не локально.
Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng.
В локальных логах записывается про неправильный пароль, а на сервере по нулям (хотя про Win98SE все пишет).
|
| | | |
Машина в домене, вход тоже в домен 25.03.03 14:15
Автор: Den <Denis> Статус: The Elderman
|
|
Может стоит при логоне надавить кнопочку Advanced и сменить рабочую станцию на домен...
|
| | | | |
Машина в домене, вход тоже в домен 25.03.03 20:17
Автор: andrjuha Статус: Незарегистрированный пользователь
|
> Может стоит при логоне надавить кнопочку Advanced и сменить
> рабочую станцию на домен...
Если бы все так было просто...
|
| | | |
Странно... 25.03.03 00:09
Автор: babay <Andrey Babkin> Статус: Elderman
|
> В том то вся лажа, что и машина в домене, и юзер входит в
> домен, а не локально.
> Машины Win2k Pro Eng, сервер NT 4.0 SP6a Eng.
> В локальных логах записывается про неправильный пароль, а
> на сервере по нулям (хотя про Win98SE все пишет).
Account Logon Events и Logon Events на серваке в момент неудачного входа 2000 что пишет ?, если установлен на лог всех событий и + и -?
И всё-таки проследи за юзером, не локально ли он входит, чудес не бывает..., в локальный-то лог шарашит, значит попытка входа в локаль есть.
Заведи юзера на тачке, в домене не заводи и попробуй под ним в домен ввалиться, в логах должно что-то быть. Если есть возврат ошибки - заведи этого юзера и в домене, и попробуй поиграться.
Еще раз уточни в домене ли тачка, может она в воркгруппе, одноименной с доменом..., нет ли в систем-логе от нетбиоса вони о конфликте имен ?
|
| | | | |
Странно... 25.03.03 16:44
Автор: andrjuha Статус: Незарегистрированный пользователь
|
> Account Logon Events и Logon Events на серваке в момент
> неудачного входа 2000 что пишет ?, если установлен на лог
> всех событий и + и -?
Вообще ничего
> И всё-таки проследи за юзером, не локально ли он входит,
> чудес не бывает..., в локальный-то лог шарашит, значит
> попытка входа в локаль есть.
Сам пробовал
> Заведи юзера на тачке, в домене не заводи и попробуй под
> ним в домен ввалиться, в логах должно что-то быть.
Если юзера в домене такого вообще нет, то запись в лог делается, если юзер есть - то записи нет
> Еще раз уточни в домене ли тачка, может она в воркгруппе,
> одноименной с доменом..., нет ли в систем-логе от нетбиоса
> вони о конфликте имен ?
Проблемы на всех тачках с 2к. Точно в домене, логов лишних нет.
|
| | | | | |
Странно... 25.03.03 19:22
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Проблемы на всех тачках с 2к. Точно в домене, логов лишних
> нет.
Если переносился BDC на PDC в то время как клиенты уже были в домене - возможны проблемы, смотри ссылку. И еще глянь логи BDC и посмотри, не установлена ли на 2000 клиентах процедура аутентификация NTLM 2, и если её не возможно произвести - то NTLM. Поставь принудительно NTLM.
Windows Server Members Still Authenticate with BDCs After PDC Is Upgraded
|
| | | | | | |
Не то слово... 25.03.03 20:14
Автор: andrjuha Статус: Незарегистрированный пользователь
|
BDC вообще нет.
Включение только NTLM ничего не исправляет.
Вообще это выглядит так: в окне ввода имени пользователя для входа в систему Win2k можно набирать все что угодно - в логи на сервер ничего не попадает (только в локал лог). Если зайти локально под несуществующим в домене именем и попытаться обратиться к серверу, то в лог на сервере пишется соответствующая запись.
Т.е. записи с MyDomaine в поле "домен" на сервере не фиксируются, а записи с MachineName в поле "домен" на сервере фиксируются.
|
| | | | | | | |
Re: Не то слово... 26.03.03 12:48
Автор: Den <Denis> Статус: The Elderman
|
Возможно проблема в создании учетных записей машин и длине их паролей.
Опиши процедуру добавления тобой станций в домен.
|
| | | | | | | | |
Re: Не то слово... 26.03.03 18:18
Автор: andrjuha Статус: Незарегистрированный пользователь
|
> Возможно проблема в создании учетных записей машин и длине
> их паролей.
> Опиши процедуру добавления тобой станций в домен.
1) На сервере в Server Manager
Computer > Add to domain > NewPC > Add
2) На NewPC
System > Network Indentification > Properties > Domain > MyDomain > OK
При запросе имени пользователя ввожу имя доменного юзверя.
|
| | | | | | | | | |
Re: Не то слово... 26.03.03 18:55
Автор: Den <Denis> Статус: The Elderman
|
1. В Server Manager'е добавлять не обязательно. Удали бюджет машины, которую хочешь добавить.
2. Когда добавляешь рабочую станцию в домен из System > Network Indentification > Properties > Domain > MyDomain указывай имя и пароль администратора (если конецно не разрешал другим пользователям добавлять станции к домен в User Manager -> Policies -> User Rights...)
В System > Network Indentification > Properties выведи станцию из домена в workgroup, затем выполни п.1 и через 15 минут п.2
|
| | | | | | | | | | |
Re: Не то слово... 26.03.03 23:46
Автор: andrjuha Статус: Незарегистрированный пользователь
|
1) В Server Manager удалил MyPC из домена.
2) Для MyUser разрешил добавлять станции к домену.
3) Перевел MyPC в MyGroup группу из System > Network Indentification > Properties.
4) Через 30 минут с помощью MyUser добавил MyPC в домен из System > Network Indentification > Properties > Domain
5) Перезагружаю MyPC, в окне ввода пароля выбираю вход в домен, в имени пользователя набираю чушь - в логах на сервере по нулям
Как такое может быть ? Может поломал меня кто-то так хитро ?
|
| | | | | | | | | | | |
Re: Не то слово... 27.03.03 11:02
Автор: Den <Denis> Статус: The Elderman
|
Я протормозил... Мне показалось, что ты с 2K не можешь в домен логиниться. А у тебя только логи не пишуться.
У меня нет под рукой W2K, чтобы проверить, но попробуй в User Rights на NT разрешить Access this computer from network только Authenticated Users .
Возможно 2K сама проверяет наличие пользователя в домене.
|
| | | | | | | | | | | | |
В догонку... 27.03.03 12:36
Автор: Den <Denis> Статус: The Elderman
|
|
А тот пользователь, которым ты пытаешься войти, добавлен в какую-либо локальную группу или входит в глобальную группу домена, добавленную в локальную группу на 2K?
|
| | | | | | | | | | | | | |
Группы подробно 27.03.03 13:36
Автор: andrjuha Статус: Незарегистрированный пользователь
|
> А тот пользователь, которым ты пытаешься войти, добавлен в
> какую-либо локальную группу или входит в глобальную группу
> домена, добавленную в локальную группу на 2K?
Вообще я все оставил по умолчанию, т.е.
на сервере в глобальной группе Domain Users все пользователи.
на MyPC в группе Users:MyDomain\Domain Users;NT AUTHORITY\Authenticated Users;NT AUTHORITY\INTERACTIVE.
Как вообще Win2k может сама проверять пароли, если в Local Security Settings>Number of previous logons to cache стоит 0; а в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa стоит NoLmHash.
Access this computer from network поставил Authenticated Users (стояло Everyone). 15 минут подожду на всякий случай и проверю еще раз.
|
| | | | | | | | | | | | | | |
Группы подробно 27.03.03 14:26
Автор: Den <Denis> Статус: The Elderman
|
Я имел ввиду не проверку паролей, а проверку наличия указанного пользователя в домене.
Может проще PDC переставить? ;)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
