Windows

針對特定域控制器對客戶端進行身份驗證

  • February 2, 2015

我遇到了活動目錄帳戶未執行登錄腳本的問題。腳本在一個位置執行良好,而在另一個位置執行良好。

在事件日誌中出現以下錯誤:

GroupPolicy-Operational event ID 7007
Periodic policy processing failed for user domain\username in 1 seconds.
EventData
       PolicyElaspedTimeInSeconds  1
       ErrorCode   1265
       PrincipalSamName    domain\username
       IsMachine   0
       IsConnectivityFailure   false



nt ID 40960 LSA (LsaSrv)
-   System
       -   Provider
           [ Name]     LsaSrv
           [ Guid]     {199FE037-2B82-40A9-82AC-E1D46C792B99}

           EventID 40960

           Version 0

           Level   3

           Task    0

           Opcode  0

           Keywords    0x8000000000000000

       -   TimeCreated
           [ SystemTime]   2015-01-13T15:03:17.679126200Z

           EventRecordID   26015

           Correlation

       -   Execution
           [ ProcessID]    896
           [ ThreadID]     4656

           Channel System

           Computer    computer.domain.com

       -   Security
           [ UserID]   S-1-5-18

-   EventData
       Target  cifs/domain
       Protocol    Kerberos
       Error   "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)"

# for hex 0xc0000023 / decimal -1073741789 :
 STATUS_BUFFER_TOO_SMALL                                       ntstatus.h
# {Buffer Too Small}
# The buffer is too small to contain the entry. No
# information has been written to the buffer.
# 1 matches found for "0xc0000023"

The Security System detected an authentication error for the server cifs/domain.com The failure code from authentication protocol Kerberos was "{Buffer Too Small}
The buffer is too small to contain the entry. No information has been written to the buffer.
(0xc0000023)".

解決方案 http://technet.microsoft.com/en-us/library/cc733950(v=ws.10).aspx

執行 Windows 2003 域,桌面是 Windows 7,域控制器是 2008 和 2003 伺服器的混合。

我們已經超過 3 年沒有重新啟動一些 2003 DC(不同的故事),這些都計劃退役。

為了解決登錄問題,是否可以將 Windows AD 帳戶驗證到特定 DC 而不是預設 DC?

這實際上很難做到

有幾種解決方法,即您可以為您的客戶端和您希望它們用作登錄伺服器的域控制器創建一個新站點,或者您可以LdapSrvPriority在域控制器上設置系統資料庫設置以提供最高優先級高於要用作登錄伺服器的 DC。您還可以在域控制器上配置LdapSrvWeight系統資料庫設置,為每個控制器分配加權優先級。

請注意,在域控制器上編輯系統資料庫設置是一項全域更改,它將應用於所有客戶端,而不僅僅是您正在測試的客戶端,就像將域控制器放入新站點也會影響所有客戶端身份驗證一樣。

但是,如鍊接文章中所述,這些設置只會使您的客戶端更喜歡給定的登錄伺服器,而不是強制他們使用給定的登錄伺服器,並且針對 Windows 域進行身份驗證的複雜性意味著您的客戶端可能會切換無論如何,在整個過程中登錄伺服器,所以你可能只是運氣不好。

引用自:https://serverfault.com/questions/664260