Устранение неполадок (или отслеживание) проблем входа в сеть Windows
У меня возникла ситуация, когда клиентский компьютер (Windows Vista), похоже, не отправляет правильный пароль на сервер (Windows Server 2003).
В журнале событий регистрируется ошибка входа, но, насколько я могу судить, клиент имеет правильный пароль - поэтому я действительно хотел бы знать, что на самом деле отправляется туда и обратно между двумя компьютерами, когда они пытаются согласовать вход в систему.
Есть ли способ контролировать / отслеживать / исследовать сеанс входа в Windows? (Я предполагаю, что захват простого пакета не будет работать, так как пароли не отправляются в виде простого текста - по крайней мере, я надеюсь, что нет!)
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ: Сервер является единственным сервером в сети. Все компьютеры находятся в одной подсети, 192.168.1.xxx. Клиентский компьютер не является членом домена. Серверный компьютер является DNS-сервером - и клиентский компьютер может без проблем разрешить адрес сервера.
В журнале событий регистрируются следующие события:
- Попытка входа в систему
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0, который не с кодом0xC0000234 - Событие "сбой входа в систему", в котором говорится "неизвестное имя пользователя или неверный пароль".
- Имя пользователя, указанное в событии, - это имя пользователя, которое я использую
- Тип входа - "3"
- Процесс входа в систему "NtLmSsp"
- Пакет аутентификации - NTLM
Все, что пытается сделать клиентский компьютер, - это подключиться к общему сетевому ресурсу (на самом деле, подключая сетевой диск).
3 ответа
Есть еще данные для сбора.
Сообщает ли пользователь о проблемах со входом в систему или вы просто отвечаете на сообщения в журнале событий? Вы можете воспроизвести это самостоятельно?
Если пользователь не сообщает о проблемах, вполне возможно, что он запускает службу под своим именем пользователя, у которого истек пароль. Взгляните на их локальные службы (в разделе "Администрирование") и убедитесь, что в поле "Вход в систему" нет имени пользователя.
Кроме того, убедитесь, что часы синхронизированы. Kerberos не работает с большим перекосом времени между двумя блоками.
Я согласен с Майклом. Я хотел бы немного больше информации. Вы используете AD? Является ли Windows 2003 box единственным сервером в вашем домене? Находятся ли они в одном сегменте IP? Как обрабатывается DNS?
Вы можете прослушивать сеть (поместив анализатор на порт, который "видит" весь трафик). Я не знаю, как из коробки, чтобы отслеживать / отслеживать / проверять сеансы входа в Windows.
Есть ли у вас конкретные идентификаторы ошибок из журналов, и когда вы их получаете? (например, одна ошибка, когда пользователь входит в систему, против периодических ошибок все время, когда они вошли в систему)