windows2019密码无法登录入域

Posted 2023-04-23

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了windows2019密码无法登录入域相关的知识，希望对你有一定的参考价值。

解决用户在远程域控制器上更改密码后无法登录到域的问题。

适用于： Windows 2000
原始 KB 编号： 318364

症状
在保留主域控制器 (PDC) 灵活单主机操作 (FSMO) 角色的远程域控制器上更改用户帐户密码后，用户可能无法通过输入新密码登录到本地域控制器。但是，用户仍可使用其以前的密码登录到域。

原因
如果存在以下情况，则可能会发生此行为：

远程域控制器尚未与本地域控制器一起复制。

Kerberos 配置为使用用户数据报协议 (UDP) 协议 (默认配置) 。

用户的安全令牌太大，无法容纳 UDP Kerberos 消息。

备注

如果该用户是许多组的成员，则用户的安全令牌可能很大。

此问题是由本地域控制器上的 Kerberos 身份验证的反重播功能引起的。以下步骤说明了此行为：

在远程域控制器上更改用户帐户密码，但该更改尚未复制到本地域控制器。
用户尝试使用新密码登录到域。 Kerberos 身份验证服务交换消息 (KRB_AS_REQ) 使用 UDP 发送到本地域控制器。
本地域控制器无法进行身份验证，因为它还没有新的密码信息。
本地域控制器将请求转发到远程 PDC (KDCSVC!FailedLogon) 。
在函数中 FailedLogon ，请求的条目将输入到重播检测表中，KRB_AS_REQ消息将发送到远程 PDC。
远程 PDC 成功对请求进行身份验证，然后返回对本地域控制器的正面答复。
本地域控制器检测到回复对于 UDP 数据包来说太大，这就是为什么使用传输控制协议 (TCP) 向客户端计算机发送请求以重新发送请求的原因。
客户端计算机使用 TCP 重新提交身份验证请求。
本地域控制器无法进行身份验证，因为它还没有新的密码信息 (步骤 3) 。
本地域控制器将请求转发到远程 PDC 域控制器 () (KDCSVC!FailedLogon 步骤 4) 。
函数中的 FailedLogon 重播检测检查返回KRB_AP_ERR_REPEAT消息，因为重播检测表中已存在此请求的条目。这是在步骤 5 中创建的条目。
身份验证尝试失败。

解决方案
若要解决此问题，请获取 Windows 2000 的最新服务包。

此修补程序的英文版本具有下表中列出的文件属性 (或更高版本) 。这些文件的日期和时间在协调的通用时间 (UTC) 中列出。查看文件信息时，会将其转换为本地时间。若要查找 UTC 与本地时间之间的差异，请在控制面板中的“日期和时间”工具中使用时区选项卡。

控制台

复制
Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll
解决方法
若要解决此问题，请在本地域控制器上进行用户帐户密码更改，或强制 Kerberos 使用 TCP (传输控制协议) 而不是 UDP (用户数据报协议) 。

有关详细信息，请参阅如何强制 Kerberos 在 Windows 中使用 TCP 而不是 UDP。

状态
Microsoft 已确认这是本文开头列出的 Microsoft 产品中的问题。此问题在 Windows 2000 Service Pack 3 中首次得到更正。

更多信息
Kerberos 反重播功能可防止身份验证服务器接收同一数据包两次。重播攻击是一种攻击，其中有效数据传输由发起人或截获数据并重新传输数据的对应者进行恶意或欺诈性重复。攻击者可能会尝试“重播”有效用户的用户名和密码，以尝试使用该用户的凭据进行身份验证。参考技术A windows server2019安装AD加入已经存在的域，且安装DNS。

可以使用域账户登录，但不能使用本地账户登录。

本地账户只有一个账户Administrator，为了安全，重命名为AdminDNS，密码强度符合要求，大写小写数字和特殊字符共计8位。本地账户在此电脑加入域前，可正常登录本机。参考技术B 可以先关电脑，重新启动之后，再下载。因为windows2019是旧版本的，所以要多些耐性。参考技术C 可以先关电脑，重新启动之后，再下载。因为windows2019是旧版本的，所以要多些耐性。