[LØST] "Systemets lokale policy vil ikke logge deg på interkativt" , Får ikke logget på brukere på domene

9 innlegg i emnet

Skrevet (endret)

"Systemets lokale policy vil ikke logge deg på interkativt" , Får ikke logget på brukere på domene. Hva er løsningen på dette? Har et lite nettverk med Windows-2003 server og 8 pc-er i nettverk (domene) , bare 1 av disse 8 får logget seg på, når de andre prøver dukker feilmeldingen over opp? PC-ene er lik , har prøvd å logge de av og på domene og da får de logget seg på 1 gang , neste gang får jeg samme meldingen igjen. Er ikke gjort noe lokalt på pc-ene som skulle forårsake dette, må vel være noe på server-settingen , men hva?

Endret av phiwi
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

"Systemets lokale policy vil ikke logge deg på interkativt" , Får ikke logget på brukere på domene. Hva er løsningen på dette? Har et lite nettverk med Windows-2003 server og 8 pc-er i nettverk (domene) , bare 1 av disse 8 får logget seg på, når de andre prøver dukker feilmeldingen over opp? PC-ene er lik , har prøvd å logge de av og på domene og da får de logget seg på 1 gang , neste gang får jeg samme meldingen igjen. Er ikke gjort noe lokalt på pc-ene som skulle forårsake dette, må vel være noe på server-settingen , men hva?

Sjekk dns oppsettet ditt. Her ligger mest sansynlig feilen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis DNS er riktig (alle klienter peker mot din egen interne DNS) så prøv å melde maskinen ut av domene og inn igjen.

Er Problemet nytt (har det virket før) eller er alt ny oppsatt??

Hvis du har brukt et kone program (Ghost) på klientente kan dette oppstå, meld da PC'ene ut av domene og kjør newsid kommando (finnes i Ghost pakken et sted, eller kan lastes ned fra www.sysinternals.com)

:huh: lav

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor skulle det være dns feil ? Klienten får jo aksess mot gc som står for autentiseringen i dc og da fungerer dns ( ellers ville ikke feilmeldingen sett slik ut). Slik jeg tolker feilmeldingen indikerer den en policy som hindrer logon. Det betyr enten at Deny logon interactively er satt i group policy, eventuellt at system klokken er out of sync. Den må være innenfor en 5 minutters grense, ellers vil ikke autentiseringen fungere. Du vil finne mer info om problemet i sikkerhetsloggen og det er en grei plass å starte feilsøkingen på. ( om auditing er på da )

http://support.microsoft.com/kb/841188

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Trådstarter her: Saken er nå løst. Det er riktig som tidligere nevnt her at det fungerte fint med å logge pc ut og inn i domene , da fikk en logget på ok. Men jeg fant ut at det skyldtes at når jeg da logget på brukere , hadde ikke server fått tid til å 'pushe' ut policy-oppsettet og stenge pålogging før jeg klarte å logge på.

Løsningen var i GPO ('Group Policy Editor) under 'user setting' , der var det en verdi som var satt under 'nettverk' og satt(enablet) slik at systemet tok hensyn til de brukere/grupper som var meldt inn som lovlige brukere (her var det uteglemt en brukergruppe ). Når jeg fjernet denne settingen (dvs. fjernet 'enablet' og satt den til 'not enablet') da gjaldt standard-settinger som lå i Windows-2003, og ting fungerte helt fint.

:thumbs:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor skulle det være dns feil ? Klienten får jo aksess mot gc som står for autentiseringen i dc og da fungerer dns ( ellers ville ikke feilmeldingen sett slik ut). Slik jeg tolker feilmeldingen indikerer den en policy som hindrer logon. Det betyr enten at Deny logon interactively er satt i group policy, eventuellt at system klokken er out of sync. Den må være innenfor en 5 minutters grense, ellers vil ikke autentiseringen fungere. Du vil finne mer info om problemet i sikkerhetsloggen og det er en grei plass å starte feilsøkingen på. ( om auditing er på da )

http://support.microsoft.com/kb/841188

Fordi at DNS feil kan medføre at objektet (maskinkonto) blir foreldet slik at sid passordet ikke lengre blir godkjent (PC'er må autentisere seg og bytte passord 1 gang i uke og AD må få verifisert alle objekter for å ikke tombstone dem (180 dagers begrensning)), og man får da divers problemer som kan oppføre seg som dette.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nå er det en stund siden jeg jobbet med server 2003, men forstår ikke hva du prater om her. Et tombstoned objekt er kun et objekt i ad som har fått isDeletet atributten satt ved at admin slettet objektet fra ntds.dit, i tillegg, default tombstone lifetime er 60 dager, ble satt til 180 dager med sp1. Og garbage collection kjøres uavhengig av klientene (greit nok atributten blir replikert til andre dcer) Og en security identefier er nå kun en id for grupper, brukere eller maskiner i ad. Security Principal, brukeren, har et passord, default timelime på passordet der er 30 dager om ikke annet er definert, men her får bruker beskjed om å endre passord ved innlogging. dns har kun en oppgave under innlogging; å fortelle klienten via sine resource records hvor tjenestene i ad befinner seg. (finner global catalog for innlogging via ldap._tcp.gc._msdcs. Gjennom discover, offer, request og ack får klienten en ip adresse, via dhcp options får klienten dns adressen, søker i dns etter gc, får ip adressen og starter autentiseringen mot den. All "business logikk" for validering/autentisering ligger på gc. Får brukeren kontakt, og da blir validert men får tilbakemelding om policy restrictions..så er feilen i ad, og ikke i dns.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nå er det en stund siden jeg jobbet med server 2003, men forstår ikke hva du prater om her. Et tombstoned objekt er kun et objekt i ad som har fått isDeletet atributten satt ved at admin slettet objektet fra ntds.dit, i tillegg, default tombstone lifetime er 60 dager, ble satt til 180 dager med sp1. Og garbage collection kjøres uavhengig av klientene (greit nok atributten blir replikert til andre dcer) Og en security identefier er nå kun en id for grupper, brukere eller maskiner i ad. Security Principal, brukeren, har et passord, default timelime på passordet der er 30 dager om ikke annet er definert, men her får bruker beskjed om å endre passord ved innlogging. dns har kun en oppgave under innlogging; å fortelle klienten via sine resource records hvor tjenestene i ad befinner seg. (finner global catalog for innlogging via ldap._tcp.gc._msdcs. Gjennom discover, offer, request og ack får klienten en ip adresse, via dhcp options får klienten dns adressen, søker i dns etter gc, får ip adressen og starter autentiseringen mot den. All "business logikk" for validering/autentisering ligger på gc. Får brukeren kontakt, og da blir validert men får tilbakemelding om policy restrictions..så er feilen i ad, og ikke i dns.

SP1 oppgrader ikke lifetime til 180 dager, det gjelder kun ved nyoppsatt AD baset på SP1 installert Windows, men verdien kan manuelt bli endret med adsiedit. Det som kunne ha vært problemmet med DNS er at hvis maskinen ikke finner AD under oppstart grunnet DNS feil så vil brukeren bruke cashed credentials. Maskin konto vil derfor ikke blir oppdatert i AD og etter en stund vil den bli slettet av systemet, blir systemet så satt til å bruke riktig DNS igjen slik at maskinen kan autentisere seg mot AD og objektet er slett/merket for sletting vil du ikke få logget deg på, dette var et problem stort sett relatert til Windows Server 2000 domener.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

aha..da er jeg med...takk for oppklaringen :-)

mvh

jan erik

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive