web-dev-qa-db-ja.com

特定のドメインコントローラーに対してクライアントを認証する

ログインスクリプトを実行していないActiveDirectoryアカウントに問題があります。スクリプトは、一方の場所では正常に実行され、もう一方の場所では正常に実行されません。

イベントログで次のエラーを取得します。

GroupPolicy-Operational event ID 7007
Periodic policy processing failed for user domain\username in 1 seconds.
EventData
        PolicyElaspedTimeInSeconds  1
        ErrorCode   1265
        PrincipalSamName    domain\username
        IsMachine   0
        IsConnectivityFailure   false



nt ID 40960 LSA (LsaSrv)
-   System
        -   Provider
            [ Name]     LsaSrv
            [ Guid]     {199FE037-2B82-40A9-82AC-E1D46C792B99}

            EventID 40960

            Version 0

            Level   3

            Task    0

            Opcode  0

            Keywords    0x8000000000000000

        -   TimeCreated
            [ SystemTime]   2015-01-13T15:03:17.679126200Z

            EventRecordID   26015

            Correlation

        -   Execution
            [ ProcessID]    896
            [ ThreadID]     4656

            Channel System

            Computer    computer.domain.com

        -   Security
            [ UserID]   S-1-5-18

-   EventData
        Target  cifs/domain
        Protocol    Kerberos
        Error   "{Buffer Too Small} The buffer is too small to contain the entry. No information has been written to the buffer. (0xc0000023)"

# for hex 0xc0000023 / decimal -1073741789 :
  STATUS_BUFFER_TOO_SMALL                                       ntstatus.h
# {Buffer Too Small}
# The buffer is too small to contain the entry. No
# information has been written to the buffer.
# 1 matches found for "0xc0000023"

The Security System detected an authentication error for the server cifs/domain.com The failure code from authentication protocol Kerberos was "{Buffer Too Small}
The buffer is too small to contain the entry. No information has been written to the buffer.
(0xc0000023)".

解決策 http://technet.Microsoft.com/en-us/library/cc733950(v = ws.10).aspx

Windows 2003ドメインを実行しているデスクトップはWindows 7であり、ドメインコントローラーは2008サーバーと2003サーバーが混在しています。

2003 DCの一部を3年以上再起動しておらず(別の話)、これらは廃止される予定です。

ログインの問題をトラブルシューティングするために、デフォルトのDCではなく、特定のDC=に対してWindows ADアカウントを認証できますか?

windowsactive-directorydomaindomain-controller
2
JJJJNR

詳細なGPOロギングが問題について何かを明らかにするかどうかを確認することは有用かもしれません。それは以下のregキーで有効にすることができます。結果のログファイル「gpsvc.log」は%WINDIR%\debug\usermode。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002

また、「バッファが小さすぎます」に関する記事の履歴もありますが、通常、これはイベントSystem/LsaSrv/40960の下に記録されます。これらの問題は通常、過剰な数のグループに属するユーザー/コンピューターアカウントが原因で発生し、Kerberosトークンサイズの問題が発生します。

1
Clayton