我遇到了一种情况,客户端计算机 (Windows Vista) 似乎没有向服务器 (Windows Server 2003) 发送正确的密码。
事件日志记录了登录失败,但据我所知,客户端有正确的密码 - 所以我真的很想知道两台计算机在尝试协商登录时实际来回发送的内容。
有什么方法可以监视/跟踪/检查 Windows 登录会话?(我认为普通的数据包捕获不起作用,因为密码不是以纯文本形式发送的——至少我希望不是!)
更多信息:服务器是网络上唯一的服务器。这些计算机都在同一个子网 192.168.1.xxx 上。客户端计算机不是域的成员。服务器计算机是 DNS 服务器 - 客户端计算机可以正确解析服务器的地址而不会出现任何问题。
事件日志中记录了以下事件:
- 的登录尝试
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0,失败并显示代码0xC0000234 - 显示“未知用户名或错误密码”的“登录失败”事件。
- 事件中指定的用户名是我正在使用的用户名
- “登录类型”为“3”
- 登录过程是“NtLmSsp”
- 身份验证包为 NTLM
客户端计算机试图做的就是连接到网络共享(实际上是映射网络驱动器)。
还有更多的数据需要收集。
用户是否报告了登录问题,或者您只是响应事件日志中的消息?你能自己重现这个吗?
如果用户没有报告问题,那么他们很有可能正在使用密码过期的用户名运行服务。查看他们的本地服务(在管理工具下,并确保“登录身份”字段没有他们的用户名。
此外,确保时钟同步。Kerberos 不适用于两个框之间的大时间偏差。
我同意迈克尔的观点。我想了解更多信息。你在做广告吗?Windows 2003 机器是您域中唯一的服务器吗?它们在同一个 IP 段内吗?DNS是如何处理的?
您可以嗅探网络(通过将嗅探器放在“看到”所有流量的端口上)。我没有办法开箱即用地监视/跟踪/检查 Windows 登录会话。
您是否有来自日志的任何特定错误 ID,以及何时获得它们?(例如,用户登录时的一个错误与他们整个登录时的周期性错误)