Error code 49 error description неправильные учетные данные

Доброго времени уважаемые форумчане.

Суть проблемы:

С недавнего времени перестали выполнятся групповые политики в домене у пользователей.

С логах системы у клиента ошибка:

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет
обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке «Подробности» можно найти код и описание
ошибки.

Подробности:

Посмотрев по статье:

Event ID 1006 — Group Policy Preprocessing (Active Directory)

Как-то бред с неправильными учетными данными, даже поменял пароль. Сервер по сети доступен, сетевые папки видны:

Доступ к ним есть.

На сервере в событиях безопасности формируется аудит отказа:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности:
NULL SID
Имя учетной записи:
—
Домен учетной записи:
—
Код входа:
0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности:
NULL SID
Имя учетной записи:
CAB2$
Домен учетной записи:
DOMAIN.LOCAL

Сведения об ошибке:
Причина ошибки:
Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Состояние:
0xC000015B
Подсостояние:
0x0

Сведения о процессе:
Идентификатор процесса вызывающей стороны:
0x0
Имя процесса вызывающей стороны:
—

Сведения о сети:
Имя рабочей станции:
—
Сетевой адрес источника:
192.168.1.16
Порт источника:
50404

Сведения о проверке подлинности:
Процесс входа:
Kerberos
Пакет проверки подлинности:
Kerberos
Промежуточные службы:
—
Имя пакета (только NTLM):
—
Длина ключа:
0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного сеансового ключа. Это поле может иметь значение «0», если сеансовый ключ не запрашивался.

ChupacabR
Новичок

Зарегистрирован: 16.04.2016
Пользователь #: 161,286
Сообщения: 35

Источник

Error code 49 error description неправильные учетные данные

Мужики, помогите понять начинающему админу в чём дело и как решить эту проблему.

Проблема заключается в следующем:

Есть Win Server 2003, на нём AD (с примерно 30 пользователями на борту) и DNS.
Решил заменить его на Win Server 2016.

Для этого ввёл в текущий домен, перевел режим работы леса и домена «Win 2003srv» с 2000 до 2003.
Установил роль AD на новом сервере и перешел к моменту повышения сервера до уровня контролера домена, добавляю его в текущий лес, и после прохождения всех стандартных пунктов нажимаю установить, однако после прошествия минуты он постоянно выдает одну и ту же ошибку, а именно:

Сбой операции по следующей причине:

Не удалось связаться с контроллером для домена S-STAZ, содержащим учётную запись для данного компьютера. Сделайте компьютер участником рабочей группы и присоединитесь к домену до повторения попытки повышения роли.

» Отказано в доступе «

Как и писал ранее, сам Win Server 2016 уже в домене и захожу я на него под учёткой Администратора домена Win Server 2003.

Не знаю в какую сторону дебажить, перелазил кучу ресурсов и форумов, но не нашел решения проблемы.

ipconfig Win Server 2003

C:Documents and SettingsАдминистратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : s-server
Основной DNS-суффикс . . . . . . : S-STAZ
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : S-STAZ

Подключение по локальной сети 4 — Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-E0-4C-F0-A6-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.133
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.250
DNS-серверы . . . . . . . . . . . : 192.168.0.133
192.168.0.30

dcdiag Win Server 2003

C:Documents and SettingsАдминистратор>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-NameS-SERVER
Starting test: Connectivity
. S-SERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-NameS-SERVER
Starting test: Replications
. S-SERVER passed test Replications
Starting test: NCSecDesc
. S-SERVER passed test NCSecDesc
Starting test: NetLogons
* Warning BUILTINАдминистраторы did not have the «Access this computer

* from network» right.
[S-SERVER] An net use or LsaPolicy operation failed with error 1, Невер
ная функция..
. S-SERVER failed test NetLogons
Starting test: Advertising
. S-SERVER passed test Advertising
Starting test: KnowsOfRoleHolders
. S-SERVER passed test KnowsOfRoleHolders
Starting test: RidManager
. S-SERVER passed test RidManager
Starting test: MachineAccount
. S-SERVER passed test MachineAccount
Starting test: Services
. S-SERVER passed test Services
Starting test: ObjectsReplicated
. S-SERVER passed test ObjectsReplicated
Starting test: frssysvol
. S-SERVER passed test frssysvol
Starting test: frsevent
. S-SERVER passed test frsevent
Starting test: kccevent
. S-SERVER passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0001B58
Time Generated: 04/29/2018 22:52:54
(Event String could not be retrieved)
. S-SERVER failed test systemlog
Starting test: VerifyReferences
. S-SERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : S-STAZ
Starting test: CrossRefValidation
. S-STAZ passed test CrossRefValidation
Starting test: CheckSDRefDom
. S-STAZ passed test CheckSDRefDom

Running enterprise tests on : S-STAZ
Starting test: Intersite
. S-STAZ passed test Intersite
Starting test: FsmoCheck
. S-STAZ passed test FsmoCheck

netdiag Win Server 2003

Netcard queries test . . . . . . . : Passed

Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш 4

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : s-server
IP Address . . . . . . . . : 192.168.0.133
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.250
Dns Servers. . . . . . . . : 192.168.0.133
192.168.0.30

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the ‘WorkStation Service’, ‘Messenge
r Service’, ‘WINS’ names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_ <82AB3F44-9EAB-40F2-B51F-D79F1B7A647E>
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don’t have a single interface with the ‘WorkStation Servi
ce’, ‘Messenger Service’, ‘WINS’ names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
PASS — All the DNS entries for DC are registered on DNS server ‘192.168.0.13
3′.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver ‘192.168.0.30’. Please wait for 30 minutes for DNS server replication.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_ <82AB3F44-9EAB-40F2-B51F-D79F1B7A647E>
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_ <82AB3F44-9EAB-40F2-B51F-D79F1B7A647E>
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run «netsh ipsec dynamic show /?» for more detailed information

The command completed successfully

ipconfig Win Server 2016

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : s-server-dc
Основной DNS-суффикс . . . . . . : S-STAZ
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : S-STAZ

Адаптер Ethernet Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 00-1E-8C-C9-D3-42
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::64b3:a39e:e8b5:355b%4(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.30(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 29 апреля 2018 г. 20:57:20
Срок аренды истекает. . . . . . . . . . : 29 апреля 2018 г. 23:48:57
Основной шлюз. . . . . . . . . : 192.168.0.250
DHCP-сервер. . . . . . . . . . . : 192.168.0.250
IAID DHCPv6 . . . . . . . . . . . : 33562252
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-73-D4-83-00-1E-8C-C9-D3-42
DNS-серверы. . . . . . . . . . . : 192.168.0.133
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6abd:c04:157f:b173:3809(Основной)
Локальный IPv6-адрес канала . . . : fe80::c04:157f:b173:3809%2(Основной)
Основной шлюз. . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-73-D4-83-00-1E-8C-C9-D3-42
NetBios через TCP/IP. . . . . . . . : Отключен

Источник

Adblock
detector

I have a domain that runs all 2008r2 servers, we only have a few clients on it right now as it isn’t fully live. I recently had to rename the domain from school.edu to campus.school.edu. User policy is processing fine, DNS appears to be working okay now
(it was a bit off at first), but when I do a gpupdate the Computer policy fails with:

Log Name:      System

Source:        Microsoft-Windows-GroupPolicy

Date:          5/12/2011 10:06:25 AM

Event ID:      1006

Task Category: None

Level:         Error

Keywords:      

User:          SYSTEM

Computer:      {client-server}.campus.school.edu

Description:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the details tab for error code and description.

Event Xml:

<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>

  <System>

    <Provider Name=»Microsoft-Windows-GroupPolicy» Guid=»{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}» />

    <EventID>1006</EventID>

    <Version>0</Version>

    <Level>2</Level>

    <Task>0</Task>

    <Opcode>1</Opcode>

    <Keywords>0x8000000000000000</Keywords>

    <TimeCreated SystemTime=»2011-05-12T17:06:25.124513200Z» />

    <EventRecordID>4384</EventRecordID>

    <Correlation ActivityID=»{AA6D3CF4-B82E-4BE3-BEF8-6474018C9CBC}» />

    <Execution ProcessID=»784″ ThreadID=»2444″ />

    <Channel>System</Channel>

    <Computer>{client-server}.campus.school.edu</Computer>

    <Security UserID=»S-1-5-18″ />

  </System>

  <EventData>

    <Data Name=»SupportInfo1″>1</Data>

    <Data Name=»SupportInfo2″>5012</Data>

    <Data Name=»ProcessingMode»>0</Data>

    <Data Name=»ProcessingTimeInMilliseconds»>1047</Data>

    <Data Name=»ErrorCode»>49</Data>

    <Data Name=»ErrorDescription»>Invalid Credentials</Data>

    <Data Name=»DCName»>

    </Data>

  </EventData>

</Event>

Everything I find on other forums or kb articles doesn’t seem to apply to this situation and none of the fixes work. Am I missing something? The GPClient service doesn’t show me the credentials used when I check there, I am at a loss.

I have a domain that runs all 2008r2 servers, we only have a few clients on it right now as it isn’t fully live. I recently had to rename the domain from school.edu to campus.school.edu. User policy is processing fine, DNS appears to be working okay now
(it was a bit off at first), but when I do a gpupdate the Computer policy fails with:

Log Name:      System

Source:        Microsoft-Windows-GroupPolicy

Date:          5/12/2011 10:06:25 AM

Event ID:      1006

Task Category: None

Level:         Error

Keywords:      

User:          SYSTEM

Computer:      {client-server}.campus.school.edu

Description:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the details tab for error code and description.

Event Xml:

<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>

  <System>

    <Provider Name=»Microsoft-Windows-GroupPolicy» Guid=»{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}» />

    <EventID>1006</EventID>

    <Version>0</Version>

    <Level>2</Level>

    <Task>0</Task>

    <Opcode>1</Opcode>

    <Keywords>0x8000000000000000</Keywords>

    <TimeCreated SystemTime=»2011-05-12T17:06:25.124513200Z» />

    <EventRecordID>4384</EventRecordID>

    <Correlation ActivityID=»{AA6D3CF4-B82E-4BE3-BEF8-6474018C9CBC}» />

    <Execution ProcessID=»784″ ThreadID=»2444″ />

    <Channel>System</Channel>

    <Computer>{client-server}.campus.school.edu</Computer>

    <Security UserID=»S-1-5-18″ />

  </System>

  <EventData>

    <Data Name=»SupportInfo1″>1</Data>

    <Data Name=»SupportInfo2″>5012</Data>

    <Data Name=»ProcessingMode»>0</Data>

    <Data Name=»ProcessingTimeInMilliseconds»>1047</Data>

    <Data Name=»ErrorCode»>49</Data>

    <Data Name=»ErrorDescription»>Invalid Credentials</Data>

    <Data Name=»DCName»>

    </Data>

  </EventData>

</Event>

Everything I find on other forums or kb articles doesn’t seem to apply to this situation and none of the fixes work. Am I missing something? The GPClient service doesn’t show me the credentials used when I check there, I am at a loss.

Как устранить ошибку. Учетные данные недействительны на сервере LDAP

Я добавляю аутентификацию LDAP в приложение с весенней загрузкой. Все настроено соответствующим образом, и я получаю сообщение об ошибке «Код ошибки LDAP 49 AcceptSecurityContext error data 52e v2580» даже после предоставления правильных учетных данных.

я использую import javax.naming.Context; и упомянули код ниже.

String url = ldap_url; String domain = ldap_domain; String uname = request.getUsername(); String pwd = request.getPassword(); boolean authentication = false; boolean error = true; String msg; String ldapSearchBase = 'OU=TEST_OU, DC=DC2, DC=DC1'; // create env for initial context Hashtable env = new Hashtable(); env.put(Context.INITIAL_CONTEXT_FACTORY, 'com.sun.jndi.ldap.LdapCtxFactory'); env.put(Context.PROVIDER_URL, url); env.put(Context.SECURITY_AUTHENTICATION, 'simple'); env.put(Context.SECURITY_PRINCIPAL, 'CN=' + uname + '@' + domain + ',' + ldapSearchBase); env.put(Context.SECURITY_CREDENTIALS, pwd); NamingEnumeration results = null; try { LdapContext ctx = new InitialLdapContext(env, null); authentication = true; error = false; } catch (NamingException e) { logger.error('LDAP error for :{NamingException}' + e); return ResponseEntity.ok(new ApiResponse(true, e.getMessage())); } finally { if (!error) { msg = 'Login success!!!'; } else { msg = 'Authentication failed!'; } } logger.info('exitinig...'); if (authentication) { return ResponseEntity.ok(new ApiResponse(false, msg)); } else { return ResponseEntity.ok(new ApiResponse(true, msg)); } 

Ошибка улавливается как NamingException.

Ответ об ошибке с кодом ошибки LDAP 49 … data 52e «Возвращает, если имя пользователя действительное. но пароль / учетные данные недействительны.’

Могут возникнуть проблемы с инфраструктурой, например, когда учетная запись компьютера контроллера домена не может быть синхронизирована с центром распространения ключей (KDC). Однако, когда существует это условие, у вас, вероятно, будет гораздо больше других проблем.

• Спасибо за ответ. Я не могу понять ошибку, указав это как проблему с учетными данными. Я сомневаюсь в SECURITY_PRINCIPAL.
• Возможно, вы захотите получить заведомо хороший браузер LDAP (или использовать утилиту ldapsearch) для проверки ваших параметров. (Мне нравится Apache Studio). Код результата LDAP. Вы можете попробовать использовать имя userPrincipal для входа ([email protected]) вместо DN. Иногда причиной является неправильное экранирование DN, но я предполагаю, что вы получите другой код результата, если имя пользователя будет неправильным.

Это может произойти, если для входа в вашу учетную запись требуется смарт-карта.

В Active Directory есть параметр «Смарт-карта требуется для интерактивного входа в систему».