iT邦幫忙

0

server 2003 有使用者人數(授權)限制?

請問 server 2003 有使用者人數限制?

目前預到情況是新增了ad使用者後看起來好像都正常

但是登入時會無法登入,退出網域後重新加入,

會可以正常登入,但重開關幾次後,又說無法登入了

舊的帳號就沒這些問題,想請問是否因為有使用人數限制的關係

一開始安裝時的數用人數我是輸入96個人而以,

不知是否是因為這樣的問題?

1 個回答

20
raytracy
iT邦大神 1 級 ‧ 2010-11-22 17:20:18
最佳解答

Server 2003 沒有鎖人數; SBS 2003 才有鎖.....

請先查:

  1. 用戶端的 DNS 設定是否指向 2003 DC?
  2. 用戶端的時間是否與 DC 同步? (誤差不能超過 5 分鐘)

您好,用戶都是dhcp抓的,都是指向這台沒錯

因為現在不在公司,無法查看,

但印像中事件裡確有時間的問題

想請問一下應該如何做呢?

另可否請您解釋一下,為何時間沒同步會造成無法登入呢,謝謝

raytracy iT邦大神 1 級 ‧ 2010-11-23 01:15:08 檢舉

整個 Active Directory 的設計基礎, 是基於兩大元件: AD整合式DNS全域時間同步. 所以這兩個因素若是少了一個, 都會造成 AD 環境的混亂.

很多人不清楚, 為何時間對 AD 如此重要? 主要是因為 AD 架構中, 使用 Kerberos v5 這個驗證協定, 而 Kerberos v5 是非常依賴雙方的時間同步, 因為 Kerberos 會在雙方交換驗證的 TGT (Ticket-Granting Tickets) 上面, 打上時間戳記, 如果時間差距太大, 就會無法進行驗證, 這是為了避免中間有駭客攔截封包, 然後再假造封包去通過驗證. 目前可容許的時間誤差是 5 分鐘.

關於微軟的 Kerberos v5 請參考:
TechNet: Kerberos V5 驗證

因時間造成無法登入的問題, 從最初引進 AD 的 Server 2000 就已經存在, 請參考:
KB 232386: 如果不同步的時間和日期不能登入

raytracy iT邦大神 1 級 ‧ 2010-11-23 02:11:43 檢舉

您可以在 Client 端的電腦上, 先用 Local administrator 的身分登入, 然後透過:

<pre class="c" name="code">net time /domain:<your domain> /set

這個指令, 先向 DC 取得時間的同步, 之後再登出, 重新以 Domain User 身分登入即可....

我要發表回答

立即登入回答