iT邦幫忙

0

小弟公司AD環境DC Server Window server 2008 R2

設定上是使用者在密碼到期前,會收到AD通知更改密碼

但是在使用者要自行修改密碼時,會出現"系統偵測到可能的危害安全性的企圖,請確定您可以聯絡驗證您的伺服器。"之前是因為裝了KB3167679而造成的,把KB移掉後就正常。

但是最近更新KB3185911、KB3184122、KB3177186、KB3175024後,該情況又出現了。

不知道最近各位更新後有這樣子的情況嗎?在網路上都找不太到有關這四支更新後有問題的文章,想問問大家有碰到嗎?

目前移掉KB3175024後可以正常更新,不知道其他人有碰到嗎…XD

2 個回答

0
CalvinKuo
iT邦大師 7 級 ‧ 2016-09-19 13:36:14
最佳解答

MS16-101:Windows 驗證方法的安全性更新:2016 年 8 月 9 日
官方是說要開TCP 464 出來...

已知問題 1
此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼,無法進行密碼變更作業時,此安全性更新會停用透過訊號交涉程序,切換回 NTLM 的能力。在此情況下,您可能會收到下列其中一個錯誤碼:

十六進位 十進位 字串 說明
>0xc0000388 1073740920 STATUS_DOWNGRADE_DETECTED 系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
>0x4f1 1265 ERROR_DOWNGRADE_DETECTED 系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。

如果安裝 MS16-101 後,先前成功的密碼變更作業現已無法進行,則有可能是該密碼變更作業先>前因為 Kerberos 驗證失敗,改而採用 NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼,請依照下列步驟執行:

  1. 在已安裝 MS16-101 的用戶端,以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上,設定開放通訊。

如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者,RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者,則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。
2. 確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
3. 確認服務主體名稱 (SPN) 已正確登錄。

感謝,來查查看是不是沒有開啟。

照微軟的說法是現在驗證密碼都必需要經過kerberos的驗證嗎?
所以只要打開TCP 464 基本上就可以排除這一系列相關的問題嗎?

也有在其他的KB安裝後發現一樣的『系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。』如KB3175024、KB3192591、KB3185330等都會出現。

CalvinKuo iT邦大師 7 級 ‧ 2016-10-19 23:04:04 檢舉

除了第一項TCP 464沒開外,第二第三項都跟你的DC健康狀況有關。
開了還是沒用就跑一下DCDiag吧...
https://dotblogs.com.tw/chou/archive/2011/10/22/45618.aspx

1
尼克
iT邦高手 1 級 ‧ 2016-09-19 13:17:31

KB3167679 這個kb 我以經移掉囉! 謝謝回答。

我要發表回答

立即登入回答