我在同一個 OU 下的同一個域中創建了兩個服務帳戶svc-a和svc-b 。最近我用最新的安全補丁升級了我的 Windwos Web 服務器,這兩個服務帳戶用于運行兩個不同的 IIS 網站。
修補后,svc-a無法獲取任何組的 AD 組成員。雖然svc-b仍然可以做到這一點。
我用svc-a得到的錯誤是,
get-adgroupmember :目標名稱不正確或服務器已拒絕客戶端憑據。在行:1 字符:1
- 獲取廣告組成員 acifeesadmin -server au.amp.local
CategoryInfo : SecurityError: (acifeesadmin:ADGroup) [Get-ADGroupMember], AuthenticationException FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.Security.Authentication.AuthenticationException,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
我在 Google 上找到的建議修復之一是啟用 RC4_HMAC_MD5 加密方法,完成后,svc-a帳戶可以成功獲取 AD 組成員。
啟用 RC4_HMAC_MD5 加密型別對我們來說不是一個可行的解決方案,因為我們的組策略消除了這種變化,而且它是一種較舊的加密型別,更容易受到攻擊。
基于這個關于 Kerberos 加密型別的優秀博客的建議
服務帳戶svc-a仍然無法獲取 AD 組成員并且失敗并出現同樣的錯誤。
它可以獲取 AD 組成員的唯一方法是當我在 Web 服務器上啟用 RC4_HMAC 加密型別時(我不想這樣做)
總之,
- 一個域中的兩個類似的服務帳戶在一個視窗 Web 服務器中用于運行 IIS 網站
- 在 Web 服務器上安裝安全補丁后,其中一個服務帳戶無法獲取 AD 組成員。
- 在 Web 服務器上啟用 RC4_HMAC 加密型別可以解決問題,但這不是一個可行的解決方案,因為我們的組策略會消除更改。
- 更改 AD 上的服務帳戶以允許 AES 128 和 AES 256 加密型別無濟于事
- 我試過重置 svc-a 的密碼,但也沒有用。
有誰知道我還應該嘗試什么或對為什么這不起作用有見解?
uj5u.com熱心網友回復:
這已得到修復。服務帳戶的密碼在創建 RODC 之前已重置,因此 DC 繼續使用較舊的加密方法發行服務票證。在 10 小時后重置密碼兩次解決了這個問題。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/529128.html
上一篇:在Powershell中,僅使用記憶體(沒有可用的磁盤存盤),我如何創建一個大文本檔案的zip存檔并將其附加到電子郵件中?
下一篇:發現物體之間的關系