Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

Всем привет, сегодня расскажу как можно попасть на компьютер в домене Adctive Directory, у которого при попытке залогиниться выскакивает сообщение отсутствуют серверы которые могли бы обработать запрос на вход в сеть, в итоге вы не можете на него попасть и естественно выполнить задачу. Бывает такое, при первой попытке авторизации, или же после того как вы сходили на обед, а возвратившись с него вы обнаружили свою проблему. Думаю для начинающих системных администраторов это будет полезно, будет большее понимание как это работает и как это чинить.

Что означает отсутствуют серверы обработки

И так у меня есть сервер с установленной на него операционной системой Windows Server 2012 R2, При попытке на него попасть у меня выскочило сообщение, отсутствуют серверы которые могли бы обработать запрос на вход в сеть. Смысл его заключается в том, что при попытке проверить ваш логин и пароль, серверу не удалось связаться с контроллером домена.

отсутствуют серверы которые могли бы обработать запрос

Как работает авторизация в Active Directory

У вас есть учетная запись в домене, вы пытаетесь войти на сервер, локально или удаленно, тут разницы нет. Сервер передает эти данные на ближайший контроллер домена, чтобы удостовериться есть ли такой пользователь или нет. Если по какой то причине, сервер не может установить связь с DC, то вы получаете отказ во входе. Если еще детальнее, то в Windows  есть библиотека GINA (Graphical Identification and Authentication), она видит, что вы ввели логин и пароль, после чего она обращается к контроллеру Active Directory. За процесс аутентификации пользователя или компьютера по сети, отвечают два протокола NTLM (библиотека MSV1_0.dll) и Kerberos (библиотека Kerberos.dll). Ели бы у нас была не AD, то мы бы обращались к службе LSA (Local Security Authority), а та уже в свою очередь направила бы запрос в локальную базу данных SAM-базу для аутентификации пользователя а тот уже возвращает процессу Winlogon токен доступа.

Причины этого всего это ошибка в сетевом соединении между вашим сервером и контроллером домена и как вывод нужно проверить

  • Воткнут и горит ли сетевой шнурок у вашего сервера, если да то идем далее
  • делаем пинг и трассировку, до вашего контроллера, чтобы понять где проблема. Далее устраняете проблему на том этапе где это происходит, но если пока проблема решается, а попасть нужно на сервер, то делаем следующее.

Заходим на сервер когда отсутствует связь с сервером

Сразу отмечу, что данный метод будет работать только если вы до этого логинились на данный сервер, когда вы до этого входили в систему, то ваши данные были помещены в хэш локального компьютера, это поможет обойти проблему, при которой вы получили отсутствуют серверы которые могли бы обработать запрос и позволит войти. Хочу отметить, что в хэш кладется не сам логин и пароль, а результат их проверки, а если совсем точно, то хэш пароля, обработанный специальным методом salt. salt генерируется на основе имени пользователя. Сами данные лежат в ветке реестра HKLM\SECURITY\Cache к которому имеет доступ только система.

В WIndows за кэширование отвечает параметр реестра CashedLogonsCount, найти его можно по пути

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

отсутствуют серверы которые могли бы обработать запрос-2

Смысл данного параметра, очень простой, все сводится к тому, что он задает количество уникальных пользователей, у которых данные можно хранить локально. По дефолту, это значение 10. Простой пример если у вас уже залогинилось 10 человек, то их хэши будут храниться локально, если 11 залогиниться то он пере затрет первого и так далее.

Если есть необходимость, поменять это значение, то групповая политика нам в помощь. Переходим в оснастку групповой политики, создаем либо новую или меняем ну уровне домена

отсутствуют серверы которые могли бы обработать запрос-3

Я для примера хочу ее распространить на весь домен, а по умолчанию в AD создается Default Domain Policy политика, правым кликом по ней и выбираем изменить.

отсутствуют серверы которые могли бы обработать запрос-4

Переходим в раздел

Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности

Тут вам нужно найти параметр Интерактивный вход в систему: количество предыдущих подключений к кэшу, по сути это и есть CashedLogonsCount, Сам параметр можно задать от 0 до 50. Если выставите 0, то полностью запретите локальное кэширование, это правильно с точки зрения безопасности. но не даст вам войти на компьютер при отсутствии доступа к контроллеру и покажет вам  отсутствуют серверы которые могли бы обработать запрос.

отсутствуют серверы которые могли бы обработать запрос-5

В английской версии это

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available)

С точки зрения безопасности, правильно отключать данное кэширование. так как у злоумышленника есть возможность использовать данный метод, для взлома. Но есть исключения из правил, это пользователи мобильных устройств, так например для человека, который часто ездит в командировки, данное кэширование просто необходимо. Теперь вы знаете, как войти в компьютер при сообщении отсутствуют серверы которые могли бы обработать запрос на вход в сеть. Думаю вам было полезно это узнать.

2 Responses to Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

  1. Слава:

    Есть похожая проблема: используя 2008R2 поднятые для этого службы WDS + DHCP (используем в основном статику, для службы развертывания сделали отдельную зону). сделали эталонный образ, присоединили к домену, записали, все бы хорошо, но после установки не хочет входить в домен с ошибкой отсутствуют серверы которые могли бы обработать запрос. Оказалось DHCP не выдает адрес компьютеру который присоединяется к AD, заходим в WORKGROUP (выходим из домена) DHCP выдает адрес. Подняли тестовый сервак 2008R2 проделали все тоже самое и все работает. В чем причина?

  2. Иван Семин:

    Смотрите ваш файл ответов, пункт где вы заносите его в домен

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

я в гугл