Главная » Active directory, GPO, CA

Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

Автор На чтение 7 мин Просмотров 152 Обновлено
Содержание
  1. Что означает отсутствуют серверы обработки
  2. Как работает авторизация в Active Directory
  3. Заходим на сервер когда отсутствует связь с сервером
  4. Обновление от 24.11.2022

Логинимся на компьютер с ошибкой отсутствуют серверы которые могли бы обработать запрос

Всем привет, сегодня расскажу как можно попасть на компьютер в домене Adctive Directory, у которого при попытке залогиниться выскакивает сообщение отсутствуют серверы которые могли бы обработать запрос на вход в сеть, в итоге вы не можете на него попасть и естественно выполнить задачу. Бывает такое, при первой попытке авторизации, или же после того как вы сходили на обед, а возвратившись с него вы обнаружили свою проблему. Думаю для начинающих системных администраторов это будет полезно, будет большее понимание как это работает и как это чинить.

Что означает отсутствуют серверы обработки

И так у меня есть сервер с установленной на него операционной системой Windows Server 2012 R2, При попытке на него попасть у меня выскочило сообщение, отсутствуют серверы которые могли бы обработать запрос на вход в сеть. Смысл его заключается в том, что при попытке проверить ваш логин и пароль, серверу не удалось связаться с контроллером домена.

отсутствуют серверы которые могли бы обработать запрос

Или в английском варианте:

The are currently no logon servers avaliable to service the logon request

The are currently no logon servers avaliable to service the logon request

Как работает авторизация в Active Directory

У вас есть учетная запись в домене, вы пытаетесь войти на сервер, локально или удаленно, тут разницы нет. Сервер передает эти данные на ближайший контроллер домена, чтобы удостовериться есть ли такой пользователь или нет. Если по какой-то причине, сервер не может установить связь с DC, то вы получаете отказ во входе. Если еще детальнее, то в Windows  есть библиотека GINA (Graphical Identification and Authentication), она видит, что вы ввели логин и пароль, после чего она обращается к контроллеру Active Directory. За процесс аутентификации пользователя или компьютера по сети, отвечают два протокола NTLM (библиотека MSV1_0.dll) и Kerberos (библиотека Kerberos.dll). Ели бы у нас была не AD, то мы бы обращались к службе LSA (Local Security Authority), а та уже в свою очередь направила бы запрос в локальную базу данных SAM-базу для аутентификации пользователя, а тот уже возвращает процессу Winlogon токен доступа.

В логах вы можете увидеть ошибку:

ID 3210: Произошла ошибка при проверке имени этого компьютера на контроллере \\DC4.pyatilistnik.org, являющимся контроллером домена Windows для домена pyatilistnik, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.

Произошла ошибка при проверке имени этого компьютера на контроллере

И классическая ошибка:

ID 5719 (NETLOGON): Компьютер не может установить безопасный сеанс связи с контроллером домена PYATILISTNIK по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Компьютер не может установить безопасный сеанс связи с контроллером домена

Причины этого всего это ошибка в сетевом соединении между вашим сервером и контроллером домена и как вывод нужно проверить

  • Воткнут и горит ли сетевой шнурок у вашего сервера, если да то идем далее
  • делаем пинг и трассировку, до вашего контроллера, чтобы понять, где проблема. Далее устраняете проблему на том этапе, где это происходит, но если пока проблема решается, а попасть нужно на сервер, то делаем следующее.

Заходим на сервер когда отсутствует связь с сервером

Сразу отмечу, что данный метод будет работать только если вы до этого логинились на данный сервер, когда вы до этого входили в систему, то ваши данные были помещены в хэш локального компьютера, это поможет обойти проблему, при которой вы получили отсутствуют серверы, которые могли бы обработать запрос и позволит войти. Хочу отметить, что в хэш кладется не сам логин и пароль, а результат их проверки, а если совсем точно, то хэш пароля, обработанный специальным методом salt. salt генерируется на основе имени пользователя. Сами данные лежат в ветке реестра HKLM\SECURITY\Cache к которому имеет доступ только система.

В WIndows за кэширование отвечает параметр реестра CashedLogonsCount, найти его можно по пути

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

отсутствуют серверы которые могли бы обработать запрос-2

Смысл данного параметра, очень простой, все сводится к тому, что он задает количество уникальных пользователей, у которых данные можно хранить локально. По дефолту, это значение 10. Простой пример если у вас уже залогинилось 10 человек, то их хэши будут храниться локально, если 11 залогиниться то он пере затрет первого и так далее.

Все, что вам нужно, это вытащить сетевой шнурок из вашего компьютера и сервера, после этого нужно просто авторизоваться благодаря локальному кэшу, после чего вы можете восстанавливать уже доверительные отношения

Если есть необходимость, поменять это значение, то групповая политика нам в помощь. Переходим в оснастку групповой политики, создаем либо новую или меняем ну уровне домена

отсутствуют серверы которые могли бы обработать запрос-3

Я для примера хочу ее распространить на весь домен, а по умолчанию в AD создается Default Domain Policy политика, правым кликом по ней и выбираем изменить.

отсутствуют серверы которые могли бы обработать запрос-4

Переходим в раздел

Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности

Тут вам нужно найти параметр Интерактивный вход в систему: количество предыдущих подключений к кэшу, по сути это и есть CashedLogonsCount, Сам параметр можно задать от 0 до 50. Если выставите 0, то полностью запретите локальное кэширование, это правильно с точки зрения безопасности. но не даст вам войти на компьютер при отсутствии доступа к контроллеру и покажет вам  отсутствуют серверы которые могли бы обработать запрос.

отсутствуют серверы которые могли бы обработать запрос-5

В английской версии это

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available)

С точки зрения безопасности, правильно отключать данное кэширование. так как у злоумышленника есть возможность использовать данный метод, для взлома. Но есть исключения из правил, это пользователи мобильных устройств, так например для человека, который часто ездит в командировки, данное кэширование просто необходимо. Теперь вы знаете, как войти в компьютер при сообщении отсутствуют серверы которые могли бы обработать запрос на вход в сеть. Думаю вам было полезно это узнать.

Обновление от 24.11.2022

На этой неделе стали массово ловить данную ошибку на RDS ферме, при попытке на нее войти:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть

Начав разбираться, обнаружил источник проблем, им оказался антивирус касперского, в логах системы вы можете обнаружить ошибки:

ID 120: Internal task error occurred. Task: N/A. Error code: 4294967295.

ID 120: Internal task error occurred. Task: N/A. Error code: 4294967295

На самом сервере по управлению касперским, все было забито такими ошибками:

Object not processed. Reason: read error

Object not processed. Reason: read error

Такое ощущение, что у антивируса просто потекла память, в итоге перезагрузка сервера помогла, но далее я советую:

  • 1️⃣Установить последние обновления Windows
  • 2️⃣Переустановить антивирус

Популярные Похожие записи:

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Слава

    Есть похожая проблема: используя 2008R2 поднятые для этого службы WDS + DHCP (используем в основном статику, для службы развертывания сделали отдельную зону). сделали эталонный образ, присоединили к домену, записали, все бы хорошо, но после установки не хочет входить в домен с ошибкой отсутствуют серверы которые могли бы обработать запрос. Оказалось DHCP не выдает адрес компьютеру который присоединяется к AD, заходим в WORKGROUP (выходим из домена) DHCP выдает адрес. Подняли тестовый сервак 2008R2 проделали все тоже самое и все работает. В чем причина?

  2. Иван Семин автор

    Смотрите ваш файл ответов, пункт где вы заносите его в домен

  3. алексей

    скажите а что делать если всё выше перечисленное уже проделывали но ничего не происходит как выдавал ошибку так и выдаёт

  4. Иван Семин автор

    Вероятнее всего в реестра нет записи, о вашей учетке. Я бы посоветовал попробовать зайти под локальной учетной записью (интерактивно), потом из powerShell восстановить защищенный канал между компьютером и AD, или просто перезавести в домен.

  5. Максим

    я не понял ничего, как войти. автор, вы что, китаец? если сообщение уже выводится, то как поможет ваш совет увеличить лимит логинов??

  6. Константин

    А как войти на контроллер домена, если он такую ошибку выдаёт?

  7. ValeroS

    под локальным админом, парррни!)))

© 2014-2024 Настройка серверов Windows и Linux