Главная » Active directory, GPO, CA

Ошибка 0xC000018C An Error occured during Logon

Автор На чтение 4 мин Просмотров 14 Обновлено
Содержание
  1. Описание ошибки 0xC000018C на контроллерах домена
  2. Устранение ошибки аутентификации между доменами
  3. Как такое не допускать?

fixit logo

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами научились искать mac-адрес на DHCP сервере средствами PowerShell. Сегодня расскажу вам про ситуацию, когда ваша учетная запись не может пройти аутентификацию на контроллере домена, получая ошибку со статусом "0xC000018C An Error occured during Logon", в результате чего если она используется для сервиса вы не сможете его использовать. Мы разберем причины и методы устранения, а главное недопущения подобной ситуации. Давайте начинать траблшутить и прокачивать свои знания.

Описание ошибки 0xC000018C на контроллерах домена

Есть лес Active Directory, в корневой домен и ряде других дочерних доменов были установлены ноябрьские обновления KB5019964. В результате стали появляться обращения от технической поддержки, что ряд сервисов стали недоступны, отправка почты, сканирование на принтерах и так далее. В логах контроллера домена было событие ID 4625:

An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: DC01$
Account Domain: ROOT
Logon ID: 0x3E7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: scaners
Account Domain: PYATILISTNIK

Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xC000018C
Sub Status: 0x0

Process Information:
Caller Process ID: 0x384
Caller Process Name: C:\Windows\System32\lsass.exe

Network Information:
Workstation Name: DC01
Source Network Address: 10.1.0.2
Source Port: 56374

Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

An Error occured during Logon

Код 0xC000018C говорил, что между доменами перестали быть доверительные, транзитивные отношения.

0xC000018C - Запрос на вход не выполнен из-за сбоя доверительных отношений между основным доменом и доверенным доменом (The logon request failed because the trust relationship between the primary domain and the trusted domain failed)

Подробнее - https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625

Так же если изучить текущие проблемы, что присутствуют для Windows Server, то тут еще можно выделить:

Возможная утечка памяти в службе подсистемы локального органа безопасности (LSASS, exe)
. LSASS может со временем использовать больше памяти, а контроллер домена может перестать отвечать на запросы и перезапуститься.

Подробнее - https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-1809-and-windows-server-2019#2966msgdesc

Предлагается лечить установкой KB5019966, но это не решало ошибки между доменами и доверительном отношении.

Устранение ошибки аутентификации между доменами

Тут Америку открывать не буду, на 29 ноября 2022 года у вас один вариант — это полное удаление KB5019964, и ожидание декабрьских обновлений от Microsoft. Откройте оснастку appwiz.cpl и отфильтруйте по коду KB5019964, после чего выберите, что нужно удалить обновление.

Удаление обновления KB5019964

Далее потребуется перезагрузка.

Небольшой совет, я надуюсь, что у вас в домене несколько контроллеров домена, поэтому перезагружайте их поочереди, дождавшись когда они полностью удалят обновление и загрузятся. чтобы ваши серверы в домене не потеряли связь с Active Directory

Так же перед отправкой других контроллеров домена, убедитесь, что пошли реплики через Repadmin и счетчики на ошибке 1722 уменьшаются.

Ошибка репликации 1722

После того как в доменах появилось по одному контроллеру домена, без обновления KB5019964, то ошибки ID 4625: An Error occured during Logon, перестали появляться и аутентификация стала проходить без проблем.

Как такое не допускать?

  • ✅Не нужно гнаться за безопасностью ради безопасности
  • ✅Тестировать, но если у вас большая компания, то это дополнительные человеко/часы, выливающееся в серверные мощности и деньги
  • ✅Откладывать такие обновления на месяц позже, чтобы можно было сразу накатить следующие.

Например, в групповых политиках есть параметр "Выберите, когда следует получать обновления", тут можно отсрочить их на 30 дней (Вы можете отложить получение исправлений на срок до 30 дней).

Вы можете отложить получение исправлений на срок до 30 дней

На этом у меня все. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

© 2014-2024 Настройка серверов Windows и Linux