为什么需要将AD服务器包含在“userWorkstations”中?

2024-03-07

将 Java 应用程序连接到 AD 服务器时,出现以下错误:

javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 531, v1db1]

我理解错误代码531的意思是not permitted to logon at this workstation​.

但是,我检查了该特定用户的 AD 服务器上的登录属性,它具有我尝试登录的工作站的 IP。

我检查了下面的问题,并将 AD 服务器的 IP 包含在登录字段中,现在我可以登录了。

无法从 Java 代码获取与 AD 的连接 https://stackoverflow.com/questions/18766158/cant-get-connection-with-ad-from-java-code

我的问题是,为什么必须包含 AD 服务器或域控制器的 IP/名称才能正常工作?

Thanks


是否必须将 DC 添加到帐户的“登录到...”限制,完全 100% 取决于将使用它的应用程序以及该特定应用程序是否在登录请求中发送源工作站名称或者如果它只发送没有工作站名称的 IP。如果它仅发送 IP,则源工作站字段将填充 DC 的名称,这就是必须将 DC 添加到“登录到...”限制的原因。这种情况最常见于非 Windows 设备/系统,例如 NetScaler。

下面是一个示例安全事件 ID 4625,用于从 Netscaler 设备尝试使用未将 DC 添加到其“登录到...”限制的帐户列表中的帐户进行登录:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/27/2014 9:22:36 AM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      AD01.mydomain.com
Description:
An account failed to log on.

Subject:
        Security ID:              SYSTEM
        Account Name:             AD01$
        Account Domain:           MYDOMAIN
        Logon ID:                 0x3e7

Logon Type:                       3

Account For Which Logon Failed:
        Security ID:              NULL SID
        Account Name:             netscalersvc
        Account Domain:           MYDOMAIN

Failure Information:
        Failure Reason:           User not allowed to logon at this computer.
        Status:                   0xc000006e
        Sub Status:               0xc0000070

Process Information:
        Caller Process ID:        0x260
        Caller Process Name:      C:\Windows\System32\lsass.exe

Network Information:
        Workstation Name:         AD01
        Source Network Address:   192.168.5.5  <- NetScaler's IP, not AD01's IP
        Source Port:              64015

Detailed Authentication Information:
        Logon Process:            Advapi  
        Authentication Package:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
        Transited Services:       -
        Package Name (NTLM only): -
        Key Length:               0
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

为什么需要将AD服务器包含在“userWorkstations”中? 的相关文章

  • Azure AAD - 受众无效

    我创建了一个使用 azure Active Directory 保护的 Web api 我现在需要对此进行测试并尝试将 fiddler 与授权标头一起使用 我正在尝试使用以下代码生成令牌 Target obj Target cmbTarge
  • ADFS/SAML2.0 - 如何通过联合元数据设置声明规则?

    我正在尝试针对 Web 应用程序的 Windows ADFS 实施 SAML 2 0 身份验证 到目前为止 我通过手动配置依赖方信任和分配的声明规则 成功地从 ADFS 进行了身份验证并获取了我需要的内容 现在 我想为我的应用程序提供联合元
  • Windows Server 2012 R2 上通过 SSL 的 AD LDS

    我正在尝试将我的 AD LDS 实例配置为通过 SSL 运行 以便我可以使用我的应用程序从另一台计算机连接到它并执行密码更改操作 我安装了证书颁发机构来创建一个服务器证书 我可以在我的 AD LDS 实例上使用该证书 我将证书添加到 AD
  • 将 byte[] 或对象转换为 GUID

    我为对象数据类型分配了一些值 例如 object objData dc GetDirectoryEntry Properties objectGUID Value 该对象返回如下值 byte 16 0 145 1 104 2 117 3 1
  • 护照活动目录node.js

    我已经成功地将六个护照策略 facebook twitter linkedin instagram tumblr google youtube 与 oauth1 和 oauth2 令牌交换帐户信息组装到一个独立的身份验证服务器中 该服务器在
  • Azure 应用服务 Active Directory 身份验证访问被拒绝

    我们有一个 Web 应用程序 正在从 Azure 经典云服务过渡到应用服务 Web 应用程序 经典云服务位于包含我们的域控制器 常规 AD 而不是 Azure AD 的 vnet 上 应用程序服务使用 VNET 集成 因此它连接到我们的 v
  • 如何从 C# 中的显示名称获取 Active Directory 中的用户名?

    我希望能够使用 Active Directory 中用户的显示名称来获取该用户的用户 ID 显示名称是从数据库中获取的 并且已在该用户会话期间使用以下代码来存储以获取显示名称 using System DirectoryServices A
  • Active Directory:获取用户所属的组

    我想找到用户所属的组列表 我尝试了几种解决方案http www codeproject com KB system everythingInAD aspx http www codeproject com KB system everyth
  • 从 Active Directory 同步数据库

    我想将我的用户数据库与活动目录中的用户和组同步 我的应用程序从 AD 读取对象并将它们复制到数据库 但随着 AD 更改而变得过时 有没有办法让活动目录在对象更改时通知我 C 示例代码会很棒 F bio 附 我正在使用 Oracle 数据库
  • 从所有通讯组中删除所有前雇员

    因此 今天我被分配的任务是从所有 DL 中删除域中的所有前员工 他们在 AD 中拥有自己的文件夹 有没有什么方法可以快速做到这一点 或者至少比单独检查每个并转到 gt 的成员删除所有更快 Thanks 编辑以添加更多信息 有 822 个用户
  • Windows 身份验证在 IISExpress 中有效,但在 IIS 中无效

    我有一个奇怪的问题 我正在 Visual Studio 2013 中使用最新的 MVC5 我正在尝试创建一个托管匿名 API 的站点以及一个需要通过 Windows 身份验证的 Intranet 域凭据的管理仪表板 当通过 IIS Expr
  • 如何确定登录的Windows帐户是否已在域上进行身份验证[重复]

    这个问题在这里已经有答案了 可能的重复 在客户端 服务器应用程序中使用 Active Directory 对用户进行身份验证 https stackoverflow com questions 1337923 authenticating
  • 限制 LDAP 查询中返回的属性

    如何限制通过 System DirectoryServices 在 LDAP 查询中返回的属性 我一直在使用 DirectorySearcher 并将我想要的属性添加到 DirectorySearcher PropertiesToLoad
  • 仅从 AD 获取计算机名称

    我是 Power Shell 新手 正在测试一些命令和想法 我坚持认为应该很简单的事情 我想将 AD 中计算机对象的名称提取到文件中 到目前为止我正在尝试的方法是这样的 computers Get ADComputer Filter For
  • 查明 AD 中的组是否属于通讯组?

    我正在使用 ASP net 和 C 并且对 Active Directory 知之甚少 我接到一项任务 按以下步骤编写程序 ASP net 应用程序被赋予用户的用户名 应用程序应查询具有给定用户名的用户的所有组 然后 应用程序应将这些组显示
  • 根据 Active Directory 策略检查密码[重复]

    这个问题在这里已经有答案了 我有一个允许用户更改其 AD 密码的前端 有没有办法获取特定用户及其属性 长度 复杂性 的密码策略 例如细粒度 有没有办法根据此特定策略检查字符串 xyz121 编辑 我不想检查活动目录中存储的当前密码 我想检查
  • AuthenticablePrincipal.RefreshExpiredPassword() 的作用是什么?

    我正在寻找可以使用此功能的示例场景 MSDN 文档不存在 理论上 它似乎将用户密码的年龄重置为零 如果出于某种原因您有一个策略要求在一定时间间隔后更改密码 那么您会使用它 但在某些情况下 也许是某些用户 您想让他们保留密码更长时间
  • 验证域用户凭据

    我需要一种方法来验证 Windows 上本机 C 的用户 密码对 输入的是用户名和密码 用户可以是 DOMAIN user 格式 基本上我需要编写一个函数 如果用户 密码是有效的本地帐户 则返回 true 第1部分 如果用户 密码在给定的域
  • 如何在复杂环境中使用 FQDN 获取 NETBIOS 域名

    从完全限定的 Active Directory 域名获取 NETBIOS 域名有时是一项繁琐的任务 我找到了一个很好的答案here https stackoverflow com a 13814584 1027551 然而 在具有多个林的环
  • 使用活动目录对 Intranet 站点上的用户进行身份验证

    我建立了一个 内联网 站点 它有自己的登录系统 用户注册为新用户 并使用其上的用户名 密码登录该站点 但是 现在我想扩展它 让 Intranet 站点使用现有的 ActiveDirectory 进行身份验证 这就是我正在寻找的 前进 当用户

随机推荐