Forum

Bildirimler
Hepsini Temizle

dc problemi

4 Yazılar
2 Üyeler
0 Likes
458 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhaba

 

dc lerden birinde geçen 15 gün önce şimdi aşağıdaki gibi bir problem var. dc yi retart edince rdp yapabiliryoruz ve açabiliyoruz

 

 
Gönderildi : 30/10/2018 20:32

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32987
Illustrious Member Yönetici
 

Merhaba

Bu normal bir durum, kullanıcı hesabının şifresi dolmuş bunu öncelikle güncellemeniz isteniyor. Eğer RDP özelliklerinde NLA açık ise bunu yönetemiyor, bunu kapatırsanız bu sorunu çözebilirsiniz.

Veya buradaki gibi bir kayıt defteri değişikliği yapabilirsiniz

https://support.microsoft.com/en-sg/help/2879424/password-change-for-expired-password-failing-for-workgroup-scenario

The error dialog looks like this:

Error with NLA enabled

Cause


When processing the password change for a user where the password is expired or set to change at next logon, Winlogon uses an anonymous token to process the password change request.

The password change dialog allows changing passwords against remote computers as well, so the API calls use remoteable interfaces through RPC over Named Pipes over SMB. For this protocol sequence, the RPC runtime reads a policy setting "Server2003NegotiateDisable" from the key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc".

This fails in the context of the anonymous token as the default permissions allow only authenticated users, administrators and LocalSystem to read the key.

When NLA is enabled, the user session request does not validate and thus fails.

Resolution


The approaches to avoid this problem are:

  1. Change the password remotely. Note that currently the user in the context you run the remote password change needs to be able to logon to the target server with the default credentials (or already connected using SMB to the server at the time of the password change already).
  2. Change the permissions of the key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc" to allow anonymous to read the key. If the key does not exist, you may create it and then add the read permissions for the anonymous account.

NOTE For approach 2, in an attempt to recover from an error, it might happen that the group policy service deletes the keys and recreates them using defult permissions. In this case you have to re-apply the permissions.

You can automate setting the permissions on using Registry Security Policy when the machine is member of the domain. For workgroup machines you can import this text as rpc-pol.inf file:

---------------------------

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Keys]
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"
------------------------------

You can apply it using:

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb /cfg rpc-pol.inf /log rpc-pol.log

Note the key must exist so this is successful.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 31/10/2018 00:08

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

teşekkürler hocam

 
Gönderildi : 31/10/2018 12:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32987
Illustrious Member Yönetici
 

Rica ederim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/11/2018 01:59

Paylaş: