操作系统从MS Server 2003升级到MS Server 2008 R2后部分终端用户使用Microsoft AD域账号认证失败

发布时间:  2013-01-15 浏览次数:  103 下载次数:  0
问题描述
Microsoft AD域控制器安装在Microsoft Windows Server 2003,配置Microsoft AD域控制器与TSM联动后,终端用户能够使用Microsoft AD域账号进行身份认证。

后来Microsoft Windows Server 2003升级到Microsoft Windows Server 2008 R2,出现部分终端用户身份认证不通过的问题,TSM代理提示错误码为1100的错误。

告警信息
部分终端用户身份认证不通过的问题,TSM代理提示错误码为1100的错误。
处理过程
解决办法有两种:

l   从微软的官方网站下载并在Microsoft Windows Server 2008 R2操作系统安装KB978055补丁,详细的操作请参见http://support.microsoft.com/kb/978055。这是推荐的解决办法。

l   重新创建认证账号。

1.         在Microsoft Windows Server 2008 R2的Microsoft AD域控制器创建一个新的账号“tony_new”作为认证账号,详细的操作请参见案例 创建同步账号,界面显示如图1--1所示。

图1-1 创建一个新的账号tony_new





2.         设置认证账号“tony_new”的SPN属性,详细操作请参见案例“设置认证账号的SPN属性”,命令为“setspn.exe -A ad/tsmserver tony_new”。

3.         在“TSM管理器 > 部门管理 > 外部数据源 > AD同步”更新(注意是更新而不是新建)Microsoft AD域控制器的认证账号,详细操作请参见案例“ 配置Microsoft AD域控制器的连接参数”,界面显示如图1--2所示。

图1-2 更新Microsoft AD域控制器的认证账号


根因
在Microsoft Windows Server 2003的AD域控制器和Microsoft Windows Server 2008 R2的AD域控制器,因Microsoft AD域账号的加密类型信息的数据结构不同,导致终端用户无法使用Microsoft AD域账号通过身份认证。

建议与总结
从微软的官方网站下载并在Microsoft Windows Server 2008 R2操作系统安装KB978055补丁,详细的操作请参见http://support.microsoft.com/kb/978055。这是推荐的解决办法。

END