为什么您需要将AD服务器包含在“userWorkstations”中？

Question

虽然连接Java应用程序的AD服务器，我得到了下面的错误：

javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 531, v1db1]

我的理解是错误代码531意味着not permitted to logon at this workstation​。

但是，我检查了特定用户的AD服务器上的登录属性，它具有我尝试登录的工作站的IP。

我检查了下面的问题，并且包含了AD服务器的IP以及登录字段，我现在可以登录。

Can't get connection with AD from Java code

我的问题是，为什么AD服务器或域控制器的IP /名字已经被列入了这个工作？

感谢

Answer 1

无论你是否有区议会添加到帐户的“登录到......”的限制，完全取决于将要使用它，以及是否该特定应用的专用100％在登录请求中发送源工作站名称，或者只是发送没有工作站名称的IP。如果它只发送IP，则源工作站字段将填充DC的名称，这就是DC必须添加到“登录到...”限制的原因。非Windows设备/系统最常遇到这种情况，例如NetScaler。

下面是从NetScaler设备使用的帐户登录尝试那些没有添加到它的区议会的“登录到......”账户限制的列表的示例安全事件ID 4625：

Log Name:  Security 
Source:  Microsoft-Windows-Security-Auditing 
Date:   1/27/2014 9:22:36 AM 
Event ID:  4625 
Task Category: Logon 
Level:   Information 
Keywords:  Audit Failure 
User:   N/A 
Computer:  AD01.mydomain.com 
Description: 
An account failed to log on. 

Subject: 
     Security ID:    SYSTEM 
     Account Name:    AD01$ 
     Account Domain:   MYDOMAIN 
     Logon ID:     0x3e7 

Logon Type:      3 

Account For Which Logon Failed: 
     Security ID:    NULL SID 
     Account Name:    netscalersvc 
     Account Domain:   MYDOMAIN 

Failure Information: 
     Failure Reason:   User not allowed to logon at this computer. 
     Status:     0xc000006e 
     Sub Status:    0xc0000070 

Process Information: 
     Caller Process ID:  0x260 
     Caller Process Name:  C:\Windows\System32\lsass.exe 

Network Information: 
     Workstation Name:   AD01 
     Source Network Address: 192.168.5.5 <- NetScaler's IP, not AD01's IP 
     Source Port:    64015 

Detailed Authentication Information: 
     Logon Process:   Advapi 
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
     Transited Services:  - 
     Package Name (NTLM only): - 
     Key Length:    0