Prokursy Online

Podstawy

🔵 ADMIN2 min czytaniaPostęp: 166/233

Hasło działa na jednym komputerze, na innym nie

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Hasło działa na jednym komputerze, na innym nie

Scenariusz z życia

Użytkownik mówi: „Na laptopie loguję się normalnie, ale na komputerze w biurze hasło jest niepoprawne.”

Czyli: AD przyjmuje hasło ✔, ale nie wszystkie urządzenia wiedzą jakie ono jest. To prawie zawsze problem synchronizacji lub komunikacji z kontrolerem domeny, a nie literówka.

Co się naprawdę dzieje

Hasło w domenie zmienia się na kontrolerze domeny (DC). Komputery nie przechowują haseł — tylko pytają DC.

Jeśli komputer pyta: zły DC, niedostępny DC, stary cache, brak Kerberos → dostaje odpowiedź „złe hasło”.

Najczęstsze przyczyny

PrzyczynaDlaczego działa tylko gdzie indziej
DNS wskazuje zły serwerkomputer pyta nie ten DC
Brak łączności z DClogowanie offline
Cache credentialspamięta stare hasło
Replikacja ADDC jeszcze nie ma nowego hasła
VPN / inna siećinny kontroler domeny
Czas systemowyKerberos odrzuca logowanie
Profil lokalnylogowanie lokalne zamiast domenowego

👉 80% przypadków = DNS.

Diagnostyka administratora

1️⃣ Sprawdź czy komputer widzi domenę

echo %logonserver%. Brak = logowanie lokalne / offline.

2️⃣ Sprawdź DNS

ipconfig /all. DNS musi wskazywać TYLKO kontroler domeny. Nie: router, 8.8.8.8, operator.

3️⃣ Sprawdź czy komputer widzi DC

ping domena.local, nslookup domena.local

4️⃣ Sprawdź synchronizację czasu

w32tm /query /status. Kerberos toleruje ~5 minut różnicy.

5️⃣ Wymuś odświeżenie poświadczeń

gpupdate /force, klist purge

Naprawa

  1. Ustaw prawidłowy DNS
  2. Synchronizuj czas
  3. Restart komputera
  4. Zaloguj ponownie do domeny

Nie resetuj hasła — ono działa.

Czego administrator NIE robi

❌ nie tworzy nowego konta
❌ nie usuwa profilu
❌ nie resetuje hasła ponownie

Bo problem nie dotyczy użytkownika.

Myślenie administratora

Jeśli hasło działa gdzieś → AD działa. Jeśli nie działa gdzie indziej → infrastruktura. To zawsze: DNS → DC → Kerberos → cache.

Zapamiętaj

  • Hasło w domenie jest na DC, nie na komputerze
  • Różne działanie = różny kontroler domeny
  • Najczęściej winny DNS
  • Kerberos wymaga poprawnego czasu
  • Offline logon udaje poprawne hasło

Checklista

  1. echo %logonserver%
  2. ipconfig /all (DNS)
  3. ping domena
  4. czas systemowy
  5. restart

Po tej lekcji kursant zaczyna rozumieć: błąd hasła często nie ma nic wspólnego z hasłem.

Notatki (opcjonalnie)
PoprzedniaNastępna