none
Windows 2008 R2 - Problema kerberos RRS feed

  • Domanda

  •  Ho installato un domain controller Windows2008 R2 Std in una virtual machine su hyper-v R2.

     Su questo server ho trasferito i ruoli fsmo precedentemente detenuti da un altro DC Windows 2003 e ci ho installato la root certification authority del dominio. Nel dominio c'è ancora in funzione un server Windows 2003 Std anche lui DC. Nel registro del server Windows 2008 R2 eventi vengono registrati periodicamente una serie di errori, in apparenza molto semplici ma che non riesco a capire. Gli errori sono i seguenti:

    While processing an AS request for target service krbtgt, the account Administrator did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes were 16  1  3. The accounts available etypes were 23  -133  -128.

    e

    While processing an AS request for target service krbtgt, the account Administrator did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 2). The requested etypes were 1. The accounts available etypes were 23  -133  -128.

     Entrambi sono all'ID Event 26 e l'origine è proprio il DC Win2008 R2 stesso. Si ripetono secondo uno schema non molto preciso, a intervalli di circa un ora, due, quattro e sempre e solo per Administrator.

     Qualche idea?

    lunedì 7 febbraio 2011 14:19

Risposte

  • ti spiace resettare la password dell'accunt administrator, verificare che puoi loggarti su entrambi i dc con questo account ed attendere un tempo pari a 4 ore per vedere se l'errore si ripresenta ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 8 febbraio 2011 11:46
    Moderatore
  • che il reset della password andava fatto da ADUC io vramente lo davo per scontato...
    il trucco stava comunque nel resettare la password e non da dove venisse fatto

     Il primo tentativo di resettare la password l'ho fatto con Ctrl+Alt+Canc e "Change Password" ma così non ha funzionato perchè dopo pochi minuti l'errore è ricomparso (forse perchè l'ho fatto sul DC Windows 2003?). Resettando la password da ADUC ho potuto reimpostare la password originale ma e questa volta l'ho fatto dal DC Windows2008 R2...

     

     Grazie dell'aiuto!!

    • Contrassegnato come risposta Fabrizio Volpe mercoledì 9 febbraio 2011 09:59
    mercoledì 9 febbraio 2011 08:54

Tutte le risposte

  • lunedì 7 febbraio 2011 14:37
    Moderatore
  • No, non mi sembra sia questo il caso.

     Avevo letto l'articolo ma dice che sul server Windows 2003 viene registrato un errore diverso dovuto alle diverse cifrature utilizzate dai servizi kerberos.

     

     Io ho un problema diverso, mi dice che l'account administrator non dispone di una chiave. Non viene registrato lo stesso errore per nessun'altro utente.

    lunedì 7 febbraio 2011 15:15
  • puoi riportare il source del tuo errore ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 7 febbraio 2011 15:20
    Moderatore
  • Questo è il primo:

    Log Name:      System
    Source:        Microsoft-Windows-Kerberos-Key-Distribution-Center
    Date:          07/02/2011 15:02:29
    Event ID:      26
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      serverad.dominio.lan
    Description:
    While processing an AS request for target service krbtgt, the account Administrator did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes were 16  1  3. The accounts available etypes were 23  -133  -128.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kerberos-Key-Distribution-Center" Guid="{3FD9DA1A-5A54-46C5-9A26-9BD7C0685056}" EventSourceName="KDC" />
        <EventID Qualifiers="49152">26</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2011-02-07T14:02:29.000000000Z" />
        <EventRecordID>21810</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>System</Channel>
        <Computer>serverad.dominio.lan</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="Target">krbtgt</Data>
        <Data Name="Name">Administrator</Data>
        <Data Name="ID">1</Data>
        <Data Name="RequestedEtypes">16  1  3</Data>
        <Data Name="AvailableETypes">23  -133  -128</Data>
        <Binary>
        </Binary>
      </EventData>
    </Event>

     

    e questo il secondo:

    Log Name:      System
    Source:        Microsoft-Windows-Kerberos-Key-Distribution-Center
    Date:          07/02/2011 15:02:29
    Event ID:      26
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      serverad.dominio.lan
    Description:
    While processing an AS request for target service krbtgt, the account Administrator did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 2). The requested etypes were 1. The accounts available etypes were 23  -133  -128.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kerberos-Key-Distribution-Center" Guid="{3FD9DA1A-5A54-46C5-9A26-9BD7C0685056}" EventSourceName="KDC" />
        <EventID Qualifiers="49152">26</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2011-02-07T14:02:29.000000000Z" />
        <EventRecordID>21809</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>System</Channel>
        <Computer>serverad.dominio.lan</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="Target">krbtgt</Data>
        <Data Name="Name">Administrator</Data>
        <Data Name="ID">2</Data>
        <Data Name="RequestedEtypes">1</Data>
        <Data Name="AvailableETypes">23  -133  -128</Data>
        <Binary>
        </Binary>
      </EventData>
    </Event>

     

    lunedì 7 febbraio 2011 15:47
  • La cosa da provare a fare è questa:

    http://technet.microsoft.com/en-us/library/dd348693(WS.10).aspx


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 7 febbraio 2011 16:10
    Moderatore
  • Questo è quello che ottengo per l'utente administrator lanciando "klist tickets" sul DC che presenta l'errore:

    Current LogonId is 0:0x354deb

    Cached Tickets: (4)

    #0>    Client: administrator @ dominio.LAN
        Server: krbtgt/dominio.LAN @ dominio.LAN
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x60a00000 -> forwardable forwarded renewable pre_authent
        Start Time: 2/7/2011 17:30:53 (local)
        End Time:   2/8/2011 3:30:52 (local)
        Renew Time: 2/14/2011 17:30:52 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)


    #1>    Client: administrator @ dominio.LAN
        Server: krbtgt/dominio.LAN @ dominio.LAN
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40e00000 -> forwardable renewable initial pre_authent
        Start Time: 2/7/2011 17:30:52 (local)
        End Time:   2/8/2011 3:30:52 (local)
        Renew Time: 2/14/2011 17:30:52 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)


    #2>    Client: administrator @ dominio.LAN
        Server: ldap/serverad.dominio.lan @ dominio.LAN
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Start Time: 2/7/2011 17:30:54 (local)
        End Time:   2/8/2011 3:30:52 (local)
        Renew Time: 2/14/2011 17:30:52 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96


    #3>    Client: administrator @ dominio.LAN
        Server: cifs/serveracc.dominio.lan @ dominio.LAN
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Start Time: 2/7/2011 17:30:53 (local)
        End Time:   2/8/2011 3:30:52 (local)
        Renew Time: 2/14/2011 17:30:52 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)

     A quanto capisco dal log di Windows, il problema è nelle chiavi #1 e #2. MA la key con id #2 è di tipo AES (che dovrebbe quindi andare bene) e sono tutte le altre che dovrebbero andare in errore. Corretto?

    lunedì 7 febbraio 2011 16:49
  • ti spiace resettare la password dell'accunt administrator, verificare che puoi loggarti su entrambi i dc con questo account ed attendere un tempo pari a 4 ore per vedere se l'errore si ripresenta ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 8 febbraio 2011 11:46
    Moderatore
  • Uhm... Avevo visto anche io l'articolo relativo alle diverse modalità di archiviazione della password.

     Ok, ci provo.

    martedì 8 febbraio 2011 11:49
  • Niente da fare. Ho cambiato la password circa venti minuti fa sul nuovo DC e fatto login su entrambi i server. Nel registro "Application" è stato registrato questo "Information": "Certificate enrollment for DOMINIO\administrator successfully load policy from policy server" ma il problema si è ripresentato ora uguale a prima.

     Adesso ho provato a reimpostate la password da ADUC... Vediamo se il problema si ripete.
    martedì 8 febbraio 2011 13:14
  • quando hai fatto, fammi sapere se si è sistemato perchè mi è venuta un'altra idea.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 8 febbraio 2011 15:08
    Moderatore
  • Dalle ore 14.00 di ieri non ha registrato più alcun errore. La soluzione sembra quindi quella di reimpostare la password dell'account problematico da "Active Directory Users e Computer" (in modo da aggirare le regole di age della password).

     

     Per curiosità, qual'era l'altra idea?

    mercoledì 9 febbraio 2011 08:35
  • Dalle ore 14.00 di ieri non ha registrato più alcun errore. La soluzione sembra quindi quella di reimpostare la password dell'account problematico da "Active Directory Users e Computer" (in modo da aggirare le regole di age della password).

    che il reset della password andava fatto da ADUC io vramente lo davo per scontato...
    il trucco stava comunque nel resettare la password e non da dove venisse fatto

     Per curiosità, qual'era l'altra idea?

    l'altra idea sarebbe stata quella di resettare la password dell'account computer di un domain controller verso il repository delle password dell'altro.

    ciao.



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 febbraio 2011 08:44
    Moderatore
  • che il reset della password andava fatto da ADUC io vramente lo davo per scontato...
    il trucco stava comunque nel resettare la password e non da dove venisse fatto

     Il primo tentativo di resettare la password l'ho fatto con Ctrl+Alt+Canc e "Change Password" ma così non ha funzionato perchè dopo pochi minuti l'errore è ricomparso (forse perchè l'ho fatto sul DC Windows 2003?). Resettando la password da ADUC ho potuto reimpostare la password originale ma e questa volta l'ho fatto dal DC Windows2008 R2...

     

     Grazie dell'aiuto!!

    • Contrassegnato come risposta Fabrizio Volpe mercoledì 9 febbraio 2011 09:59
    mercoledì 9 febbraio 2011 08:54