none
Event ID : 3 Kerberos Error RRS feed

  • 질문

  •  안녕 하세요?~
    Windows 2003 Server에 Event ID :3  Kerberos에 관한
    오류가 시간마다 계속 발생해서 몇몇 점검 및 조치를
    해보았지만 뚜렸한 해결방안을 못찾아서 
    질문을 드립니다.
    이벤트 내용은

    Event ID : 3, 원본 : Kerberos
    설명 : Kerberos 오류 메시지를 받았습니다. 
    로그온 세션
    클라이언트 시간:
    서버시간 :
    오류코드 : 0xd KDC_ERR_BADOPTION
    확장오류 : 0xc00000bb KLIN(0)
    클라이언트 영역 :
    클라이언트 이름 :
    서버 영역: xxx.com
    서버 이름: host/컴퓨터이름.xxx.com
    대상이름: host/컴퓨터이름.xxx.com@XXX.COM
    오류 텍스트:
    파일: 9
    줄 : ae0
    오류 데이터는 레코드 데이터에 있습니다.

    입니다.
    Kerberos가 서버와 사용자간의 인증 프로토콜로 알고 있습니다.
    직원들이 AD Join해서 PC사용하는 것은 문제는 없는데
    자꾸 발생해서 이유를 잘 모르겠습니다.....


    2009년 3월 16일 월요일 오전 4:42

답변

  • 도메인환경에 대한 내용이 없어서 답변드리기 힘들지만
    보통 PDCe 와 통신이 안되거나,SPN 중복, DC와의 Time Sync 이슈로 흔히 나타납니다.


    Time Sync 가 의심될때는 아래 과정을 진행해 보세요.

    시작 > 실행 > CMD 상에서 아래 명령을 순차적을로 실행합니다.

    1. w32tm /config /syncfromflags:domhier /update

    2. net stop w32time && net start w32time



    *아래 KB를 적용해서 커버로스 인증로깅을 추적하고 로그를 살펴볼 필요가 있습니다.

    Kerberos 이벤트 로깅을 사용할 수 있도록 설정하는 방법
    http://support.microsoft.com/Default.aspx?id=262177


    아래 Eventid.net 의 사례로 참고로 보시기 바랍니다.

    Event ID 3 Source Kerberos
    http://www.eventid.net/display.asp?eventid=3&eventno=3536&source=Kerberos&phase=1


    W2K3 SP1 +IIS 에서 나오는 이벤트라면 무시하셔도 됩니다.
    Users experience authentication issues when they access a Web page in IIS 6.0 or query Microsoft SQL Server 2000 after you install Windows Server 2003 Service Pack 1
    http://support.microsoft.com/default.aspx/kb/887993



    jslee@techdata.co.kr | http://wishy.net/blog
    • 답변으로 표시됨 kyunwoo 2009년 3월 17일 화요일 오전 5:03
    2009년 3월 16일 월요일 오전 9:55

모든 응답

  • 도메인환경에 대한 내용이 없어서 답변드리기 힘들지만
    보통 PDCe 와 통신이 안되거나,SPN 중복, DC와의 Time Sync 이슈로 흔히 나타납니다.


    Time Sync 가 의심될때는 아래 과정을 진행해 보세요.

    시작 > 실행 > CMD 상에서 아래 명령을 순차적을로 실행합니다.

    1. w32tm /config /syncfromflags:domhier /update

    2. net stop w32time && net start w32time



    *아래 KB를 적용해서 커버로스 인증로깅을 추적하고 로그를 살펴볼 필요가 있습니다.

    Kerberos 이벤트 로깅을 사용할 수 있도록 설정하는 방법
    http://support.microsoft.com/Default.aspx?id=262177


    아래 Eventid.net 의 사례로 참고로 보시기 바랍니다.

    Event ID 3 Source Kerberos
    http://www.eventid.net/display.asp?eventid=3&eventno=3536&source=Kerberos&phase=1


    W2K3 SP1 +IIS 에서 나오는 이벤트라면 무시하셔도 됩니다.
    Users experience authentication issues when they access a Web page in IIS 6.0 or query Microsoft SQL Server 2000 after you install Windows Server 2003 Service Pack 1
    http://support.microsoft.com/default.aspx/kb/887993



    jslee@techdata.co.kr | http://wishy.net/blog
    • 답변으로 표시됨 kyunwoo 2009년 3월 17일 화요일 오전 5:03
    2009년 3월 16일 월요일 오전 9:55
  •  답변 감사합니당~~
    아마도...Time Sync쪽 문제인거 같습니다,
    CMD에서 w32tm resync하면
    "사용 가능한 시간 데이타가 없어   컴퓨터가 동기화하지 못했습니다"라는
    결과 메시지가 나타납니다..
    제가 지정한 Time Server는 time.nuri.net인데
    Ping날리면 응답이 잘 되고
    레지스트리 HKLM\System\CurrentControlSet\Services\w32time\parameters에서 
     ntpserver값도 직접 time.nuri.net으로 지정했습니다.,,,
    다른 설정 부분이나 체크 사항이 있을까요??...
    2009년 3월 18일 수요일 오전 1:58
  • AD와의 시간 차이로 Time Sync 이슈가 발생하는 것인데,
    Time 서버를 그쪽으로 해두셔도 괜찮으신지요?
    AD를 기준으로 하는 것이 좋지 않을까요?
    An Hyok | http://hyok.kr
    2009년 3월 18일 수요일 오전 3:38
  • 도메인에 조인된 멤버서버는 W32time 에 NT5DS 로 세팅되며
    (즉 조인시 HKLM\System\CurrentControlSet\Services\W32Time\Parameters 하위의
    'Type' 키 Value가  NT5DS 로 변경됩니다 )


    도메인 트리상 최상단 레벨의  PDCe Role 을 가진 DC와 시간과 동기화 됩니다.

    따라서 조인된 멤버서버의 W32Time 세팅은 제가 위에 답변한 명령으로 해결이 되며
    신뢰성있는 외부 Time Provider 는 PDCe Role 을 가진 DC에만 세팅하면 됩니다.

    아래 스크립트를 사용하시면 간단하게 해결되며 KB도 참고하시기 바랍니다.

    [ 클라이언트/ 멤버서버 ]


    net stop w32time
    w32tm /unregister
    w32tm /unregister
    w32tm /unregister
    w32tm /register
    net start w32time
    w32tm /config /syncfromflags:domhier /update
    net stop w32time && net start w32time


    [ DC/PDC ]


     아래에서 NTP서버IP 는 외부의 신뢰성있는 Time Provider 의 IP로 바꾸시고 UDP 123포트가 오픈되어야 합니다.

    net stop w32time
    w32tm /unregister
    w32tm /unregister
    w32tm /unregister
    w32tm /register
    net start w32time
    w32tm /config /syncfromflags:manual /manualpeerlist:NTP서버IP /update
    net stop w32time && net start w32time


    참고 KB

    인터넷에서 사용할 수 있는 SNTP(단일 네트워크 기간 프로토콜) 시간 서버 목록
    http://support.microsoft.com/kb/262680


    NET TIME switches에 대한 설명
    http://technet2.microsoft.com/windowsserver/en/library/396e2cab-b011-459a-ac5c-3
    26a562d42461033.mspx?mfr=true





    jslee@techdata.co.kr | http://wishy.net/blog
    2009년 3월 18일 수요일 오전 4:42