none
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED RRS feed

  • Вопрос

  • Добрый день!

    На контроллере домена подWinServer2019

    В логах появилась ошибка.

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера vldtr-bld1$. Использовалось целевое имя RPCSS/ll-hvs-so.ll.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (LL.LOCAL) отличается от домена клиента (LL.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Пытаюсь проверить имя SPN, но такого нет

    C:\Windows\system32>setspn -Q HTTP/vldtr-bld1$.ll.local
    Проверка домена DC=ll,DC=local

    Такое SPN не найдено.

    C:\Windows\system32>setspn -Q RPCSS/ll-hvs-so.ll.local
    Проверка домена DC=ll,DC=local

    Такое SPN не найдено.

    Как мне найти где оно прописано?

    Спасибо!

    15 апреля 2021 г. 14:15

Ответы

  • Какой IP настроен на vldtr-bld1  в реальности? Команду ipconfig на нем наберите и посмотрите. То же самое - на ll-hvs-so. А после приведите записи DNS в соответствие с существующим положением (можно - вручную). Или существующее положение с настройкой адресов IP - в соответствие записями DNS


    Слава России!


    • Изменено M.V.V. _ 17 апреля 2021 г. 1:24
    • Предложено в качестве ответа Андрей Михалевский 19 апреля 2021 г. 9:31
    • Помечено в качестве ответа Pogreb 19 апреля 2021 г. 9:43
    17 апреля 2021 г. 1:20
  • На DHCP включил "Всегда динамически обновлять DNS A- и PTR-записи" и записи на ДНС пришли в соответсвие.

    Спасибо!

    • Помечено в качестве ответа Pogreb 19 апреля 2021 г. 8:51
    19 апреля 2021 г. 8:45

Все ответы

  • Чтобы найти имя - ищите HOST/ll-hvs-so.ll.local

    Но лучше загляните для начала в зону DNS ll.local и посмотрите, какой там IP в записи A для ll-hvs-so. Вангую - что тот, который сейчас использует компьютер  vldtr-bld1


    Слава России!

    15 апреля 2021 г. 16:49
  • vldtr-bld1 - физический сервер, у него своя подсеть с ип 10.33.10.192.

    По факту в прямой зоне у записи vldtr-bld1 записан ип 10.45.45.24

    ll-hvs-so - это виртуальный сервер, у него своя подсеть с ип 10.45.45.24

    В обратной зоне 10.33.10.0/24 ip адрес 10.33.10.192. назначен серверу ll-hvs-so, хотя этот ip должен быть назначен vldtr-bld1

    В обратной зоне 10.45.45.0/24 нет никаких записей для ip адреса 10.45.45.24

    Чтобы найти имя - ищите HOST/ll-hvs-so.ll.local

    C:\Windows\system32>setspn -Q HOST/ll-hvs-so.ll.local
    Проверка домена DC=ll,DC=local
    CN=ll-HVS-so,OU=Servers,DC=ll,DC=local
            WSMAN/ll-HVS-so
            WSMAN/ll-HVS-so.ll.local
            TERMSRV/ll-HVS-so
            TERMSRV/ll-HVS-so.ll.local
            RestrictedKrbHost/ll-HVS-so
            HOST/ll-HVS-so
            RestrictedKrbHost/ll-HVS-so.ll.local
            HOST/ll-HVS-so.ll.local

    Найдено существующее SPN.

    по факту мне тупо удалить запись А с прямой зоны и перерегистрировать ip адрес для оьратной зоны сервера ll-hvs-so?

    16 апреля 2021 г. 6:29
  • Какой IP настроен на vldtr-bld1  в реальности? Команду ipconfig на нем наберите и посмотрите. То же самое - на ll-hvs-so. А после приведите записи DNS в соответствие с существующим положением (можно - вручную). Или существующее положение с настройкой адресов IP - в соответствие записями DNS


    Слава России!


    • Изменено M.V.V. _ 17 апреля 2021 г. 1:24
    • Предложено в качестве ответа Андрей Михалевский 19 апреля 2021 г. 9:31
    • Помечено в качестве ответа Pogreb 19 апреля 2021 г. 9:43
    17 апреля 2021 г. 1:20
  • На DHCP включил "Всегда динамически обновлять DNS A- и PTR-записи" и записи на ДНС пришли в соответсвие.

    Спасибо!

    • Помечено в качестве ответа Pogreb 19 апреля 2021 г. 8:51
    19 апреля 2021 г. 8:45
  • На DHCP включил "Всегда динамически обновлять DNS A- и PTR-записи" и записи на ДНС пришли в соответсвие.

    Спасибо!


    19 апреля 2021 г. 9:01
  • Валерий - лучший!
    19 апреля 2021 г. 19:46