none
kERBEROS_ERROR RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Всем доброго дня!

    Есть вопрос! – проблема

    В последнее время на клиентских машинах WinXP (которые в домене AD Win2003 R-2)

    Происходит ошибка:

    Security , Account Logon, 675.

    Pre-authentication failed:

    Service Name:        krbtgt/DOM.RUT.LOCAL

    Pre-Authentication Type:        0x2

    Failure Code:           0x18

     

    Когда моняторя трафик между Д.К, и станцией – то видно что при запросе стации KERBEROS AS-REQ, Домен контролер отвечает KRB ERROR :  KRB5KDC_ERR_PREAUTH_FAILED

     

    может кто знает как бороться с этим ?

    но машина в домен не входит
    3 мая 2007 г. 8:44
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти
    Почитайте, может наведет на мысли...
    3 мая 2007 г. 8:53
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Параметры для логирования я включал, из этого понятно что сервре не может найти запись запись

    KDC_ERR_S_PRINCIPAL_UNKNOWN, но при проверке SPN (setspn на серврере Д.К.) данные имена (клинтской станции) существуют. попытки сброса акаунта компьютера в домене, сброса SPN, - не к чему не приводят.

    проблема лечится только выведением из домена в группу компьютера и ввода его обратно. но это хорошо если несколько компов, а если более 600

     

    3 мая 2007 г. 12:31
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Ну... Вопрос откуда взялась такая рассинхронизация. Боюсь, что когда она случилась, то уже кроме введени/выведения ничто не поможет. А вот как предотвратить ее - честно говоря, у меня пока не такой уровень знаний. Просто теряюсь =(

     

    3 мая 2007 г. 12:37
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Возможно DC падал неудачно. Восстановить из резервной копии.
    3 мая 2007 г. 14:18
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Тогда отвалятся не 600 машин, а, скажем, 300. Легче, но не кардинально =)
    3 мая 2007 г. 14:29
    |
  • Question
    Нужно войти
    0
    Нужно войти
    На мой взгляд слетели не SPN-ы, а пароли машин в AD и поэтому они не могут установить защищенное соединение с DC. Повторное включение машины в домен решит проблему. Может еще есть способ синхронизировать учетную запись компьютера....
    4 мая 2007 г. 6:09
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Еще в последнее время возникли ошибки такого рода:

    error kerboros

    Код (ID): 3

    The kerberos client received a KRB_AP_ERR_MODIFIED error from the server W-009$.  The target name used was RPCSS/W-099.usb.root.lc. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (DOM.RUT.LOCAL), and the client realm.   Please contact your system administrator.

    **************************************************************************************

     

    error kerboros

    Код (ID): 4

     

    A Kerberos Error Message was received:

             on logon session

     Client Time:

     Server Time: 9:46:3.0000 5/4/2007 Z

     Error Code: 0x29 KRB_AP_ERR_MODIFIED

     Extended Error:

     Client Realm:

     Client Name:

     Server Realm: DOM.RUT.LOCAL

     Server Name: W-112$

     Target Name:

     Error Text:

     File: 3

     Line: 51d

     Error Data is in record data

     

    4 мая 2007 г. 14:53
    |
  • Question
    Нужно войти
    0
    Нужно войти

    есть машины которые неменяют пароли более 30 дней, но они не включаться давно, а так пароли обновляются машинами.

    просматривал dsquery computer. те у кого пароль сменялся более 30 дней - последний раз входили более 30 дней.

    но по прежнему проблема остается

    4 мая 2007 г. 15:03
    |
  • Question
    Нужно войти
    0
    Нужно войти
    DC не падали их 33 штуки. работают - нормально. реплики бегают
    4 мая 2007 г. 15:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Могу предложить проверить работу DNS, его репликацию. Почистите DNS. Проверьте регистрацию домен-контроллеров.

    Не удаляли ли из леса какой-либо DC? Может какой погиб недавно?

    7 мая 2007 г. 10:02
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
     sie написано:

    Могу предложить проверить работу DNS, его репликацию. Почистите DNS. Проверьте регистрацию домен-контроллеров.

    Не удаляли ли из леса какой-либо DC? Может какой погиб недавно?

     

    DNS реплицируется через доменную репликацию, т.е. DNS интегрирован в Г.К.

    ошибок репликации между доменами небыло, DCDIAG ошибок не выдает

    8 мая 2007 г. 9:43
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Но ведь что-то спровоцировало появление проблемы? Что? Какие работы в AD?
    8 мая 2007 г. 10:48
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

     sie написано:
    Но ведь что-то спровоцировало появление проблемы? Что? Какие работы в AD?

    был добавлен параметр доступа к kerberos с протокола UDP на TCP

    8 мая 2007 г. 12:21
    |
  • Question
    Нужно войти
    0
    Нужно войти

    По статье 244474? Откатитесь и посмотрите ушла ли ошибка.

     

    Кстати я наврал выше про пароли машин. KRB5KDC_ERR_PREAUTH_FAILED это просто неправильный пароль.

     

    8 мая 2007 г. 12:47
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Вот цитата из http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx

    Example AS Administration

    The AS request identifies the client to the KDC in plain text. If preauthentication is enabled, a time stamp will be encrypted using the user's password hash as an encryption key. If the KDC reads a valid time when using the user's password hash (stored in the Active Directory) to decrypt the time stamp, the KDC knows that request isn't a replay of a previous request.

     

    Это описывает Pre-authentication процесс. Отсюда причины проблем: рассинхронизация времени, неправильный ввод пароля пользователя.

     

     

     

     

    8 мая 2007 г. 13:03
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
     sie написано:

    По статье 244474? Откатитесь и посмотрите ушла ли ошибка.

     

    откатывался, смотрел - ошибки неуходят, остаются.

    единственное то что машины (не все), смегрированые с других доменов.

    8 мая 2007 г. 14:07
    |
  • Question
    Нужно войти
    0
    Нужно войти
     sie написано:

    Это описывает Pre-authentication процесс. Отсюда причины проблем: рассинхронизация времени, неправильный ввод пароля пользователя.

     

     

    в домене действительно есть ошибки net time

    "С:\>net time
       System error 53 has occurred.

    The network path was not found."

     

    а работа по w32tm все в порядке. Как пишет Microsoft - синхронизация времени в домене, проводится по протоколу w32time

     

    8 мая 2007 г. 14:18
    |
  • Question
    Нужно войти
    0
    Нужно войти
     sie написано:

    Вот цитата из http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx

    Example AS Administration

    The AS request identifies the client to the KDC in plain text. If preauthentication is enabled, a time stamp will be encrypted using the user's password hash as an encryption key. If the KDC reads a valid time when using the user's password hash (stored in the Active Directory) to decrypt the time stamp, the KDC knows that request isn't a replay of a previous request.

     

    в этой статье говорится про пользователей, а проблемы не у пользователей а у компьютеров

    8 мая 2007 г. 15:08
    |