none
kERBEROS_ERROR RRS feed

  • Вопрос

  • Всем доброго дня!

    Есть вопрос! – проблема

    В последнее время на клиентских машинах WinXP (которые в домене AD Win2003 R-2)

    Происходит ошибка:

    Security , Account Logon, 675.

    Pre-authentication failed:

    Service Name:        krbtgt/DOM.RUT.LOCAL

    Pre-Authentication Type:        0x2

    Failure Code:           0x18

     

    Когда моняторя трафик между Д.К, и станцией – то видно что при запросе стации KERBEROS AS-REQ, Домен контролер отвечает KRB ERROR :  KRB5KDC_ERR_PREAUTH_FAILED

     

    может кто знает как бороться с этим ?

    но машина в домен не входит

Все ответы

  • Почитайте, может наведет на мысли...
  • Параметры для логирования я включал, из этого понятно что сервре не может найти запись запись

    KDC_ERR_S_PRINCIPAL_UNKNOWN, но при проверке SPN (setspn на серврере Д.К.) данные имена (клинтской станции) существуют. попытки сброса акаунта компьютера в домене, сброса SPN, - не к чему не приводят.

    проблема лечится только выведением из домена в группу компьютера и ввода его обратно. но это хорошо если несколько компов, а если более 600

     

  • Ну... Вопрос откуда взялась такая рассинхронизация. Боюсь, что когда она случилась, то уже кроме введени/выведения ничто не поможет. А вот как предотвратить ее - честно говоря, у меня пока не такой уровень знаний. Просто теряюсь =(

     

  • Возможно DC падал неудачно. Восстановить из резервной копии.
    Модератор
  • Тогда отвалятся не 600 машин, а, скажем, 300. Легче, но не кардинально =)
  • На мой взгляд слетели не SPN-ы, а пароли машин в AD и поэтому они не могут установить защищенное соединение с DC. Повторное включение машины в домен решит проблему. Может еще есть способ синхронизировать учетную запись компьютера....
    Модератор
  • Еще в последнее время возникли ошибки такого рода:

    error kerboros

    Код (ID): 3

    The kerberos client received a KRB_AP_ERR_MODIFIED error from the server W-009$.  The target name used was RPCSS/W-099.usb.root.lc. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (DOM.RUT.LOCAL), and the client realm.   Please contact your system administrator.

    **************************************************************************************

     

    error kerboros

    Код (ID): 4

     

    A Kerberos Error Message was received:

             on logon session

     Client Time:

     Server Time: 9:46:3.0000 5/4/2007 Z

     Error Code: 0x29 KRB_AP_ERR_MODIFIED

     Extended Error:

     Client Realm:

     Client Name:

     Server Realm: DOM.RUT.LOCAL

     Server Name: W-112$

     Target Name:

     Error Text:

     File: 3

     Line: 51d

     Error Data is in record data

     

  • есть машины которые неменяют пароли более 30 дней, но они не включаться давно, а так пароли обновляются машинами.

    просматривал dsquery computer. те у кого пароль сменялся более 30 дней - последний раз входили более 30 дней.

    но по прежнему проблема остается

  • DC не падали их 33 штуки. работают - нормально. реплики бегают
  • Могу предложить проверить работу DNS, его репликацию. Почистите DNS. Проверьте регистрацию домен-контроллеров.

    Не удаляли ли из леса какой-либо DC? Может какой погиб недавно?

    Модератор
  •  sie написано:

    Могу предложить проверить работу DNS, его репликацию. Почистите DNS. Проверьте регистрацию домен-контроллеров.

    Не удаляли ли из леса какой-либо DC? Может какой погиб недавно?

     

    DNS реплицируется через доменную репликацию, т.е. DNS интегрирован в Г.К.

    ошибок репликации между доменами небыло, DCDIAG ошибок не выдает

  • Но ведь что-то спровоцировало появление проблемы? Что? Какие работы в AD?
    Модератор
  •  sie написано:
    Но ведь что-то спровоцировало появление проблемы? Что? Какие работы в AD?

    был добавлен параметр доступа к kerberos с протокола UDP на TCP

  • По статье 244474? Откатитесь и посмотрите ушла ли ошибка.

     

    Кстати я наврал выше про пароли машин. KRB5KDC_ERR_PREAUTH_FAILED это просто неправильный пароль.

     

    Модератор
  • Вот цитата из http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx

    Example AS Administration

    The AS request identifies the client to the KDC in plain text. If preauthentication is enabled, a time stamp will be encrypted using the user's password hash as an encryption key. If the KDC reads a valid time when using the user's password hash (stored in the Active Directory) to decrypt the time stamp, the KDC knows that request isn't a replay of a previous request.

     

    Это описывает Pre-authentication процесс. Отсюда причины проблем: рассинхронизация времени, неправильный ввод пароля пользователя.

     

     

     

     

    Модератор
  •  sie написано:

    По статье 244474? Откатитесь и посмотрите ушла ли ошибка.

     

    откатывался, смотрел - ошибки неуходят, остаются.

    единственное то что машины (не все), смегрированые с других доменов.

  •  sie написано:

    Это описывает Pre-authentication процесс. Отсюда причины проблем: рассинхронизация времени, неправильный ввод пароля пользователя.

     

     

    в домене действительно есть ошибки net time

    "С:\>net time
       System error 53 has occurred.

    The network path was not found."

     

    а работа по w32tm все в порядке. Как пишет Microsoft - синхронизация времени в домене, проводится по протоколу w32time

     

  •  sie написано:

    Вот цитата из http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx

    Example AS Administration

    The AS request identifies the client to the KDC in plain text. If preauthentication is enabled, a time stamp will be encrypted using the user's password hash as an encryption key. If the KDC reads a valid time when using the user's password hash (stored in the Active Directory) to decrypt the time stamp, the KDC knows that request isn't a replay of a previous request.

     

    в этой статье говорится про пользователей, а проблемы не у пользователей а у компьютеров