none
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED RRS feed

  • Общие обсуждения

  • Добрый день.

    Прошу помочь решить вопрос с данной ошибкой, бьюсь несколько дней, ничего не могу сделать.

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера Win01$. Использовалось целевое имя HTTP/WIN01.domain.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (DOMAIN.LOCAL) отличается от домена клиента (DOMAIN.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Спасибо.

    29 февраля 2016 г. 13:09

Все ответы

  • Подозреваю, что у вас неверно настроены SPN.

    Покажите выдачу команды

    setspn -Q HTTP/WIN01.domain.local

    Если сопоставить с вашими предыдущими вопросами, то у вас на Win01 стоит Sharepoint и ошибка возникает при обращении к нему, так? В таком случае, надо было бы это указать, для полноты картины. Но, главное, сообщите, под какой учётной записью у вас работает ферма  Sharepoint.


    Слава России!

    29 февраля 2016 г. 13:25
  • setspn -Q HTTP/WIN01.domain.local

    листинг: Проверка домена DC=domain, DC=local

    CN=PS_POOLAPP, OU=SERVICE, DC=domain, DC=local

    HTTP/portal.domain.ru

    HTTP/win01.domain.local

    HTTP/win01

    Найдено существующее SPN

    Да, на машине Win01 установлен SharePoint. 

    Вы имеете ввиду SharePoint Central Administration? Тогда от учетной записи SP_SYSTEM. 

    29 февраля 2016 г. 13:34
  • PS_SYSTEM. Опечатка!
    29 февраля 2016 г. 13:36
  • В общем, надо искать учётную запись того пула IIS, к которому идёт обращение по URL с именем хоста win01.domain.local (по любому из протоколов HTTP или HTTPS, с любым портом) и который работает не под учётной записью PS_POOLAPP.


    Слава России!

    29 февраля 2016 г. 13:44
  • Добрый день.

    Подскажите пожалуйста получаю вот такую ошибку при входе по терминалу на сервер Win01

    Получено сообщение об ошибке Kerberos:

    в сеансе входа в систему DOMAIN.LOCAL\SP_ADMIN

    Время клиента:

    Время сервера: 7:12:11.0000 3/3/2016 Z

    Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED

    Расширенная ошибка:

    Область клиента:

    Имя клиента:

    Область сервера: DOMAIN.LOCAL

    Имя сервера: krbtgt/DOMAIN.LOCAL (выделенное жирным)

    Имя целевого объекта: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

    Текст ошибки:

    Файл: e

    Строка: d3f

    Данные ошибки в данных записи.

    Да, и еще вопрос в AD учетная запись службы KDC отключена, так и должно быть?

    Спасибо.

    3 марта 2016 г. 7:36
  • В принципе, код возврата KDC_ERR_PREAUTH_REQUIRED может быть частью нормальной последовательности запросов на аутентификацию (при некоторых настройках Kerberos связанных с Kerberos armoring), а может свидетельствовать о неверном пароле. Так что тут мне сказать сложно, но второй вариант мне кажется более вероятным, раз уж событие в журнал пишется.

    Если вы имеете в виду учётную запись krbtgt, то она и должна быть отключена.


    Слава России!

    3 марта 2016 г. 10:44
  • Все равно, пароль то я верный прописываю, и к терминалу подключаюсь. А ошибка все равно пишется в логе.
    3 марта 2016 г. 12:46
  • Попытался повторить ошибки.

    Итогом: Когда я подключаюсь по терминалу к серверу Win01 получаю ошибку?

    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему DOMAIN.LOCAL\ivanov_ivan
     Время клиента: 
     Время сервера: 12:57:53.0000 3/3/2016 Z
     Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Область сервера: DOMAIN.LOCAL
     Имя сервера: krbtgt/DOMAIN.LOCAL
     Имя целевого объекта: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
     Текст ошибки: 
     Файл: e
     Строка: d3f
     Данные ошибки в данных записи.

    Когда же я подключаюсь к порталу SharePoint извне, то получаю такую ошибку:

    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему DOMAIN\SP_SYSTEM
     Время клиента: 
     Время сервера: 13:24:37.0000 3/3/2016 Z
     Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Область сервера: DOMAIN
     Имя сервера: krbtgt/DOMAIN
     Имя целевого объекта: krbtgt/DOMAIN@DOMAIN
     Текст ошибки: 
     Файл: e
     Строка: d3f
     Данные ошибки в данных записи.

    Ферма работает от учетной записи SP_SYSTEM, к порталу я подключаюсь под учеткой ivanov_ivan.

    Подскажите куда копать, совсем с толку сбился.

    Спасибо.

    3 марта 2016 г. 13:39
  • Напишите URL, которые у вас используются для подключения к порталу Sharepoint? Испоkьзуется ли для этого http(s)://win01.domain.local/... ? 

    И какую роль у вас играет учётная запись PS_POOLAPP?

    То есть, вопрос в данном случае - в том, нужны ли те SPN, которые зарегистрированы для этой учётной записи.


    Слава России!

    3 марта 2016 г. 14:34
  • PS_POOLAPP является учетной записью входа пула приложений SharePoint - 80. Так же на этой учетке записаны следующие приложения: SecureStore, Reporting Services, Служба профиле пользователей, Служба подключения к бизнесс-данным, Служба управления метаданных.

    URL используемые для подключения к порталу:

    - http://portal.domain.ru/sites/report - доступ извне

    - http://win01/sites/report - доступ в домене

    Для учетной записи PS_POOLAPP прописаны следующие записи SPN - HTTP/portal.domain.ru; HTTP/win01; HTTP/win01.domain.local

    Вот еще один момент такой заметил.

    На сайтах SharePoint где есть подключение к внешним данным ошибка (изложенная выше) повторяется, а на сайтах с документами и с библиотеками, где нет подключения к внешним данным, данных ошибок нет. Есть еще учетная запись PS_MSSQL, от этой учетной записи запускаются службы SQL Server. Для этой учетной записи зарегистрированы SPN:

    - MSSQLSvc/win01.domain.local

    - MSSQLSvc/win01.domain.local:1433

    - MSSQLSvc/WIN01:1433

    - DOMAIN/WIN01

    - DOMAIN/WIN01:1433

    Если я уберу SPN записи для учетной записи PS_POOLAPP, то у меня не проходит подключение к порталу внутри домена,т.е. с машины Win02.

    Так еще есть учетка PS_ADMN, которая является администратором SharePoint. Для этой учетки есть SPN записи следующие:

    - HOST/PS_ADMIN

    - HOST/PS_ADMIN.domain.local

    Спасибо.

    4 марта 2016 г. 7:41