none
Security-Kerberos 4 RRS feed

  • Вопрос

  • Имеется сервер Windows Server 2016, служащий для администрирования других серверов в сети. Га нем с недавних пор в журнале событий регистрируется ошибка.

    Источник: Security-Kerberos

    ID: 4

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sfhsmt01$. Использовалось целевое имя HTTP/CAUclustdsk13f2.sfh.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (SFH.LOCAL) отличается от домена клиента (SFH.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Что это за проблема?

    6 марта 2017 г. 10:43

Все ответы

  • проверьте разрешение имён (DNS или WINS), нет ли там одинаковых записей для этого хоста sfhsmt01 или его IP адреса. если есть - удалите неиспользую запись
    6 марта 2017 г. 11:54
    Модератор
  • Проверил. Нет, дело не в этом. Дубликатов ни по имени, ни по адресу IP нет.

    9 марта 2017 г. 13:49
  • У сервера sfhsmt01 имеется атрибут service principalname co значением HTTP/CAUclustdsk13f2.sfh.local?

    Проверим:

    setspn –l sfhsmt01

    https://technet.microsoft.com/ru-ru/library/cc731241(v=ws.10).aspx

    Это что касается "Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером."

    9 марта 2017 г. 14:05
  • Что-то не так:

    C:\Users\Administrator.SFH>setspn -l sfhsmt01
    Неизвестный параметр sfhsmt01. Проверьте использование.

    10 марта 2017 г. 6:27
  • А должно быть так:

    Неизвестный параметр sfhsmt01.

    Это имя Вашего сервера, как я понял.

    10 марта 2017 г. 8:17
  • Да, видимо имеет значение регистр набора -l и -L. Вот ответ:

    C:\Users\Administrator.SFH>setspn -L sfhsmt01
    Зарегистрирован ServicePrincipalNames для CN=SFHSMT01,CN=Computers,DC=sfh,DC=loc
    al:
            MSServerClusterMgmtAPI/SFHSMT01
            MSServerClusterMgmtAPI/SFHSMT01.sfh.local
            Hyper-V Replica Service/SFHSMT01
            Hyper-V Replica Service/SFHSMT01.sfh.local
            Microsoft Virtual System Migration Service/SFHSMT01
            Microsoft Virtual System Migration Service/SFHSMT01.sfh.local
            Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SFHSMT01.sfh.local
            Microsoft Virtual Console Service/SFHSMT01.sfh.local
            Microsoft Virtual Console Service/SFHSMT01
            WSMAN/SFHSMT01.sfh.local
            WSMAN/SFHSMT01
            TERMSRV/SFHSMT01
            TERMSRV/SFHSMT01.sfh.local
            HOST/SFHSMT01
            HOST/SFHSMT01.sfh.local

    10 марта 2017 г. 12:58
  • Видим, что нет указанного SPN в ошибке.

    HTTP/CAUclustdsk13f2.sfh.local. Либо регистрируйте SPN, если он Вам нужен и пользуетесь, либо игнорируйте.

    10 марта 2017 г. 13:50
  • А вот в случае такого сообщения:

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера . Использовалось целевое имя HOST/CLS-SMT01.MOSCOW.SMT.COM. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен () отличается от домена клиента (SFH.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Как поступать? После слов "с сервера" стоит пусто.

    15 марта 2017 г. 6:51