none
Событие 3 от Kerberos в WinSRV2012R2 RRS feed

  • Общие обсуждения

  • Всем добрый день!
    Создал уже тему в answers, потом понял что здесь будет правильней, продублирую сюда.

    На сервере уже n-ое колличество дней идут ошибки типа:

    Получено сообщение об ошибке Kerberos:

     в сеансе входа в систему DOMAIN.LOCAL\exchange$
     Время клиента: 
     Время сервера: 10:36:27.0000 5/6/2014 Z
     Код ошибки: 0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Область сервера: DOMAIN.LOCAL
     Имя сервера: krbtgt/DOMAIN.LOCAL
     Имя целевого объекта: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
     Текст ошибки: 
     Файл: e
     Строка: d3f
     Данные ошибки в данных записи.

    Ошибки сыпятся чуть ли не каждую секунду, перекопал ссылки как на русском, так и на английском - решения не нашёл =( Прошу помоч разобраться

Все ответы

  • Тоже сходу не нашел. Давайте разбираться. Похоже, проблема в получении TGT от AS.

    1. Дайте вывод команды klist -li 0x3e7 с сервера EXCHANGE

    2. Каково состояние аккаунта krbtgt в AD?

    3. Какие ошибки регистрируются на DC?

  • 1. Вывод у данной команды достаточно велик, приведу один из десяти её блоков. Ошибок не обнаружено

    #5>     Клиент: dc01$ @ DOMAIN.LOCAL
            Сервер: cifs/DC01.DOMAIN.local @ DOMAIN.LOCAL
            Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
            флаги билета 0x40a50000 -> forwardable renewable pre_authent ok_as_deleg
    ate name_canonicalize
            Время начала: 5/6/2014 12:09:19 (локально)
            Время окончания:   5/6/2014 21:49:19 (локально)
            Время продления: 5/11/2014 21:48:42 (локально)
            Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96
            Флаги кэша: 0
            Вызванный центр распространения ключей: DC01

    2. Состояние аккаунта krbtgt в АД - уч.запись отключена.

    Причем включить её через свойства не даёт - серым цветом. В контекстном меню есть строка включить учётку, но я её пока не трогал.

    3. На DC в логах ошибок особо и нет.

  • Судя по блоку - это вывод с компьютера dc01 (Клиент: dc01$ @ DOMAIN.LOCAL). Значит, Kerberos работает на DC01. Уже хорошо.

    Итак, если я правильно понимаю, такая картина:

    Компьютер EXCHANGE пытается залогиниться по Kerberos.

    AS (часть KDC) отвечает кодом KDC_ERR_C_PRINCIPAL_UNKNOWN. Значит, он не знает такого пользователя.

    Что проверить:

    1. Объект EXCHANGE в контейнере компьютеров в AD. Проверьте sAMAccountName - должно быть exchange$

    2. У него же атрибут servicePrincipalName что содержит (смотрите через ADSI edit)

    3. Ну и дайте вывод команды setspn -x -f

  • Сори, как зашёл на ДС, так оттуда и пульнул в cmd )

    Выполнил команду klist -li 0x3e7 на сервере с Exchange, так же выполнилась успешно

    1. не знаю как насчет sAMAccountName, но сервер отображается вроде как верно:

    CN=EXCHAGE,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=DOMAIN,DC=local

    2. В ADSIedit не нашёл этот атрибут, а поиска там нет, поэтому покажу так (выполнено с dc01, но разницы вроде как нет, т.к. запрос по имени):

    C:\Windows\system32>setspn -L exchange
    Зарегистрирован ServicePrincipalNames для CN=EXCHANGE,OU=SERVERS,DC=DOMAIN,DC=local:
            IMAP/EXCHANGE
            IMAP/EXCHANGE.domain.local
            IMAP4/EXCHANGE
            IMAP4/EXCHANGE.domain.local
            POP/EXCHANGE
            POP/EXCHANGE.domain.local
            POP3/EXCHANGE
            POP3/EXCHANGE.domain.local
            exchangeRFR/EXCHANGE
            exchangeRFR/EXCHANGE.domain.local
            exchangeAB/EXCHANGE
            exchangeAB/EXCHANGE.domain.local
            exchangeMDB/EXCHANGE
            exchangeMDB/EXCHANGE.domain.local
            SMTP/EXCHANGE
            SMTP/EXCHANGE.domain.local
            SmtpSvc/EXCHANGE
            SmtpSvc/EXCHANGE.domain.local
            WSMAN/EXCHANGE
            WSMAN/EXCHANGE.domain.local
            TERMSRV/EXCHANGE
            TERMSRV/EXCHANGE.domain.local
            RestrictedKrbHost/EXCHANGE
            HOST/EXCHANGE
            RestrictedKrbHost/EXCHANGE.domain.local
            HOST/EXCHANGE.domain.local

    3. C:\Windows\system32>setspn -x -f

    Проверка леса DC=DOMAIN,DC=local
    Операция будет выполнена на уровне леса; это займет некоторое время.
    Обработка записи 0
    обнаружено 0 группа дубликатов SPN.

  • 1. klist -li 0x3e7 билеты показал? Особенно интересует тот, где сервер krbtgt/domain.local @ domain.local - есть?

    2. Ошибок в SPN нет. Давайте еще раз - идем в ADSI Edit -> default -> DC=domain, DC=local -> CN=Computers. Там должен быть объект CN=EXCHANGE. У него есть атрибуты sAMAccountName и userPrincipalName. По идее sAMAccountName должен содержать EXCHANGE$, userPrincipalName - пустой.

    Вообще на первый взгляд все OK. Вы не делали переименования компьютеров и т.п.? Сколько DC, репликация в порядке?

  • 1. Показал 9 билетов, вот первый:

    C:\Windows\system32>klist -li 0x3e7
    Текущим идентификатором входа является 0:0x23be035
    Конечным идентификатором входа является 0:0x3e7
    Кэшированные билеты: (9)
    #0>     Клиент: exchabge$ @ DOMAIN.LOCAL
            Сервер: krbtgt/DOMAIN.LOCAL @ DOMAIN.LOCAL
            Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
            флаги билета 0x40a10000 -> forwardable renewable pre_authent name_canonicalize

            Время начала: 5/6/2014 9:32:07 (локально)
            Время окончания:   5/6/2014 19:27:41 (локально)
            Время продления: 5/13/2014 9:27:41 (локально)
            Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96
            Флаги кэша: 0
            Вызванный центр распространения ключей: DC01.DOMAIN.local

    2. "идем в ADSI Edit -> default -> DC=domain, DC=local -> CN=Computers" . Здесь у меня сервера в объекте SERVERS вместо Computers, надеюсь не в этом дело.

    sAMAccountName=EXCHANGE$ , userPrincipalName=<Не задано>

    Сервера подняты буквально полгода назад, переименований никаких не делалось, контроллер домена один (dc01). 

    Но я обнаружил в этой ветке (SERVERS) сервер, который был переименован или удалён (пингов по имени нет). CN=FILESERVER . Удалил данную запись из оснастки "Пользователи и компьютеры".

  • #0>     Клиент: exchabge$ @ DOMAIN.LOCAL

    Обратите внимание, имя клиента exchabge (если только вы при копировании не перепутали). И ему билет успешно выдан.
  • Сори, очепятка, там должно быть exchange, писал ручками.

  • Непонятно. Ошибка получения билета - и в то же время билет на такой сервис выдан.

    предлагаю включить логи Application and Services/Microsoft/Windows/Kerberos-Key-Distribution-Center/Operational и Application and Services/Microsoft/Windows/Security-Kerberos/Operational на dc01. Возможно, в логах что-либо будет.

  • Не понял, что за пути Вы написали, поэтому пришлось делать по данной статье:
    http://support.microsoft.com/kb/262177

    Кстати там внизу написано, что при включении логов может появляться ошибка с кодом 3,  какая у меня и есть, и там что-то про NTLM сказано, которое у меня обратно же включено, о чём свидетельствует событие:

    Код 6038: Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
    NTLM представляет собой менее надежный механизм проверки подлинности. Проверьте следующее:
    Какие приложения используют проверку подлинности NTLM?
    Имеются ли какие-либо проблемы с конфигурацией, препятствующие использованию более строгой проверки подлинности, такой как Kerberos?
    Если необходима поддержка NTLM, настроена ли усиленная защита?
    Сведения о том, как выполнить эти проверки, см. по адресу http://go.microsoft.com/fwlink/?LinkId=225699.

    Что прикольно,- по ссылке страницы нет.

    При загрузке выскакивают ещё такие предупреждения:

    Код 1014: Разрешение имен для имени _ldap._tcp.dc._msdcs.domain.local. истекло после отсутствия ответа от настроенных серверов DNS.

    Код 10154: Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DC01.domain.local, WSMAN/DC01.
     Дополнительные данные
     Была получена ошибка "1355": %%1355.
    Действия пользователя
    Имена участников-служб можно создать под учетной записью администратора с помощью служебной программы setspn.exe.

    Код 10020: Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.

    Далее идут несколько событий от кербероса:
    Код3:
    Получено сообщение об ошибке Kerberos:
    в сеансе входа в систему DOMAIN.LOCAL\dc01$
    Время клиента:
    Время сервера: 6:23:49.0000 5/7/2014 Z
    Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
    Расширенная ошибка:
    Область клиента:
    Имя клиента:
    Область сервера: DOMAIN.LOCAL
    Имя сервера: krbtgt/DOMAIN.LOCAL
    Имя целевого объекта: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
    Текст ошибки:
    Файл: e
    Строка: d3f
    Данные ошибки в данных записи.

    Код 3:
    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему 
     Время клиента: 
     Время сервера: 6:23:49.0000 5/7/2014 Z
     Код ошибки: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Область сервера: DOMAIN.LOCAL
     Имя сервера: ldap/domain.local/domain.local
     Имя целевого объекта: ldap/domain.local/domain.local@DOMAIN.LOCAL
     Текст ошибки: 
     Файл: 9
     Строка: 12c4
     Данные ошибки в данных записи.

    Код3:
    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему 
     Время клиента: 
     Время сервера: 6:23:49.0000 5/7/2014 Z
     Код ошибки: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Область сервера: DOMAIN.LOCAL
     Имя сервера: cifs/domain.local
     Имя целевого объекта: cifs/domain.local@DOMAIN.LOCAL
     Текст ошибки: 
     Файл: 9
     Строка: 12c4
     Данные ошибки в данных записи.

    И ещё тройка аналогичных от krbtgt со строчками кода ошибки:
    Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED


    Код 40961:
    Системе безопасности не удалось установить безопасное соединение с сервером ldap/domain.local/domain.local@DOMAIN.LOCAL. Протоколы проверки подлинности недоступны.

    Причём последнее событие с ошибкой значится 10:27, тогда как сейчас 10:50, за эти 23 минуты ни одной ошибки больше нет, такое ощущение что они только при загрузке возникают, но как они далее, влияют ли на систему - не понятно...



    • Изменено PRODVi 7 мая 2014 г. 7:39
  • KDC_ERR_PREAUTH_REQUIRED - вообще не ошибка. KDC_ERR_S_PRINCIPAL_UNKNOWN - не зарегистрирован сервис ldap (который должен быть зарегистрирован на DC) и сервис cifs (файловая система)

    WinRM тоже не смог создать SPN. Видимо, в итоге не работает удаленный менеджмент DC01. И с DNS что-то не совсем гладко. Как ваш домен называется? *скрыто по просьбе автора*?

    Какой вывод команды dcdiag /c /e /v ? Можно его скопировать куда-нибудь, на OneDrive и т.п.


  • Отмечается как ошибка) да и пишется kdc-err(or)-и чтото там требуется аутентификация что ли..

    Вывод dcdiag (без параметров) чистый.

    Вот ссылка на файл с выводом dcdiag /c /e /v, вроде как вывод так же неплох, хотя есть ругань на корневые ДНС-сервера по ipv6-протоколу:
    files_mail_ru/75B8ED2521384A0A87232CE86A6E3A8D


    • Изменено PRODVi 7 мая 2014 г. 8:20
  • По логу все ок. ipv6 root hint - ерунда. Записи SPN правильные есть.

    Я в целом не вижу проблем. Билеты выдаются, ошибки есть - но они, как я понимаю, происходят редко и не критичны (нет внешнего проявления). Можете еще посмотреть логи на dc01 по тем путям, что я указал (надо зайти в Event Viewer, путь внутри Event Viewer и на этих двух операционных логах правой клавишей включить логгирование - пункт Enable Log в английской версии, см. скриншот). Но, по большому счету, проблем, требующих решения, я не вижу.

  • Да, сори, совсем забыл про эту ветку в Event Viewer.
    Включил, сижу смотрю в чистый лист, наверное перезагрузить надо, тогда мож чё высыпет.

    Дело в том, что иногда бывает отваливается Эксченж, падают службы, а в логах ничего особенного, кроме этих событий, которых на Эксченже тысячи и лога хватает всего на 3дня, вот хочется от них избавиться, всё же неправильно, что они сыпятся при полноценно, вроде как, работающем домене, его службах и сервисах.

  • Время на DC01 и EXCHANGE синхронизировано? Проверьте (включая часовой пояс).

    Я не думаю, что эти ошибки могут привести к падению Exchange. Нужно искать источник основной проблемы. Да, вот еще - http://support.microsoft.com/kb/947124/en - там в разделе More Information описано, как включить debug log на KDC (в вашем случае надо включать на DC01).

  • Настроена синхронизация с PDC (dc01), со временем проблем нет.
    Вот вывод с PDC:

    C:\Windows\system32>w32tm /tz
    Часовой пояс: Текущий:TIME_ZONE_ID_UNKNOWN Сдвиг: -240мин (UTC=LocalTime+Bias)
      [Зимнее время:"Московское время (зима)" Сдвиг:0мин Дата:(не указано)]
      [Летнее время:"Московское время (лето)" Сдвиг:-60мин Дата:(не указано)]
    C:\Windows\system32>time /t
    14:23

    Вот вывод с Exchange:

    C:\Windows\system32>w32tm /monitor
    DC01.domain.local *** PDC ***[192.168.1.205:123]:
        ICMP: 0ms задержка
        NTP: +0.0000000s смещение относительно DC01.domain.local
            RefID: (неизвестный) [0x174E1555]
            Страта: 3
    Предупреждение:
    Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
    неверно, так как поле RefID в пакетах времени различается в
    разных реализациях NTP и может не использовать IP-адреса.

    C:\Windows\system32>w32tm /tz
    Часовой пояс: Текущий:TIME_ZONE_ID_UNKNOWN Сдвиг: -240мин (UTC=LocalTime+Bias)
      [Зимнее время:"Московское время (зима)" Сдвиг:0мин Дата:(не указано)]
      [Летнее время:"Московское время (лето)" Сдвиг:-60мин Дата:(не указано)]

    C:\Windows\system32>time /t
    14:24

    Спасибо за ссылку, буду дебажить проблему...



    • Изменено PRODVi 7 мая 2014 г. 10:32