Лучший отвечающий
Kerberos EventID 4 на узлах кластера.

Вопрос
-
Добрый день!
Не так давно обнаружил на узле кластера следующую ошибку:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера hvc3$. Использовалось целевое имя HTTP/CAUHVCwj2.local.domain.ru Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (LOCAL.DOMAIN.RU) отличается от домена клиента (LOCAL.DOMAIN.RU), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Нагуглил, что такое может быть если имеются совпадающие SPN у разных учётных записей и тут внезапно обнаружил что такой SPN в домене отсутствует в принципе (если я правильно понимаю назначение команды setspn -T * -F -Q HTTP/CAUHVCwj2.local.domain.ru).
Может кто-нибудь посоветовать что делать и куда копать для разрешения данной ситуации?
22 ноября 2016 г. 14:03
Ответы
-
Вот человек пишет, что в аналогичном случает ему помогла установка SPN с классом HOST для учётной записи CAU. Правда почему помогла, я не понимаю.
Ну и, думаю, эту ошибку можно просто игнорировать.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 5 декабря 2016 г. 8:12
24 ноября 2016 г. 19:31
Все ответы
-
Для начала, проверьте наличие SPN HOST/CAUHVCwj2.local.domain.ru (setspn -T * -F -Q HOST/CAUHVCwj2.local.domain.ru) - оно используется для поиска нужного участника безопасности вместо SPN класса HTTP при его отсутствии. Скорее всего, это имя принадлежит объекту типа компьютер с именем CAUHVCwj2 - VCO роли Cluster Aware Updating вашего кластера(HVC). Если запись есть - поищите на всякий случай дубликаты для этого SPN. Если с этим всё ОК, а контроллеров домена несколько, то надо проверить репликацию AD между ними (repadmin /showrepl * на любом из них). Думаю, пока списка проверок достаточно. По результатам будет понятно, что делать или что рыть дальше.
Слава России!
- Изменено M.V.V. _ 22 ноября 2016 г. 14:31
22 ноября 2016 г. 14:30 -
SPN HOST/CAUHVCwj2.local.domain.ru есть и принадлежит "объекту типа компьютер с именем CAUHVCwj2". Команда repadmin /showrepl * никаких ошибок репликации не выдаёт. Контроллеров домена три, разделены на два сайта.23 ноября 2016 г. 12:37
-
Ну, тогда имеет смысл убедиться, что это - не случайный сбой. Причиной которого может быть попытка сканирования или какой-нибудь "выбор не того или не там" в каком-нибудь интерфейсе То есть, стоит посмотреть, ошибка была одиночная или она повторяется. И работает ли Cluster-aware updating (есл он вообще используется)? Возможно, для проверки имеет смысл подождать, когда будет новый цикл обновления и посмотреть на его итоги.
А ещё можно проверить, есть ли у CNO (объект имени кластера - тип "компьютер", с именем HVC) разрешение на изменение пароля для VCO роли Cluster-aware updating . Хотя при его отсутствии, вроде бы, другие симптомы должны быть.
Слава России!
- Изменено M.V.V. _ 23 ноября 2016 г. 14:02
23 ноября 2016 г. 13:59 -
- То есть, стоит посмотреть, ошибка была одиночная или она повторяется.
Повторяется с интервалом от 10 минут до нескольких часов на разных узлах кластера.
- И работает ли Cluster-aware updating (если он вообще используется)?
Не используется.
- А ещё можно проверить, есть ли у CNO (объект имени кластера - тип "компьютер", с именем HVC) разрешение на изменение пароля для VCO роли Cluster-aware updating
У HVC$ есть права на сброс и изменение пароля для объекта CAUHVCwj2.
Вопрос: насколько критична эта ошибка и на что она может повлиять в дальнейшем?
24 ноября 2016 г. 11:39 -
Вот человек пишет, что в аналогичном случает ему помогла установка SPN с классом HOST для учётной записи CAU. Правда почему помогла, я не понимаю.
Ну и, думаю, эту ошибку можно просто игнорировать.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 5 декабря 2016 г. 8:12
24 ноября 2016 г. 19:31 -
Да, эта статья помогла, спасибо.28 декабря 2016 г. 9:38