none
Kerberos EventID 4 на узлах кластера. RRS feed

  • Вопрос

  • Добрый день!

    Не так давно обнаружил на узле кластера следующую ошибку:

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера hvc3$. Использовалось целевое имя HTTP/CAUHVCwj2.local.domain.ru Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (LOCAL.DOMAIN.RU) отличается от домена клиента (LOCAL.DOMAIN.RU), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Нагуглил, что такое может быть если имеются совпадающие SPN у разных учётных записей и тут внезапно обнаружил что такой SPN в домене отсутствует в принципе (если я правильно понимаю назначение команды setspn -T * -F -Q HTTP/CAUHVCwj2.local.domain.ru).

    Может кто-нибудь посоветовать что делать и куда копать для разрешения данной ситуации?

    22 ноября 2016 г. 14:03

Ответы

Все ответы

  • Для начала, проверьте наличие SPN HOST/CAUHVCwj2.local.domain.ru (setspn -T * -F  -Q HOST/CAUHVCwj2.local.domain.ru) - оно используется для поиска нужного участника безопасности вместо SPN класса HTTP при его отсутствии. Скорее всего, это имя принадлежит объекту типа компьютер с именем CAUHVCwj2 - VCO роли Cluster Aware Updating вашего кластера(HVC). Если запись есть - поищите на всякий случай дубликаты для этого SPN. Если с этим всё ОК, а контроллеров домена несколько, то надо проверить репликацию AD между ними (repadmin /showrepl * на любом из них). Думаю, пока списка проверок достаточно. По результатам будет понятно, что делать или что рыть дальше.

    Слава России!


    • Изменено M.V.V. _ 22 ноября 2016 г. 14:31
    22 ноября 2016 г. 14:30
  • SPN HOST/CAUHVCwj2.local.domain.ru есть и принадлежит "объекту типа компьютер с именем CAUHVCwj2". Команда repadmin /showrepl * никаких ошибок репликации не выдаёт. Контроллеров домена три, разделены на два сайта.
    23 ноября 2016 г. 12:37
  • Ну, тогда имеет смысл убедиться, что это - не случайный сбой. Причиной которого может быть попытка сканирования или какой-нибудь "выбор не того или не там" в каком-нибудь интерфейсе То есть, стоит посмотреть, ошибка была одиночная или она повторяется. И работает ли Cluster-aware updating (есл он вообще используется)? Возможно, для проверки имеет смысл подождать, когда будет новый цикл обновления и посмотреть на его итоги.

    А ещё можно проверить, есть ли у CNO (объект имени кластера - тип "компьютер", с именем HVC) разрешение на изменение пароля для VCO роли Cluster-aware updating . Хотя при его отсутствии, вроде бы, другие симптомы должны быть.


    Слава России!


    • Изменено M.V.V. _ 23 ноября 2016 г. 14:02
    23 ноября 2016 г. 13:59
    • То есть, стоит посмотреть, ошибка была одиночная или она повторяется.

    Повторяется с интервалом от 10 минут до нескольких часов на разных узлах кластера.

    • И работает ли Cluster-aware updating (если он вообще используется)?

    Не используется.

    • А ещё можно проверить, есть ли у CNO (объект имени кластера - тип "компьютер", с именем HVC) разрешение на изменение пароля для VCO роли Cluster-aware updating 

    У HVC$ есть права на сброс и изменение пароля для объекта CAUHVCwj2.

    Вопрос: насколько критична эта ошибка и на что она может повлиять в дальнейшем?

    24 ноября 2016 г. 11:39
  • Вот человек пишет, что в аналогичном случает ему помогла установка SPN с классом HOST для учётной записи CAU. Правда почему помогла, я не понимаю.

    Ну и, думаю, эту ошибку можно просто игнорировать.


    Слава России!

    24 ноября 2016 г. 19:31
  • Да, эта статья помогла, спасибо.
    28 декабря 2016 г. 9:38