none
На дочернем КД 2008 R2 в системном журнале рисует ошибку Код События 11 RRS feed

  • Вопрос

  •  Такая схема ОФИС1 (Родительский КД) - ОФИС2 (дочерний КД имя DCWORK) (связаны через микротики по протоколу EoIP) На дочернем КД DCWORK в журнале стала появлятсья ошибка  KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя: cifs/DCWORK (тип DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению до NTLM. Чтобы предотвратить появление подобной ситуации, удалите в Active Directory повторяющиеся записи для cifs/DCWORK.

    Источник Kerberos-Key-Distribution-Center

    http://support.microsoft.com/kb/321044 здесь нашел описание для 2003 правда, боюсь делать манипуляции с 2008 R2. 

    Может кто подскажет как найти причину и устранить ее?

    Заранее благодарю.

    5 марта 2013 г. 6:53

Ответы

  • Опа... у меня нет и никогда не было рабочей станции с именем  DCWORK в домене dzs...
    Ищите в контейнере Computers...
    • Помечено в качестве ответа skodamax 5 марта 2013 г. 14:29
    5 марта 2013 г. 14:07
    Отвечающий

Все ответы

  • http://support.microsoft.com/kb/321044 здесь нашел описание для 2003 правда, боюсь делать манипуляции с 2008 R2.
    Может кто подскажет как найти причину и устранить ее?
    вывод setspn.exe -X в студию
    Статья более-менее актуальна и для нынешних ОС, метод 3 позволяет диагностировать нормально.
    5 марта 2013 г. 6:59
    Отвечающий
  • http://support.microsoft.com/kb/321044 здесь нашел описание для 2003 правда, боюсь делать манипуляции с 2008 R2.
    Может кто подскажет как найти причину и устранить ее?

    вывод setspn.exe -X в студию
    Статья более-менее актуальна и для нынешних ОС, метод 3 позволяет диагностировать нормально.

    C:\>setspn.exe -X
    Проверка домена DC=nocity,DC=dzs,DC=local
    Обработка записи 0
    обнаружено 0 группа дубликатов SPN.
    5 марта 2013 г. 7:33
  • обнаружено 0 группа дубликатов SPN.
    Хм, либо домен не тот, либо повторяющийся SPN уже почистили. Скриптом из статьи не искали?
    5 марта 2013 г. 7:44
    Отвечающий
  • обнаружено 0 группа дубликатов SPN.

    Хм, либо домен не тот, либо повторяющийся SPN уже почистили. Скриптом из статьи не искали?

    Команду запускал на том КД у которого в логах ошибки, никто ошибку не чистил, только сегодня занялся этим вопросом, и решил посоветоваться, так сказать  с бывалыми! Последняя такая ошибка в логах датирована 05.03.2013 10:25:32! Нет скрипт не пробовал.



    • Изменено skodamax 5 марта 2013 г. 8:06
    5 марта 2013 г. 8:04
  • Нет скрипт не пробовал.
    Запустите cscript spnquery.vbs HOST/DCWORK* >check_SPN.txt и выложите содержимое текстового файла check_SPN.txt. Скрипт лишь опрашивает службу каталогов - никаких изменений не делает.
    5 марта 2013 г. 9:24
    Отвечающий
  • Нет скрипт не пробовал.

    Запустите cscript spnquery.vbs HOST/DCWORK* >check_SPN.txt и выложите содержимое текстового файла check_SPN.txt. Скрипт лишь опрашивает службу каталогов - никаких изменений не делает.

    вот листинг check_SPN.txt

    ‘ҐаўҐа б業 аЁҐў Windows (Microsoft R) ўҐабЁп 5.8
    c Љ®аЇ®а жЁп Њ ©Єа®б®дв (Microsoft Corp.), 1996-2001. ‚ᥠЇа ў  § йЁйҐ­л.

    CN=DCWORK,OU=Domain Controllers,DC=nocity,DC=dzs,DC=local
    Class: computer
    Computer DNS: DCWORK.nocity.dzs.local
    -- ldap/DCWORK.nocity.dzs.local/DomainDnsZones.nocity.dzs.local
    -- ldap/DCWORK.nocity.dzs.local/ForestDnsZones.dzs.local
    -- TERMSRV/DCWORK
    -- TERMSRV/DCWORK.nocity.dzs.local
    -- Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/DCWORK.nocity.dzs.local
    -- DNS/DCWORK.nocity.dzs.local
    -- exchangeAB/DCWORK.nocity.dzs.local
    -- exchangeAB/DCWORK
    -- GC/DCWORK.nocity.dzs.local/dzs.local
    -- RestrictedKrbHost/DCWORK.nocity.dzs.local
    -- RestrictedKrbHost/DCWORK
    -- HOST/DCWORK/NOCITY
    -- HOST/DCWORK.nocity.dzs.local/NOCITY
    -- HOST/DCWORK
    -- HOST/DCWORK.nocity.dzs.local
    -- HOST/DCWORK.nocity.dzs.local/nocity.dzs.local
    -- E3514235-4B06-11D1-AB04-00C04FC2DCD2/7f800a86-91a7-48d1-80b7-e35544e4cc61/nocity.dzs.local
    -- ldap/DCWORK/NOCITY
    -- ldap/7f800a86-91a7-48d1-80b7-e35544e4cc61._msdcs.dzs.local
    -- ldap/DCWORK.nocity.dzs.local/NOCITY
    -- ldap/DCWORK
    -- ldap/DCWORK.nocity.dzs.local
    -- ldap/DCWORK.nocity.dzs.local/nocity.dzs.local

    CN=DCWORK,CN=Computers,DC=dzs,DC=local
    Class: computer
    Computer DNS: DCWORK.dzs.local
    -- WSMAN/DCWORK
    -- WSMAN/DCWORK.dzs.local
    -- RestrictedKrbHost/DCWORK
    -- HOST/DCWORK
    -- RestrictedKrbHost/DCWORK.dzs.local
    -- HOST/DCWORK.dzs.local

    5 марта 2013 г. 10:36
  • CN=DCWORK,OU=Domain Controllers,DC=nocity,DC=dzs,DC=local
    CN=DCWORK,CN=Computers,DC=dzs,DC=local

    Ещё вопросы есть? :) неуникальность SPN в пределах леса... переименовать станцию в dzs.local или удалить у неё "короткий" SPN, но тогда не будет работать kerberos при работе по короткому имени (по fqdn работать будет)... я бы выбрал переименование
    Собственно, статья.

    An SPN must be unique in the forest in which it is registered. If it is not unique, authentication will fail.

    5 марта 2013 г. 10:44
    Отвечающий
  • CN=DCWORK,OU=Domain Controllers,DC=nocity,DC=dzs,DC=local
    CN=DCWORK,CN=Computers,DC=dzs,DC=local

    Ещё вопросы есть? :) неуникальность SPN в пределах леса... переименовать станцию в dzs.local или удалить у неё "короткий" SPN, но тогда не будет работать kerberos при работе по короткому имени (по fqdn работать будет)... я бы выбрал переименование
    Собственно, статья.

    An SPN must be unique in the forest in which it is registered. If it is not unique, authentication will fail.

    Простите не понял, а что не так то? И что надо переименовать?

    5 марта 2013 г. 10:52
  • Простите не понял, а что не так то? И что надо переименовать?
    У вас в двух доменах у двух компьютеров одинаковые SPN: у контроллера домена в nociti.dzs.local и рабочей станции/сервера в dzs.local. Как правило, это следствие одинаковых имён (DCWORK), но может быть и косяк при прошедшем переименовании станции (предположим, ранее она называлась DCWORK, потом вы её переименовали, но SPN остался и старый тоже).
    5 марта 2013 г. 11:01
    Отвечающий
  • Простите не понял, а что не так то? И что надо переименовать?

    У вас в двух доменах у двух компьютеров одинаковые SPN: у контроллера домена в nociti.dzs.local и рабочей станции/сервера в dzs.local. Как правило, это следствие одинаковых имён (DCWORK), но может быть и косяк при прошедшем переименовании станции (предположим, ранее она называлась DCWORK, потом вы её переименовали, но SPN остался и старый тоже).

    У меня основной КД это DC дочерный DCWORK эмм... и как мне понять какой из ПК в сети дублирует эти записи, или это проблема в самих КД? (КД имена давал изначально, их не изменяли и не переименовывали) 

    5 марта 2013 г. 11:16
  • У меня основной КД это DC, а дочерний - DCWORK
    и как мне понять какой из ПК в сети дублирует эти записи, или это проблема в самих КД?
    Читайте выше:
    CN=DCWORK,OU=Domain Controllers,DC=nocity,DC=dzs,DC=local
    CN=DCWORK,CN=Computers,DC=dzs,DC=local
    Первый - это ваш контроллер в дочернем домене nocity.
    Второй - рабочая станция с именем DCWORK в корневом домене dzs.
    5 марта 2013 г. 11:32
    Отвечающий
  •  

    Второй - рабочая станция с именем DCWORK в корневом домене dzs.

    Опа... у меня нет и никогда не было рабочей станции с именем  DCWORK в домене dzs... Хм.. странно... 

    5 марта 2013 г. 12:40
  • Опа... у меня нет и никогда не было рабочей станции с именем  DCWORK в домене dzs...
    Ищите в контейнере Computers...
    • Помечено в качестве ответа skodamax 5 марта 2013 г. 14:29
    5 марта 2013 г. 14:07
    Отвечающий
  • Опа... у меня нет и никогда не было рабочей станции с именем  DCWORK в домене dzs...

    Ищите в контейнере Computers...

    Да вы права. Была запись DCWORK в контейнере  Computers. Только эта запись была отключена! 

    Да я был не прав, запись оказывается была... Удалил.

    Спасибо большое за помощь! :)

    5 марта 2013 г. 14:29