none
scsm 2012 R2 + DataWarehouse = Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера RRS feed

  • Вопрос

  • Добрый день.

    В наличии два сервера (OS 2012R2):

    • srv-scsm-01.aq***.local  (system center manager 2012 R2)
    • srv-scsmwh.aq***.local (data warehouse 2012 R2 )

    После того, как я их скрестил, то есть зарегистрировал вархаус в scsm'е, стали сыпаться логи на обоих серверах. Причем бредовые:

    Имя журнала:   System
    Источник:      Microsoft-Windows-Security-Kerberos
    Дата:          20.02.2017 13:19:59
    Код события:   4
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     srv-scsm-01.aq***.local
    Описание:
    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера k****m (это учетная запись пользователя, а не сервер). Использовалось целевое имя MSOMSdkSvc/srv-scsmwh.aq***.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (AQ***.LOCAL) отличается от домена клиента (AQ***.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.








    Имя журнала:   System
    Источник:      Microsoft-Windows-Security-Kerberos
    Дата:          16.01.2017 11:44:11
    Код события:   4
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     srv-scsmwh.aq***.local
    Описание:
    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sqladm (это учетная запись пользователя, а не сервер). Использовалось целевое имя MSSQLSvc/srv-scsm-01.aq***.local:1433. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (AQ***.LOCAL) отличается от домена клиента (AQ***.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    C:\Users\k***m>nslookup
    :     srv-scsm-01.aq***.local
    Address:  10.50.0.16
    :     srv-scsmwh.aq***.local
    Address:  10.50.0.31

    Дублирования в АД IP и DNS записей я не нашел.

    Что это за хрень и как с ней бороться?

    16 января 2017 г. 14:37

Все ответы

  • Ничего бредового в этих логах нет - обычные сообщения для случая неправильно зарегистрированных SPN.

    Скорее всего, у вас SPN, упомянутые в сообщениях об ошибках, просто зарегистрированы не для тех учётных записей, под которыми работают соответствующие службы (Service Manager и SQL Server) - как я понимаю, это, сощтветственно, k****m и sqladm, а для серверов, на которых эти службы выполняются. Или не зарегистрированы вообще - и тогда при доступе используется SPN с универсальным классом службы HOST (HOST/имя.сервера), которую сервер всегда регистрирует автоматически.

    Посмотрите на какую учётную запись зарегистрированы у вас SPN из сообщений об ошибках, удалите неправильные регистрации (если они есть) и зарегистрируйте SPN для правильных учётных записей. Пример, как это нужно сделать для первого сообщения об ошибке,  смотрите здесь.


    Слава России!

    16 января 2017 г. 15:09