none
AD 轻型目录服务安装错误 RRS feed

  • 问题

  • 1、在配置备机的AD LDS时出现错误,查看系统日志发现错误日志如下:

    Kerberos 客户端收到了一个来自服务器 cuixiaoyu的KRB_AP_ERR_MODIFIED错误。使用的目标名称为 ldap/DCC-SAFENET.sdb.local:50000。这表明目标服务器无法解密客户端提供的票证。当不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)时会出现这种情况。请确保目标SPN是在(并且仅在)服务器使用的帐户上注册的。当目标服务正在使用目标服务帐户的其他密码而不是Kerberos密钥发行中心(KDC)的密码时也会出现这种错误。请确保服务器和KDC上的服务均已更新为使用当前密码。如果服务器名称未完全限定,并且目标域(SDB.LOCAL)与客户端域(SDB.LOCAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    2、两台AD LDS是同一个域,两台服务器这间没有防火墙。


    2019年11月21日 7:05

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    我们可以检查备机的有关ldap类型的SPN是否正确。把备机的ldap的SPN与好的那一台机器的ldap的SPN做一下对比,然后按照好的那一台设置备机的这一台SPN.

    打开AD 用户和计算机,找到此台机器,打开计算机属性。找到servicePrincipleName.我们可以在以下截图的界面增加或者删除指定的SPN。

    提示:只需要看ldap类型的SPN,其他类型的SPN不需要检查。我的环境中没有ldap类型的SPN.







    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年11月21日 9:07
    版主
  • 在我的测试系统里没有找到你截图相应的设置,我也不能上传图片给你看。

    2019年11月21日 9:33
  • please verify my account
    2019年11月21日 9:38
  • 尊敬的客户,您好!

    以上的截图的信息,我们应该在我们域所在的域控制器上的,打开AD 用户和计算机,找到这一台机器。



    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年11月22日 5:29
    版主
  • 我就是在AD域服务器上打开的,我的是2008的服务器,但没有你这个选项。
    2019年11月25日 5:37
  • 尊敬的客户,您好!

    通常我们加了域的计算机,默认是在域控制器上的Computers这个容器里。如果我们移动这台机器,也可能是在域控上的其他的容器或者组织单元里。

    1. 我们打开 开始菜单-》管理工具-》Active Directory 用户和计算机-》视图-》勾选“高级功能”



    2. 然后在Computers里或者其他的容器里或者组织单元里找到这台机器。右击这台计算机,然后按照我的第一条回复操作看是否可以解决我们的问题。





    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年11月25日 7:24
    版主
  • 真实环境里查看了两台主机的SPN,DCC-SAFENET为主机,能帮忙提供修改建议吗?信息如下:

    DCC-SAFENET:
    E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM
    E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM
    HOST/DCC-SAFENET
    HOST/DCC-SAFENET.sdb.local
    ldap/DCC-SAFENET.sdb.local:50000
    ldap/DCC-SAFENET:50000
    RestrictedKrbHost/DCC-SAFENET
    RestrictedKrbHost/DCC-SAFENET.sdb.local
    TERMSRV/DCC-SAFENET
    TERMSRV/DCC-SAFENET.sdb.local
    WSMAN/DCC-SAFENET
    WSMAN/DCC-SAFENET.sdb.local

    DCC-SAFENET-NEW:
    HOST/DCC-SAFENET-NEW
    HOST/DCC-SAFENET-NEW.sdb.local
    RestrictedKrbHost/DCC-SAFENET-NEW
    RestrictedKrbHost/DCC-SAFENET-NEW.sdb.local
    TERMSRV/DCC-SAFENET-NEW
    TERMSRV/DCC-SAFENET-NEW.sdb.local
    2019年11月26日 8:27
  • 尊敬的客户,您好!

    感谢您的回复。

    根据我们提供的SPN信息,我们可以尝试把以下两条SPN加入到DCC-SAFENET-NEW机器的属性中。方法如下:

    打开AD用户和计算机,找到此台备用的AD LDS机器 (即是DCC-SAFENET-NEW),打开此计算机属性。找到servicePrincipleName,我们可以在以下截图的界面增加以下两条SPN。

    ldap/DCC-SAFENET-NEW.sdb.local:50000
    ldap/DCC-SAFENET-NEW:50000





    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年11月27日 7:26
    版主
  • 尊敬的客户,您好!

    关于您在帖子中提到的问题有进展吗?或者还需要我为您提供什么帮助吗? 

    感谢您的理解和支持! 
     
    此致, 
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月2日 1:38
    版主
  • 今天我去试了下,问题同样存在,我不输入密码也会出现这个错误提示。
    2019年12月3日 8:59
  • 尊敬的客户,您好!

    我们可以在这台电脑所在的域控制器上,检查主的AD LDS服务器和辅的AD LDS服务器上的SPN (setspn -L 服务器名字),并且检查是否有重复的SPN (setspn -X)。




    根据这句话 “今天我去试了下,问题同样存在,我不输入密码也会出现这个错误提示。”,我们尝试了什么操作?在哪里不输入密码也会出现这个报错?



    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月4日 9:18
    版主
  • 我不能上传图片,在配置备机:Active Directory 轻型目录服务安装向导----配置集的管理凭据这个操作时,需要用户名密码时,这个步骤一直过不去,这个错误日志也就是这个操作后在系统日志里发现的。

    我把配置步骤放在一个网盘里,麻烦你帮忙看下。

    链接:https://pan.baidu.com/s/1Fvv5epda9LaUwJdzBX1K2w 
    提取码:wdk5 

    2019年12月4日 10:46