none
刷新失败:Kerberos安全错误 RRS feed

  • 问题

  • 错误

    公司新安装的2012故障转移群集,名称为FFSHVM,但每次打开“服务器管理器”--“所有服务器”时,就会显示“Kerberos安全错误”,具体显示见下面:

    FFSHVM: 配置刷新失败,并出现以下错误: 由于以下错误,无法从服务器中检索元数据: WinRM 无法处理该请求。使用 Kerberos 身份验证时发生错误代码为 0x80090322 的以下错误: 出现未知的安全错误。  
    可能的原因为:
     -指定的用户名或密码无效。
     -未指定身份验证方法和用户名时,使用了 Kerberos。
     -Kerberos 接受域用户名,但不接受本地用户名。
     -远程计算机名和端口的服务主体名称(SPN)不存在。
     -客户端和远程计算机位于不同的域中,并且两个域之间没有信任关系。
    检查上述问题之后,尝试以下操作:
     -检查事件查看器中与身份验证有关的事件。
     -更改身份验证方法;将目标计算机添加到 WinRM TrustedHosts 配置设置中或 使用 HTTPS 传输。
    请注意,TrustedHosts 列表中的计算机可能未经过身份验证。
     -有关 WinRM 配置的详细信息,请运行以下命令: winrm help config。

    请帮忙看看,谢谢!

    2013/9/5 11:48:11

    liuwh

    2013年9月5日 3:56

全部回复

  • 另外,两台群集:FFSHVM1,FFSHVM2,在一台群集中,有如下错误:

    ID:4 ,源:Microsoft-Windows-Security-Kerberos

    Kerberos 客户端收到了来自服务器 ffshvm2$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 HTTP/FFSHVM.FF-Group.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(FF-GROUP.COM)与客户端域(FF-GROUP.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    Thanks.


    liuwh

    2013年9月5日 3:59
  • 另外,在群集事件中,每15分钟有以下错误显示:

    ID:1196

    群集网络名称资源“群集名称”注册一个或多个相关联的 DNS 名称失败。原因如下:
    句柄无效。

    1196事件详细信息


    liuwh

    2013年9月5日 4:04
  • 以下是群集操作系统信息:

    操作系统信息


    liuwh

    2013年9月5日 4:06
  • 你好,

    請在出現Event Id 4的服務器上建入

    nltest /sc_query: <domain_name>

    看看結果是甚麼?


    邊幫助, 邊鍛鍊


    2013年9月5日 4:59
  • 您好:

    在有错误的服务器上,运行命令的结果如下,它显示受信任的DC是ffshapp这台服务器,如下:

    ffshvm1

    但在另一台没有显示事件4的服务器上,显示受信任的DC是ffshdc02这台服务器,如下:

    ffshvm2

    目前公司有三台域控,ffshapp,ffshdc01,ffshdc02,其中ffshdc01,ffshdc02这两台是刚升级起来的2012标准版,而ffshapp这台服务器的操作系统是2003标准版

    Thanks


    liuwh

    2013年9月5日 7:14
  • 你可以參考這篇看看

    http://blogs.msdn.com/b/asiatech/archive/2011/10/26/iis-7-kerberos-authentication-failure-krb-ap-err-modified.aspx

    原因一是服務器的SPN跟其他電腦帳號相同, 你試試依它的步驟以setspn找出重複的SPN再加以修正

    或者是以CNAME存取網站, 在轉站途中做成錯誤訊息


    邊幫助, 邊鍛鍊


    2013年9月5日 7:26
  • 你好:

    以下是查询结果,发现提示是有重复的SPN组,但不知道怎样去修复它,

    其中backupopt是域管理员帐户,FFSHAPP是域控

    spn


    liuwh



    • 已编辑 liuwh 2013年9月5日 12:21
    2013年9月5日 12:17
  • 我刚才运行了以下命令,删除了一个重复项目,不知道会不会有什么影响:

    setvpn

    但我删除了之后,再打开服务器管理器,还是一样的错误:

    0x80090322


    liuwh

    2013年9月5日 12:45
  • 我也遇到这个问题,不知道怎么去掉,我甚至把节点 服务都卸掉了,还是有。。。
    2013年12月31日 4:22
  • 找到原因了,可以在  服务器和存储服务--服务器 右边把其他列出来的都删除掉 重启下系统就好了
    2014年3月12日 3:35
  • 你是说这里吗?

    服务器管理器-文件和服务存储-服务器,把里面的机器删掉?

    2017年4月17日 2:27