none
請問這個Kerberos 錯誤如何解決(event id 4)? RRS feed

  • 問題

  • dear all:

    下面是在Client 端的System Eventlog 上看到的,有時候Client 突然連不上Server

    登出後再登入XP後clent 又可連上Server

    (我是在Client 上的開始功能表->執行 ->打   \\server\的方試測試連線)

    請問要如何處理…

     

    事件類型: 錯誤
    事件來源: Kerberos
    事件類別目錄: 無
    事件識別碼: 4
    日期: 2008/1/25
    時間: 上午 09:16:22
    使用者: N/A
    電腦: user001
    描述:
    The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/server01.abc.com.tw. 
    This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server.
    Commonly, this is due to identically named  machine accounts in the target realm (ABC.COM.TW), and the client realm.  
    Please contact your system administrator.

     

    而且有不少User 都發生過這個情形

    http://eventid.net/display.asp?eventid=4&source=kerberos

    2008年1月25日 上午 02:22

解答

  • 一個個問題來看

    1. 使用 ldifde 只查詢到一部相同名稱的物件.
      個人看法是因為, 原先與該物件重複的物件以正常的退出網域. 因此物件已不存在 DC database ; 所以查詢不到
      建議: event log, 儲存後刪除; 持續觀察該電腦物件是否有 KDC 4 的錯誤訊息出現
    2. SPN 的提供 AD 查詢時使用, SPNs 可以有很多種類型; 例如 DNS, SMTPSRV, LDAP 等等.
      如果您的 DC 同時也是 GC 時, 當你列出該 DC 的 SPN 時, 應該會註冊下列幾個基本的 SPNs, 如
      ldap, gc, host,netfrs 等等
      您的狀況應該是 server01 有安裝 SMTP 服務, 而將該 SMTPSRV 的 SPN 註冊至 DC 中的
    3. 將有問題的 XP (user001) 登出以及在登入, 這個動作是重先建立與 DC 間的 Secure Channel;
    4. 建議執行幾個動作:
      1. 使用 netdiag & dcdiag 檢查 DC 的狀況
      2. 利用非上班時間做 DC database 壓縮.
    2008年1月28日 上午 03:43

所有回覆

  • 首先說明, 這是很常見的問題. 多數為 SPN 重複. 發生的原因為:

    • Ghost
    • 電腦重新更改名稱

    解決方式:

    • 先將該事件所指的電腦透過 ldifde 將資訊匯出至文字檔
      ldifde -u -f check_SPN.txt -t 3268 -r "(servicePrincipalName =HOST/ServerName)" -p subtree
    • 該啟 check_SPN.txt 檔案. 此時應有多過一個物件被列出來. 詳細檢查每個物件的 servicePrincipalName 是否很類似.
    • 然後使用 ADSI 將物件的 servicePrincipalName 修改為一致, 或是刪除不一樣的 servicePrincialName

    PS. 透過 ldifde 搜尋時, 應該使用 3268 的 port (GC), 因為可以查詢整個 forest 的資料; 請不要使用 ldap 的 port 以及不要指定 DN.

    2008年1月25日 上午 02:45
  • 先謝謝大大的回覆:

     

    說對了…

     client 的電腦都用Ghost做的, 而且很多都有重新改名

    但致少都是半年前的事了說…

    而server01 這台server 並沒有用ghost 來做耶

     

     

    剛剛在DC上操作

    E:\>ldifde -u -f check_SPN.txt -t 3268 -r "(servicePrincipalName =HOST/server01.abc.com.tw)" -p subtree
    正連線到 "dc01.abc.com.tw"
    使用 SSPI 登入為目前使用者
    正將目錄匯出到檔案 check_SPN.txt
    正在搜尋項目...
    正在寫出項目
    找不到項目

    已順利完成命令

    但在check_SPN.txt 中是空檔 ,沒資料…

     


     

     RYAN LIAO 寫信:

    首先說明, 這是很常見的問題. 多數為 SPN 重複. 發生的原因為:

    • Ghost
    • 電腦重新更改名稱

    解決方式:

    • 先將該事件所指的電腦透過 ldifde 將資訊匯出至文字檔
      ldifde -u -f check_SPN.txt -t 3268 -r "(servicePrincipalName =HOST/ServerName)" -p subtree
    • 該啟 check_SPN.txt 檔案. 此時應有多過一個物件被列出來. 詳細檢查每個物件的 servicePrincipalName 是否很類似.
    • 然後使用 ADSI 將物件的 servicePrincipalName 修改為一致, 或是刪除不一樣的 servicePrincialName

    PS. 透過 ldifde 搜尋時, 應該使用 3268 的 port (GC), 因為可以查詢整個 forest 的資料; 請不要使用 ldap 的 port 以及不要指定 DN.

    2008年1月25日 上午 04:14
  • 請不要加上 FQDN 來查詢.

    使用下列指令再試一次

    ldifde -u -f check_SPN.txt -t 3268 -r "(servicePrincipalName =HOST/server01*)" -p subtree

    2008年1月25日 上午 04:20
  • 剛剛這個指令試了還是一樣,

    然後我看到了這一編文章:

    http://support.microsoft.com/kb/321044/zh-tw

    應該是相同的問題文章

    我試一下這個指令:

    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/server01*)" -p subtree

    檔案內容:

    dn: CN=SERVER01,CN=Business,DC=ABC,DC=COM,DC=tw
    changetype: add
    servicePrincipalName: SMTPSVC/server01.abc.com.tw
    servicePrincipalName: SMTPSVC/SERVER01
    servicePrincipalName: HOST/SERVER01
    servicePrincipalName: HOST/server01.abc.com.tw

     

    那是說這四行有兩行可去掉嗎?

     

     

     RYAN LIAO 寫信:

    請不要加上 FQDN 來查詢.

    使用下列指令再試一次

    ldifde -u -f check_SPN.txt -t 3268 -r "(servicePrincipalName =HOST/server01*)" -p subtree

    2008年1月25日 上午 08:36
  • 這個 output 讓我搞混了. 因為 KDC 4 是說明有多過一個的物件擁有相類似的 SPN 名稱, 但從你的 output 顯示只有一筆. 可以說明一下您的 DC/ GC 環境 & 架構嗎?

     

    2008年1月25日 下午 02:47
  • 是在2k3 的網域環境
    DC1上面有GC
    server01 是一台加入domain 的Application server ,
    而server01上有出現兩行SMTPSVC...
    但我覺的怪的是它的25 port 是不通的
    就是說沒裝smtp service …
    怎麼會出現smtpsvc 字樣?

     

    然後有問題的XP(user001)下指令:
    dn: CN=user001,OU=cligroup Computers,DC=abc,DC=com,DC=tw
    changetype: add
    servicePrincipalName: HOST/user001.abc.com.tw
    servicePrincipalName: HOST/user001
    (昨天這台有問題的xp我把它登出,再登入又好了(又連的上了,很奇怪?))

     

    而那一台server01 ,上個月才重裝w2k3的(不是用ghost)
    而client 都是ghost ,
    我打算星期一若有user 反應這種問題

    同時間我在到鄰近的xp上觀察是不是連線正常...

    (我在想應該不是server 的問題才對...)

     

    另外server 區是切一個vlan,client 切一個vlan,運行了兩年多了,
    直到這一個月才出這種問題??

     

     

     RYAN LIAO 寫信:
    這個 output 讓我搞混了. 因為 KDC 4 是說明有多過一個的物件擁有相類似的 SPN 名稱, 但從你的 output 顯示只有一筆. 可以說明一下您的 DC/ GC 環境 & 架構嗎?

     

    2008年1月25日 下午 04:38
  • 一個個問題來看

    1. 使用 ldifde 只查詢到一部相同名稱的物件.
      個人看法是因為, 原先與該物件重複的物件以正常的退出網域. 因此物件已不存在 DC database ; 所以查詢不到
      建議: event log, 儲存後刪除; 持續觀察該電腦物件是否有 KDC 4 的錯誤訊息出現
    2. SPN 的提供 AD 查詢時使用, SPNs 可以有很多種類型; 例如 DNS, SMTPSRV, LDAP 等等.
      如果您的 DC 同時也是 GC 時, 當你列出該 DC 的 SPN 時, 應該會註冊下列幾個基本的 SPNs, 如
      ldap, gc, host,netfrs 等等
      您的狀況應該是 server01 有安裝 SMTP 服務, 而將該 SMTPSRV 的 SPN 註冊至 DC 中的
    3. 將有問題的 XP (user001) 登出以及在登入, 這個動作是重先建立與 DC 間的 Secure Channel;
    4. 建議執行幾個動作:
      1. 使用 netdiag & dcdiag 檢查 DC 的狀況
      2. 利用非上班時間做 DC database 壓縮.
    2008年1月28日 上午 03:43
  • 您好,我的邮件服务器上也出现了此错误信息:

    事件类型: 错误
    事件来源: Kerberos
    事件种类: 无
    事件 ID: 4
    日期:  2008-2-2
    事件:  9:27:05
    用户:  N/A
    计算机: HHZ-EMPMAIL2
    描述:
    kerberos 客户端收到了一个来自服务器 host/hhz-empmail2.myorg.com 的 KRB_AP_ERR_MODIFIED 错误。 使用目标名称为 MAILSERVER。这表明用来加密 kerberos 服务票证的密码与目标服务 器上的不同。通常,这是由于在目标领域(myorg.COM)和客户端领域的计算机帐户名 完全相同造成的。请与您的系统管理员联系。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

    我通过命令:

    ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HOST/mycomputer*)" -p subtree

    得到的输出如下:

    dn:: Q049TUFJTFNFUlZFUixPVT3mgLvpg6jmnI3liqHlmagsT1U95pyN5Yqh5Zmo5ZKM566h55CG5ZGY6LSm5oi357uELERDPXNpbmF0YXksREM9Y29t
    changetype: add
    servicePrincipalName: exchangeMDB/MAILSERVER.myorg.com
    servicePrincipalName: exchangeMDB/MAILSERVER
    servicePrincipalName: exchangeRFR/MAILSERVER.myorg.com
    servicePrincipalName: exchangeRFR/MAILSERVER
    servicePrincipalName: MSClusterVirtualServer/MAILSERVER.myorg.com
    servicePrincipalName: MSClusterVirtualServer/MAILSERVER
    servicePrincipalName: HOST/MAILSERVER.myorg.com
    servicePrincipalName: HOST/MAILSERVER

    我们的环境是:两台DC,OS为WIN2K3,两台邮件服务器部署了WIN2K3 Cluster,SMTP Server是:Exchange2k3SP1,

    使用DCDIAG也没发现异常。

    此事件不定期出现,也没发现邮件服务器异常。

    请问此事件会有什么潜在的危险?有什么建议的操作么?谢谢!

    2008年2月3日 上午 03:44