none
AD產生Kerberos ID:3錯誤訊息 RRS feed

  • 問題

  • 請教各位前輩,小弟AD(AD01.xxx.com.tw)上每隔15分鐘即出現Kerberos ID:3的錯誤訊息
    主要環境為Windows 2003 Standard R2 SP2

    相關錯誤訊息如下所示:
    收到 Kerberos 錯誤訊息:
             於登入工作階段
     用戶端時間:
     伺服器時間: 12:53:38.0000 9/16/2009 Z
     錯誤碼: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
     延伸的錯誤:
     用戶端領域:
     用戶端名稱:
     伺服器領域: xxx.COM.TW
     伺服器名稱: AD01.xxx.com.tw
     目標名稱: AD01.xxx.com.tw@xxx.com.tw
     錯誤文字:
     檔案: 9
     行數: ae0
     錯誤資料在記錄資料中。

    請問前輩,這是如何的狀況產生的錯誤,以及是否有辦法修復呢???
    於網路上所查得訊息如下
    1. http://forums.techarena.in/active-directory/698215.htm (最後並沒有討論解法)
    2. http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/5e282685-522c-4ce0-9ee2-e9d9a5d1f76f (此連結過去,不曉得要找什麼關鍵字)

    以上,感謝
    • 已編輯 Pinno 2009年9月17日 上午 03:26
    2009年9月16日 下午 01:14

解答

  • 1.只要把LogLevel這個刪除在重新開機即可

    2.測了另一台Server 2008後也是同樣有這些訊息..應該是不會有影響.
    KB262177裡面有提到下面文字
    表示開啟後會收到一些額外的錯誤訊息..但是是不影響的
    -------------------------------------
    Turning on Kerberos event logging is intended only for troubleshooting purpose when you expect additional information for the Kerberos client-side at a defined action timeframe.

    From a general point of view, you may receive additional errors that can correctly be handled by the receiving client system without the user interference. Therefore, it does not reflect a severe problem that must be solved or even can be solved.

    For example, an event log 3 about a Kerberos error that has the error code 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN for Server Name cifs/<IP address> will be logged when a share access is made against a server IP address and no server name. If this error is logged, the Windows client automatically tries to fail back to NTLM authentication for the user account. If this operation works, receive no error.
    -------------------------------------

    另外提供一篇之前的Technet論壇討論..供你參考

    ISA SerVer 2006 SP1主機直接出現ID 3如何處理
    http://social.technet.microsoft.com/Forums/zh-TW/isaserferforefrontsecurityzhcht/thread/77127e3e-45ad-445c-a78f-07c6ef618e33

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    • 已編輯 Vincent Lin 2009年9月17日 上午 06:59 更改部分內容..之前內容有誤
    • 已標示為解答 Pinno 2009年9月17日 上午 08:46
    2009年9月17日 上午 06:37

所有回覆

  • 可能是你這台DC的SPN有跟其他台的電腦衝突導致此問題
    你可以在DC上面執行下面指令

    ldifde -f C:\spn.txt -d "dc=xxx,dc=com,dc=tw" -p subtree -r "(ServicePrincipalName=AD01.xxx.com.tw@xxx.com.tw)" -l ServicePrincipalName

    然後執行完後把C:\spn.txt的內容貼上來或是上傳到免費空間(如http://www.badongo.com )給我們看看

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 03:18
  • 昨晚已經將AD重新開機完成,並從網路上找到的文件http://www.monitorware.com/common/en/securityreference/kerberos-failures.php
    相關的說明截錄如下
     
    Meaning or MIT code
    0x6  Client not found in Kerberos database
    0x7  Server not found in Kerberos database

    Explanation
    We have seen this code when Active Directory replication does not work correctly. In this case, it is possible that e.g. a computer account joins the domain using one DC. Then, this information is not replicated within AD. If the computer then tries to authenticate to another DC, it is not found there, resulting in this error code.

    Also, make sure time synchronization between DCs is working well

    看起來,可能的解決,就是找到那台主機,或者是查看AD是否有同步完成,依系統訊息來看AD都有在覆寫~~
    若要找那台主機,卻不知道從何下手??

    請問前輩有任何的建議嗎??

    2009年9月17日 上午 03:25
  • 感覺比較怪的是..一般來說SPN的格式不會有 AD01.xxx.com.tw@xxx.com.tw 的..都是 Host/AD01.xxx.com/xxx.com 才對
    這可能跟複寫比較沒有關係
    我猜可能是你AD01上面安裝的程式比較有關係

    麻煩你先做下面動作

    1.執行我前一篇的動作..並把結果貼上來或是上傳到別的地方給我看看
    2.檢查看看DC上面是否有一些字型開發的程式..或是網頁程式會去註冊SPN

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 03:36
  • 麻煩你在AD01上面新增下面機碼,然後重新開機,過個半小時後去檢查事件檢視器..把新的錯誤訊息貼出來看看

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 右邊 , 新增DWORD
    Name: LogLevel
    Value Data: 1

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 04:01
  • 感謝前輩您的回覆

    該台AD並無安裝什麼程式,除了五大角色在此台外,還有提供DNS服務

    並有使用NTPClock定時校時,其他的程式就只有備份軟體

    我們也是將讓環境盡可能的單純

    另執行過的結果,C:\spn.txt檔案內並無內容,相關的執行過程如下(相關參數已有修改成正確的名稱)
    C:\>ldifde -f C:\spn.txt -d "dc=xxx,dc=com,dc=tw" -p subtree -r "(ServicePrincipalName=AD01.xxx.com.tw@xxx.com.tw)" -l ServicePrincipalName
    正連線到 "AD01.xxx.com.tw"
    使用 SSPI 登入為目前使用者
    正將目錄匯出到檔案 C:\spn.txt
    正在搜尋項目...
    正在寫出項目
    找不到項目

    已順利完成命令


    再次感謝

    2009年9月17日 上午 04:01
  • 恩..應該是某個東西在註冊SPN的時候是用了錯誤的格式所以導致此問題
    先透過前篇的修改機碼動作..來看看是否可以看出一些端倪吧

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 04:08
  • 感謝您的回覆

    一開始查問題的時候,也有找到類似的文章,我找到這個參數時已有設定為1

    相關的連結為http://support.microsoft.com/?id=262177

    但我不清楚是否原本就已經有預設了(後面應該也不會自己去調此設定)

    所以我就沒有說明,抱歉

    昨天有確認此參數已設為1,並於昨天晚間重新開機過後

    若有什麼小弟可再查詢之處,煩請告知

    感謝

    2009年9月17日 上午 04:11
  • 那些機碼本來是不存在的..你先透過該篇KB..把有修改過的地方刪除
    然後重新開機在檢查看看還有沒有那些錯誤訊息

    另外..我在我的LAB環境中..設定該機碼後..重新開機也是會出現相同訊息
    刪除後再重新開機就正常了..供你參考

    PS:Production環境一般是沒有啟動該debug的機碼..除非是有問題時才會用到..可能是之前你們公司的人有這功能去檢查問題


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 05:00
  • 非常感謝您的協助,還用LAB環境幫我測試,您提供的方式,小弟會執行看看,
    因只能在晚上執行,所以結果,明天才能跟您回報,若有小弟幾點事項想確認的,若能協助,
    還煩請提供解惑

    1. 我會執行的程序,就是僅將LogLevel這個Paramer刪除,再將其重開機即可,是嗎?
       
        但該篇文件附註有提到http://support.microsoft.com/?id=262177
        
        結束 [登錄編輯程式]。 設定會立即在 Windows Server 2008 上、 在 Windows Vista 上、
        在 Windows Server 2003 上, 及在 Windows XP 上時才有效。 在 Windows    2000 中,
        您必須重新啟動電腦。

        不好意思,因為是Production環境,所以小弟需要再加的確認

    2. 前輩您提到,在於您的LAB環境中,也會出現相同的訊息,意指也是會有同樣的錯誤
        那麼~這種錯誤是正常嗎??(小弟感到還滿奇怪的),若是不正常的話如否需要找尋修復的方式~~

    3. 以上,感謝您~

    2009年9月17日 上午 06:10
  • 1.只要把LogLevel這個刪除在重新開機即可

    2.測了另一台Server 2008後也是同樣有這些訊息..應該是不會有影響.
    KB262177裡面有提到下面文字
    表示開啟後會收到一些額外的錯誤訊息..但是是不影響的
    -------------------------------------
    Turning on Kerberos event logging is intended only for troubleshooting purpose when you expect additional information for the Kerberos client-side at a defined action timeframe.

    From a general point of view, you may receive additional errors that can correctly be handled by the receiving client system without the user interference. Therefore, it does not reflect a severe problem that must be solved or even can be solved.

    For example, an event log 3 about a Kerberos error that has the error code 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN for Server Name cifs/<IP address> will be logged when a share access is made against a server IP address and no server name. If this error is logged, the Windows client automatically tries to fail back to NTLM authentication for the user account. If this operation works, receive no error.
    -------------------------------------

    另外提供一篇之前的Technet論壇討論..供你參考

    ISA SerVer 2006 SP1主機直接出現ID 3如何處理
    http://social.technet.microsoft.com/Forums/zh-TW/isaserferforefrontsecurityzhcht/thread/77127e3e-45ad-445c-a78f-07c6ef618e33

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    • 已編輯 Vincent Lin 2009年9月17日 上午 06:59 更改部分內容..之前內容有誤
    • 已標示為解答 Pinno 2009年9月17日 上午 08:46
    2009年9月17日 上午 06:37
  • 有疑慮的話..建議在透過下面兩個工具檢查看看DC的運作狀況是否有問題

    dcdiag -v
    repadmin /showrepl


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月17日 上午 06:48
  • 1. 我已經先把LogLevel這個Parameter這個刪除了

       我重新去看其他台的AD,確實都沒有這個值..我就直接刪了....
       重機開機的部份..我晚上會執行

    2. 謝謝您費心找的文章...剛才看了一次...心安了許多
    3. ISA這篇...如果我一開始就找到就好了....=.=!!!
        就不用勞煩您了

    4. 看到您提供的資料..除了安心許多外..真的謝謝你



    2009年9月17日 上午 06:57
  • 感謝您的提供測試方式

    1. dcdiag -v測試的結果,每一項都是Passwd
    2. repadmin /showrepl測試的結果,每項都是Successful
    3. LogLevel Parameter從PM 02:27刪除後,目前未再出現(尚未重開新)


    再次謝謝~~

    2009年9月17日 上午 08:56