none
Kerberos 錯誤 (發生不明的安全性錯誤) RRS feed

  • 一般討論

  • 因 Exchange 無法登入,最後發現應是 WinRM 的相關問題,但在使用 wsmanquickconfig 時出現錯誤訊息,完整操作過程與訊息如下,請問如何解決:

    PS C:\Users\Administrator> set-wsmanquickconfig

    WinRM 快速設定
    執行 Set-WSManQuickConfig 命令可能會對安全性造成重大的影響,因為它會透過這部電腦上的 WinRM 服務啟用遠端管理。
    這個命令會執行下列動作:
     1. 檢查 WinRM 服務是否執行中。如果 WinRM 服務不在執行中,就啟動服務。
     2. 將 WinRM 服務啟動類型設為自動。
     3. 建立接聽程式以接受任何 IP 位址的要求。預設的傳輸方式是 HTTP。
     4. 啟用 WS-Management 流量的防火牆例外。
    您要透過這部電腦上的 WinRM 服務啟用遠端管理嗎?
    [Y] 是(Y)  [N] 否(N)  [S] 暫停(S)  [?] 說明 (預設值為 "Y"):
    WinRM 已設定為在此電腦上接收要求。
    Set-WSManQuickConfig : WinRM 無法處理該要求。使用 Negotiate 驗證時發生下列錯誤: 發生不明的安全性錯誤。
     可能的原因為:
      -指定的使用者名稱或密碼不正確。
      -已使用 Kerberos,因為未指定驗證方法和使用者名稱。
      -Kerberos 接受網域使用者名稱,但不接受本機使用者名稱。
      -遠端電腦名稱及連接埠的服務主體名稱 (SPN) 不存在。
      -用戶端及遠端電腦位於不同的網域中,而且這兩個網域之間沒有信任關係。
     在檢查過上述問題之後,請嘗試下列動作:
      -在事件檢視器中,檢查與驗證相關的事件。
      -變更驗證方法; 將目的電腦新增至 WinRM 的 TrustedHosts 組態設定,或是使用 HTTPS 傳輸。
     請注意,可能不會驗證在 TrustedHosts 清單中的電腦。
       -如需 WinRM 設定的詳細資訊,請執行下列命令: winrm help config。
    位於 行:1 字元:21
    + set-wsmanquickconfig <<<<
        + CategoryInfo          : InvalidOperation: (:) [Set-WSManQuickConfig], InvalidOperationException
        + FullyQualifiedErrorId : WsManError,Microsoft.WSMan.Management.SetWSManQuickConfigCommand

     

     

    2011年5月15日 下午 09:36

所有回覆

  • Hi, 請您先檢查 Exchange 與 DC 及 GC 間的聯繫是否正常.
    請記得對您有幫助的回覆標註為"解答". 以幫助其他尋找解答及參與社群討論的朋友們.
    Please remember to click “Mark as Answer” on the post that helps you. This can be beneficial to other community members reading the thread.
    2011年5月17日 下午 02:37
  • "因 Exchange 無法登入,最後發現應是 WinRM 的相關問題"

    這句話怎麼說呢?是無法登入到Exchange這台機器(網域帳號),還是EMC無法開啟?

    EMC確實跟WinRM有關,但是無法登入.....我就不確定,也不認為喔!


    Alex Hung
    2011年5月18日 下午 01:16
  • Alex,


    實際上是 EMC 無法登入,錯誤訊息是 "連線到遠端伺服器失敗,傳回下列錯誤訊息:存取被拒",經搜尋一些文章

    發現與 WinRM 有關,所以會往 WinRM 方向找,如果不是這樣請賜教;另外亦發現 Kerberos 出問題 (如果將

    服務中的 Kerberos Key Distribution Center 關閉,set-wsmanquickconfig 的錯誤訊息會從原本的

    "發生不明的安全性錯誤" 變成 "目前無可用的登入伺服器來服務登入請求", 所以才會往 WinRM 與 Kerberos方向去

    找問題的可能原因。

    EMC 在Win2008 + Exchange 一開始安裝的時候是都沒有問題的,後來就突然發現 EMC 登不進去 (若改用

    EMS 的錯誤訊息基本上也一樣: 詳細資訊: Connecting to dc1.domain.com
    [dc1.domain.com] 連線到遠端伺服器失敗,傳回下列錯誤訊息: 存取被拒。 如需詳細資訊,請參閱 about_Remote_Troubleshooting 說明主題。

    其實我們要解決的問題很簡單:EMC登不進去所以沒辦法刪除與新增使用者。以前Exchange 2007因為可以從 AD 做這件事情

    所以無所謂,現在 exchange 2010 一定要從 EMC / EMS 做,我們就卡住了。

    這會是因為 Administrator 的密碼改過的關係嗎? (因為一開始可以,而後來就不行,我們 Administrator的密碼都是定期改的)

    如果是,請告知應該往哪邊修改。

    2011年5月18日 下午 01:40
  • 先確定一下,你有看到"緊急公告"嗎?

     

    Dear all:

    請暫時不要安裝KB2449742於Exchange 2007/2010上,可能會造成Managment Console 無法開啟,或是造成資料庫複寫失敗。

    相關連結:

    http://blogs.technet.com/b/exchange/archive/2011/04/15/exchange-2010-management-tools-do-not-start-after-the-installation-of-net-hotfix-kb-2449742.aspx


    Alex Hung
    2011年5月18日 下午 02:15
  • Hi,

    謝謝您的回答,不過搜尋系統中已安裝的更新並沒有這一項,而且此問題已經存在很久

    (超過半年),實在是工作忙一直沒時間處理。

    2011年5月18日 下午 02:19
  • 雖然你可能有檢查過了,但我還是先說可能性高,常被忽略的。

    檢查一下exchange server與 DC的電腦時間是否差距過大?


    Alex Hung
    2011年5月18日 下午 02:43
  • Hi,

    謝謝您的回答。不好意思,我不太懂您的意思,請問這要怎麼操作?

    Exchange Server 和 DC 是同一台電腦。

    2011年5月18日 下午 02:49
  • 看一下DC的電腦時間,再看一下Exchange SERVER的電腦時間,兩者的差距不可超過五分鐘。

     

    哈~~同一台.....那無關@@

     


    Alex Hung
    2011年5月18日 下午 02:53
  • 你的Exchange有沒有修改過IIS?

    例如:為了做 http://mail.alexhung.com/ 轉向到  https://mail.alexhung.com/owa

    如果有的話,問題應該在這裡。這是比較常見的原因。

     

    給您一篇exchange team的Blog參考

    http://blogs.technet.com/b/exchange/archive/2010/02/04/3409289.aspx


    Alex Hung
    2011年5月19日 下午 01:42