windows server

泽俊 黄 0 Reputation points
2024-01-22T07:19:13.9866667+00:00

Kerberos 客户端收到了来自服务器 win-vdiaddc01$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/WIN-VDIADDC01.vdi.gdsh/vdi.gdsh@VDI.GDSH。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(VDI.GDSH)与客户端域(VDI.GDSH)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

Windows Server
Windows Server
A family of Microsoft server operating systems that support enterprise-level management, data storage, applications, and communications.
13,654 questions
0 comments No comments
{count} votes

1 answer

Sort by: Most helpful
  1. Daisy Zhou 28,821 Reputation points Microsoft Vendor
    2024-01-26T03:55:30.94+00:00

    尊敬的客户,您好!

    感谢您在Q&A论坛发帖。

    1.请在域控上运行setspn -q LDAP/WIN-VDIADDC01.vdi.gdsh/vdi.gdsh@VDI.GDSH
    这将返回计算机名称,看看这个返回的结果是不是只有一个计算机名称,如果是的话,这个SPN是否应该注册在这台计算机上。

    如果这个SPN注册在多台计算机上,需要删除不应该注册的计算机上。
    如果这个SPN之注册在一台计算机上,那么请确保这个SPN注册在应该注册的计算机上。 也就是请确保仅在服务器使用的帐户上注册目标 SPN

    2.请检查用户,用户登录的客户端,还有用户需要访问的服务器是不是在同一个域。如果不在同一个域,则请检查这两个域里是否有相同名字的服务器。 参考文档:
    https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/kerberos-event-4-access-denied

    希望上述的回复对您有帮助,如有任何问题,欢迎您随时咨询我们。

    Best Regards,
    Daisy Zhou

    如果答案有帮助,请点击“接受答案”并投赞成票。如果您对此答案有其他疑问,请点击“评论”。

    0 comments No comments

Your answer

Answers can be marked as Accepted Answers by the question author, which helps users to know the answer solved the author's problem.