Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit de l’aide pour résoudre un problème où les utilisateurs ne parviennent pas à accéder à une ressource et qu’un journal des événements système affiche l’événement Kerberos 4.
Numéro de base de connaissances d’origine : 2706695
Symptômes
Un journal des événements système a affiché au moins un événement Kerberos 4. Cet événement sur un serveur indiquant qu’un client a donné au serveur un ticket d’accès à une ressource que le serveur ne peut pas déchiffrer.
Le vrai symptôme est qu’un utilisateur n’a pas pu accéder à une ressource. L’erreur la plus probable qu’ils ont reçue était un accès refusé ou une erreur 5.
Cause
Les tickets de service Kerberos sont obtenus par un client et transmis à un serveur pour accéder aux ressources sur ce serveur. Ils sont signés à l’aide d’un secret que seul ce serveur qui a la ressource demandée peut déchiffrer. Lorsque le SPN se trouve sur le compte incorrect dans Active Directory, le secret utilisé est l’un des comptes sur utilisant le SPN au lieu de l’un des serveurs.
Par conséquent, le serveur ne peut pas déchiffrer le ticket et renvoie une erreur au client.
Résolution
Pour résoudre ce problème, le nom du principal de service doit être recherché et supprimé du compte de remplacement, puis il doit être ajouté au compte approprié dans Active Directory. Pour ce faire, procédez comme suit :
- À l’invite de commandes avec élévation de privilèges et à l’aide des informations d’identification d’administrateur d’entreprise, exécutez la commande
setspn -Q <SPN>. Cela renvoie un nom d’ordinateur. SetSPN.exe est installé avec le rôle Services Active Directory ou avec RSAT. - Supprimez le SPN inscrit incorrectement en accédant à l’invite de commandes et en exécutant la commande
setspn -D <SPN> <computername>. - Ajoutez le SPN au compte approprié à l’invite de commandes en exécutant la commande
setspn -S <SPN> <computername of computer which had the System event 4>.
Plus d’informations
Lorsqu’un client demande un ticket de service qu’il peut transmettre au contrôleur de domaine le problème. Le client l’envoie ensuite à l’hôte distant où il tente de s’authentifier.
Ce problème peut apparaître dans une trace réseau avec une réponse d’erreur du serveur de ressources montrant l’erreur KRB_AP_ERR_MODIFIED.
Dans ce scénario, le serveur distant ne peut pas déchiffrer le ticket envoyé par le client, car le mot de passe utilisé pour le chiffrer n’est pas le bon. Cela est à son tour le résultat du SPN pour ce service et du ticket sur l’objet incorrect dans AD. Il s’agit plutôt d’autres mots de passe d’objets utilisés. Dans ce scénario, le serveur qui ne peut pas déchiffrer le ticket répond au client. Le client place ensuite l’événement Kerberos 4 (exemple ci-dessous) dans son journal des événements système. Moins souvent, cela est dû à des problèmes réseau entre le client et le serveur où le ticket est tronqué.
ID d’événement KERBEROS 4
Type d’événement : Erreur
Source d’événement : Kerberos
Catégorie d’événement : Aucune
ID d’événement : 4
Date : <DateTime>
Heure : <DateTime>
Utilisateur : N/A
Ordinateur : MACHINENAMEDescription :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED de l’hôte/machinename.childdomain.rootdomain.com du serveur. Le nom cible utilisé était cifs/machinename.domain.com. Cela indique que le mot de passe utilisé pour chiffrer le ticket de service Kerberos est différent de celui sur le serveur cible. En règle générale, cela est dû à des comptes d’ordinateurs nommés identiquement dans le domaine cible (childdomain.rootdomain.COM) et au domaine client. Contactez votre administrateur système.