Indicazioni per la risoluzione dei problemi relativi all'autenticazione Kerberos

Questa guida fornisce i concetti fondamentali usati per la risoluzione dei problemi di autenticazione Kerberos.

Elenco di controllo per la risoluzione dei problemi

• Un errore correlato a Kerberos è un sintomo dell'errore di un altro servizio. Il protocollo Kerberos si basa su molti servizi che devono essere disponibili e funzionanti correttamente per eseguire qualsiasi autenticazione.

• Per determinare se si verifica un problema con l'autenticazione Kerberos, controllare nel registro eventi di sistema gli errori di tutti i servizi (ad esempio Kerberos, kdc, LsaSrv o Netlogon) nel client, nel server di destinazione o nel controller di dominio che forniscono l'autenticazione. Se esistono errori di questo tipo, potrebbero verificarsi anche errori associati al protocollo Kerberos.

• I controlli degli errori nel registro eventi security del server di destinazione potrebbero indicare che il protocollo Kerberos è stato usato quando si è verificato un errore di accesso.

• Prima di esaminare il protocollo Kerberos, verificare che i servizi o le condizioni seguenti funzionino correttamente:

  • L'infrastruttura di rete funziona correttamente e tutti i computer e i servizi possono comunicare.
  • Il controller di dominio è accessibile. È possibile eseguire il comando nltest /dsgetdc:<Domain Name> /force /kdc , ad esempio , nltest /dsgetdc:contoso.com /force /kdcnel client o nel server di destinazione.
  • Dns (Domain Name System) è configurato correttamente e risolve i nomi host e i servizi in modo appropriato.
  • Gli orologi vengono sincronizzati nel dominio.
  • Vengono installati tutti gli aggiornamenti critici e di sicurezza per Windows Server.
  • Tutto il software, incluso il software non Microsoft, viene aggiornato.
  • Il computer viene riavviato se si esegue un sistema operativo server.
  • Sono disponibili i servizi e il server necessari. Il protocollo di autenticazione Kerberos richiede un controller di dominio, un'infrastruttura DNS e una rete funzionano correttamente. Verificare che sia possibile accedere a queste risorse prima di iniziare a risolvere i problemi relativi al protocollo Kerberos.

Se sono state esaminate tutte queste condizioni e si verificano ancora problemi di autenticazione o errori Kerberos, è necessario cercare una soluzione più approfondita. I problemi possono essere causati dalla configurazione del protocollo Kerberos o dalla configurazione di altre tecnologie che funzionano con il protocollo Kerberos.

Problemi e soluzioni comuni

Problemi di delega Kerberos

In uno scenario tipico, l'account di rappresentazione sarebbe un account del servizio assegnato a un'applicazione Web o all'account computer di un server Web. L'account rappresentato è un account utente che richiede l'accesso alle risorse tramite un'applicazione Web.

Sono disponibili tre tipi di delega tramite Kerberos:

• Delega completa (delega non vincolata)

  La delega completa deve essere evitata il più possibile. L'utente (utente front-end e utente back-end) può trovarsi in domini diversi e anche in foreste diverse.

• Delega vincolata (solo Kerberos e transizione di protocollo)

  L'utente può provenire da qualsiasi dominio o foresta, ma i servizi front-end e back-end devono essere in esecuzione nello stesso dominio.

• Delega vincolata basata su risorse (RBCD)

  L'utente può provenire da qualsiasi dominio e le risorse front-end e back-end possono provenire da qualsiasi dominio o foresta.

Risoluzione dei problemi più comuni relativi alla delega Kerberos

• Nome dell'entità servizio mancante o duplicato
• Errori di risoluzione dei nomi o risposte non corrette (indirizzi IP errati specificati per un server)
• Ticket Kerberos di grandi dimensioni (MaxTokenSize) e ambiente non configurati correttamente
• Porte bloccate da firewall o router
• Account del servizio senza privilegi appropriati (assegnazione dei diritti utente)
• Servizi front-end o back-end non nello stesso dominio e configurazione della delega vincolata

Per ulteriori informazioni consulta:

• La delega vincolata per CIFS non riesce con ACCESS_DENIED errore
• Configurare la delega vincolata per un account del servizio personalizzato
• Configurare la delega vincolata nell'account NetworkService

Single Sign-On (SSO) interrotto e richiesta di autenticazione una volta

Si considerino gli scenari seguenti:

• Un'applicazione client e server come Microsoft Edge e il server Internet Information Services (IIS). Il server IIS è configurato con l'autenticazione di Windows (Negotiate).
• Un'applicazione client e server come un client SMB e un server SMB. Per impostazione predefinita, il server SMB è configurato con Negotiate Security Support Provider Interface (SSPI).

Un utente apre Microsoft Edge e sfoglia un sito Web http://webserver.contoso.cominterno. Il sito Web è configurato con Negotiate e questo sito Web richiede l'autenticazione. Dopo che l'utente immette manualmente il nome utente e la password, l'utente ottiene l'autenticazione e il sito Web funziona come previsto.

Nota

Questo scenario è un esempio di client e server. La tecnica di risoluzione dei problemi è la stessa per qualsiasi client e server configurato con Integrated autenticazione di Windows.

La autenticazione di Windows integrata viene interrotta a livello di utente o di computer.

Metodi di risoluzione dei problemi

• Esaminare la configurazione client per un'impostazione di autenticazione integrata, che può essere abilitata a livello di applicazione o computer. Ad esempio, tutte le applicazioni basate su HTTP cercherebbero che il sito si presenti in un'area attendibile quando si tenta di eseguire l'autenticazione integrata.

  Aprire inetcpl.cpl (Opzioni Internet), che tutte le applicazioni basate su HTTP usano per le configurazioni di Internet Explorer e verificare se il sito Web è configurato come Intranet locale.

• Le applicazioni dispongono anche di una configurazione per l'esecuzione di autenticazione di Windows integrate.

  Microsoft Edge o Internet Explorer ha un'impostazione Abilita autenticazione integrata di Windows da abilitare.

• Esaminare la configurazione dell'applicazione e il computer client può ottenere un ticket Kerberos per un nome dell'entità servizio specificato.Review the application configuration, and the client computer can obtain a Kerberos ticket for a given service principal name (SPN). In questo esempio, il nome SPN è http/webserver.contoso.com.

  • Messaggio di esito positivo quando è possibile trovare il nome SPN:

    C:>klist get http/webserver.contoso.com
    Current LogonId is 0:0x9bd1f
    A ticket to http/webserver.contoso.com has been retrieved successfully.
    

  • Messaggio di errore quando non è possibile trovare il nome SPN:

    C:>klist get http/webserver.contoso.com
    klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
    

  Identificare e aggiungere i rispettivi nomi SPN agli account utente, servizio o computer appropriati.

• Se è stato rilevato che i nomi SPN possono essere recuperati, è possibile verificare se sono registrati nell'account corretto usando il comando seguente:

  setspn -F -Q */webserver.contoso.com
  

Problemi di individuazione del controller di dominio di autenticazione

I server applicazioni configurati con Integrated autenticazione di Windows necessitano di controller di dominio (DC) per autenticare l'utente/computer e il servizio.

L'impossibilità di contattare un controller di dominio durante il processo di autenticazione causa l'errore 1355:

Il dominio specificato non esiste o non è stato possibile contattarlo

Impossibile accedere a una risorsa configurata con Integrated autenticazione di Windows con un errore 1355

Nota

I messaggi di errore possono essere diversi dal punto di vista dell'applicazione, ma il significato dell'errore è che il client o il server non è in grado di individuare un controller di dominio.

Ecco alcuni esempi di tali messaggi di errore:

• Si è verificato l'errore seguente durante il tentativo di aggiunta al dominio "Contoso":
  Il dominio specificato non esiste o non può essere contattato.

• Impossibile trovare il controller di dominio per il contoso.com di dominio

• Impossibile contattare il controller di dominio 1355

Principali cause del problema

• Configurazione errata del DNS nel client

  È possibile eseguire il ipconfig /all comando ed esaminare l'elenco dei server DNS.

• Configurazione errata del DNS nei controller di dominio in un dominio o una foresta attendibile

• Porte di rete bloccate tra il client e i controller di dominio

  Porte di individuazione controller di dominio: UDP 389 (UDP LDAP) e UDP 53 (DNS)

Procedura di risoluzione dei problemi

1. Eseguire il nslookup comando per identificare eventuali errori di configurazione DNS.
2. Aprire le porte necessarie tra il client e il controller di dominio. Per altre informazioni, vedere Come configurare un firewall per i domini e i trust di Active Directory.

Scenario di test di analisi dei log

Ambiente e configurazione

• Computer client

  Client1.contoso.com(un computer Windows 11) viene aggiunto al dominio Contoso.com.

• Utente John

  L'utente appartiene a Contoso.com e accede al computer client.

• Opzioni Internet nel computer client

  Tutti i siti Web fanno parte dell'area Intranet locale.

  

• Server

  IISServer.contoso.com (Windows Server 2019) si aggiunge al dominio Contoso.com.

• Configurazione dell'autenticazione

  Autenticazione di Windowsabilitata.

  

• Provider di autenticazione: Negotiate

  I provider abilitati sono impostati come segue:

  

Flusso di autenticazione

1. L'utente John accede a Client1.contoso.com, apre un browser Microsoft Edge e si connette a IISServer.contoso.com.
2. Il computer client eseguirà i passaggi seguenti (passaggio 1 nel diagramma precedente):
   1. Il resolver DNS memorizza nella cache IISServer.contoso.com per verificare se queste informazioni sono già memorizzate nella cache.
   2. Il resolver DNS controlla nel file HOSTS qualsiasi mapping di IISServer.contoso.com che si trova in C:\Windows\System32\drivers\etc\Hosts.
   3. Inviare una query DNS al server DNS preferito (configurato nelle impostazioni di configurazione IP), che è anche un controller di dominio nell'ambiente.
3. Il servizio DNS in esecuzione nel controller di dominio esaminerà le zone configurate, risolverà il record Host A e risponderà con un indirizzo IP di IISServer.contoso.com (passaggio 2 nel diagramma precedente).
4. Il computer client eseguirà un handshake TCP a tre vie sulla porta TCP da 80 a IISServer.contoso.com.
5. Il computer client invierà una richiesta HTTP anonima a IISServer.contoso.com.
6. Il server IIS in ascolto sulla porta 80 riceverà la richiesta da Client1.contoso.com, esaminerà la configurazione di autenticazione dei server IIS e invierà una risposta di richiesta HTTP 401 al computer client con Negotiate come configurazione di autenticazione (passaggio 3 nel diagramma precedente).
7. Il processo di Microsoft Edge in esecuzione in Client1.contoso.com saprà che il server IIS è configurato con Negotiate e verificherà se il sito Web fa parte dell'area Intranet locale. Se il sito Web si trova nell'area Intranet locale, il processo di Microsoft Edge chiamerà LSASS.exe per ottenere un ticket Kerberos con un nome SPN HTTP\IISServer.contoso.com (passaggio 5 nel diagramma precedente).
8. Il controller di dominio (servizio KDC) riceverà la richiesta da Client1.contoso.com, cerca il nome SPN HTTP\IISServer.contoso.com nel database e trova IISServer.contoso.com configurato con questo SPN.
9. Il controller di dominio risponderà con una risposta TGS con il ticket per il server IIS (passaggio 6 nel diagramma precedente).
10. Il processo di Microsoft Edge nel computer client invierà una richiesta AP (Kerberos Application Protocol) al server Web IIS con il ticket TGS Kerberos emesso dal controller di dominio.
11. Il processo IIS chiamerà inLSASS.exe sul server Web per decrittografare il ticket e creare un token con l'appartenenza al gruppo SessionID e Users per l'autorizzazione.
12. Il processo IIS otterrà un handle da LSASS.exe al token per prendere decisioni di autorizzazione e consentire all'utente di connettersi con una risposta AP.

Analisi del flusso di lavoro di Monitoraggio di rete

Nota

È necessario essere un utente del gruppo Administrators locale per eseguire le attività seguenti.

1. Installare Microsoft Network Monitor nel computer client (Client1.contoso.com).

2. Eseguire il comando seguente in una finestra del prompt dei comandi con privilegi elevati (cmd.exe):

   ipconfig /flushdns
   

3. Avviare Monitoraggio di rete.

4. Aprire il browser Microsoft Edge e digitare http://iisserver.contoso.com.

5. Analisi della traccia di rete:

   1. Query DNS al controller di dominio per un record Host A: IISServer.contoso.com.

      3005    00:59:30.0738430    Client1.contoso.com    DCA.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Query  for iisserver.contoso.com of type Host Addr on class Internet
      

   2. Risposta DNS dal servizio DNS nel controller di dominio.

      3006    00:59:30.0743438    DCA.contoso.com    Client1.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104
      

   3. Il processo di Microsoft Edge in Client1.contoso.com si connette al server IISServer.contoso.com Web IIS (connessione anonima).

      3027    00:59:30.1609409    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /
      Host:  iisserver.contoso.com
      

   4. Il server IIS risponde con la risposta HTTP 401: Negotiate e NTLM (configurazione eseguita nel server IIS).

      3028    00:59:30.1633647    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details
      
      WWWAuthenticate: Negotiate
      WWWAuthenticate: NTLM
      

   5. La richiesta Kerberos da Client1.contoso.com passa al controller DCA.contoso.com di dominio con un nome SPN: HTTP/iisserver.contoso.com.

      3034    00:59:30.1834048    Client1.contoso.com    DCA.contoso.com    KerberosV5    KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com
      

   6. Il controller di DCA.contoso.com dominio risponde con la richiesta Kerberos, che ha una risposta TGS con un ticket Kerberos.

      3036    00:59:30.1848687    DCA.contoso.com    Client1.contoso.com    KerberosV5    KerberosV5:TGS Response Cname: John 
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      Sname: HTTP/iisserver.contoso.com
      

   7. Il processo di Microsoft Edge in ora Client1.contoso.com passa al server IIS con una richiesta AP Kerberos.

      3040    00:59:30.1853262    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /favicon.ico , Using GSS-API Authorization
      Authorization: Negotiate
      Authorization:  Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF
      SpnegoToken: 0x1
      NegTokenInit: 
      ApReq: KRB_AP_REQ (14)
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      

   8. Il server IIS risponde con una risposta che indica che l'autenticazione è stata completata.

      3044    00:59:30.1875763    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication
      WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy
      NegotiateAuthorization: 
      GssAPI: 0x1
      NegTokenResp: 
      ApRep: KRB_AP_REP (15)
      

6. Eseguire il klist tickets comando per esaminare il ticket Kerberos nell'output del comando in Client1.contoso.com.

   Client: John @ CONTOSO.COM
   Server: HTTP/iisserver.contoso.com @ CONTOSO.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/28/2022 0:59:30 (local)
   End Time:   11/28/2022 10:58:56 (local)
   Renew Time: 12/5/2022 0:58:56 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0
   Kdc Called: DCA.contoso.com
   

7. Esaminare l'ID evento 4624 nel server IIS che mostra il Success controllo:

• Per impostazione predefinita, i controlli o Failure sono abilitati in tutto il Success sistema operativo server di Windows. È possibile verificare se il controllo è abilitato dal comando seguente.

• Se il controllo non è abilitato, abilitare il controllo. Esaminare la categoria di accesso nell'elenco seguente. Come si può osservare, la sottocategoria di accesso è abilitata con Success and Failure.

  C:\>auditpol /get /Subcategory:"logon"
  System audit policy
  Category/Subcategory                      Setting
  Logon/Logoff
    Logon                                   Success and Failure
  

  Se non si osserva l'accesso con Success and Failure, eseguire il comando per abilitarlo:

  C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable
  The command was successfully executed.
  

Esaminare l'ID evento di sicurezza riuscita 4624 in IISServer.contoso.com

Osservare i campi seguenti:

• Logon type: 3 (accesso alla rete)
• Security ID in New Logon campo: Contoso\John
• Source Network Address: indirizzo IP del computer client
• Logon Process e Authentication Package: Kerberos

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/28/2022 12:59:30 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      IISServer.contoso.com
Description:
An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Information:
    Logon Type:        3
    Restricted Admin Mode:    -
    Virtual Account:        No
    Elevated Token:        No

Impersonation Level:        Impersonation

New Logon:
    Security ID:        CONTOSO\John
    Account Name:        John
    Account Domain:        CONTOSO.COM
    Logon ID:        0x1B64449
    Linked Logon ID:        0x0
    Network Account Name:    -
    Network Account Domain:    -
    Logon GUID:        {<GUID>}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    -
    Source Network Address:    192.168.2.101
    Source Port:        52655

Detailed Authentication Information:
    Logon Process:        Kerberos
    Authentication Package:    Kerberos

Risolvere i problemi relativi al flusso di lavoro di autenticazione

Per risolvere il problema, usare uno dei metodi seguenti.

• Verificare se è possibile risolvere il nome del server Web IIS (IISServer.contoso.com) da Client1.contoso.com.

• Verificare se il server DNS risponde all'indirizzo IP corretto del server IIS usando il cmdlet seguente:

  PS C:\> Resolve-DnsName -Name IISServer.contoso.com
  
  Name                                           Type   TTL   Section    IPAddress
  ----                                           ----   ---   -------    ---------
  IISServer.contoso.com                          A      1200  Answer     192.168.2.104
  

• Verificare se le porte di rete vengono aperte tra il computer client e il server Web IIS (IISServer.contoso.com) usando il cmdlet seguente:

  PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com                                                               
  
  ComputerName     : IISServer.contoso.com
  RemoteAddress    : 192.168.2.104
  RemotePort       : 80
  InterfaceAlias   : Ethernet 2
  SourceAddress    : 192.168.2.101
  TcpTestSucceeded : True
  

• Verificare se si riceve un ticket Kerberos dal controller di dominio.

  1. Aprire un normale prompt dei comandi (non un prompt dei comandi amministratore) nel contesto dell'utente che tenta di accedere al sito Web.

  2. Eseguire il comando klist purge.

  3. Eseguire il klist get http/iisserver.contoso.com comando come indicato di seguito:

     PS C:\> klist get http/iisserver.contoso.com
     
     Current LogonId is 0:0xa8a98b
     A ticket to http/iisserver.contoso.com has been retrieved successfully.
     
     Cached Tickets: (2)
     
     #0>     Client: John @ CONTOSO.COM
             Server: krbtgt/CONTOSO.COM @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0x1 -> PRIMARY
             Kdc Called: DCA.contoso.com
     
     #1>     Client: John @ CONTOSO.COM
             Server: http/iisserver.contoso.com @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0
             Kdc Called: DCA.contoso.com
     

     Si scoprirà che si ottiene un ticket Kerberos per il nome SPN http/IISServer.contoso.com nella Cached Ticket (2) colonna .

• Verificare se il servizio Web IIS è in esecuzione nel server IIS usando le credenziali predefinite.

  Aprire un normale prompt di PowerShell (non un prompt di PowerShell amministratore) nel contesto dell'utente che tenta di accedere al sito Web.

  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  
  
  StatusCode        : 200
  StatusDescription : OK
  Content           : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
                      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
                      <html xmlns="http://www.w3.org/1999/xhtml">
                      <head>
                      <meta http-equiv="Content-Type" cont...
  RawContent        : HTTP/1.1 200 OK
                      Persistent-Auth: true
                      Accept-Ranges: bytes
                      Content-Length: 703
                      Content-Type: text/html
                      Date: Mon, 28 Nov 2022 09:31:40 GMT
                      ETag: "3275ea8a1d91:0"
                      Last-Modified: Fri, 25 Nov 2022...
  

• Esaminare il registro eventi di sicurezza nel server IIS:

  • Registro eventi di esito positivo 4624
  • Registro eventi di errore 4625

• Processo di isolamento: è possibile usare la procedura di risoluzione dei problemi seguente per verificare se altri servizi nel server IIS possono elaborare l'autenticazione Kerberos.

  Prerequisiti:

  • Il server IIS deve eseguire una versione server di Windows.

  • Il server IIS deve avere una porta aperta per servizi come SMB (porta 445).

  • Creare una nuova condivisione o fornire all'utente John le autorizzazioni di lettura in una delle cartelle (ad esempio , Software$) già condivise nel computer.

    1. Accedere a Client1.contoso.com.

    2. Aprire Windows Explorer.

    3. Digitare \IISServer.contoso.com \Software$.

    4. Aprire Eventi di sicurezza in IISServer.contoso.com e verificare se si osserva l'ID evento 4624.

    5. Aprire un normale prompt dei comandi attivato Client1.contoso.com come utente John. Eseguire il klist tickets comando ed esaminare per il ticket CIFS/IISServer.contoso.com.

       #1>     Client: John @ CONTOSO.COM
               Server: cifs/iisserver.contoso.com @ CONTOSO.COM
               KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
               Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
               Start Time: 11/28/2022 1:40:22 (local)
               End Time:   11/28/2022 11:28:11 (local)
               Renew Time: 12/5/2022 1:28:11 (local)
               Session Key Type: AES-256-CTS-HMAC-SHA1-96
               Cache Flags: 0
               Kdc Called: DCA.contoso.com
       

    6. Raccogliere tracce di rete in Client1.contoso.com. Esaminare le tracce di rete per osservare quale passaggio non riesce in modo da poter restringere ulteriormente i passaggi e risolvere il problema.