Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce informazioni utili per risolvere un problema a causa del quale gli utenti non riescono ad accedere a una risorsa e un registro eventi di sistema mostra l'evento Kerberos 4.
Numero KB originale: 2706695
Sintomi
Un registro eventi di sistema ha visualizzato almeno un evento Kerberos 4. Questo evento in un server indica che un client ha assegnato al server un ticket per l'accesso a una risorsa che il server non può decrittografare.
Il vero sintomo è che un utente non è riuscito ad accedere a una risorsa. L'errore più probabile ricevuto è stato un accesso negato o un errore 5.
Causa
I ticket di servizio Kerberos vengono ottenuti da un client e passati a un server per ottenere l'accesso alle risorse in tale server. Vengono firmati usando un segreto che solo il server con la risorsa richiesta può decrittografare. Quando il nome SPN si trova nell'account errato in Active Directory, il segreto usato è quello degli account su cui si trova il nome SPN anziché quello dei server.
Di conseguenza, il server non può decrittografare il ticket e restituisce un errore al client.
Risoluzione
Per risolvere questo problema, è necessario cercare e rimuovere il nome dell'entità servizio dall'account alternativo e quindi aggiungerlo all'account corretto in Active Directory. A tale scopo, seguire questa procedura:
- Al prompt dei comandi con privilegi elevati e usando le credenziali di amministratore dell'organizzazione eseguire il comando
setspn -Q <SPN>. Verrà restituito un nome computer. SetSPN.exe viene installato con il ruolo Servizi Active Directory o con Strumenti di amministrazione remota del server. - Rimuovere il nome SPN registrato in modo non corretto passando al prompt dei comandi ed eseguendo il comando
setspn -D <SPN> <computername>. - Aggiungere il nome SPN all'account corretto al prompt dei comandi eseguendo il comando
setspn -S <SPN> <computername of computer which had the System event 4>.
Ulteriori informazioni
Quando un client richiede un ticket di servizio che può passare lungo il controller di dominio lo rilascia. Il client lo invia quindi all'host remoto a cui sta tentando di eseguire l'autenticazione.
Questo problema può essere visualizzato in una traccia di rete con una risposta di errore dal server risorse che mostra l'errore KRB_AP_ERR_MODIFIED.
In questo scenario, il server remoto non può decrittografare il ticket inviato dal client perché la password usata per crittografarla non è quella corretta. Ciò, a sua volta, è il risultato del nome SPN per tale servizio e del ticket sull'oggetto non corretto in ACTIVE Directory. È che invece vengono usati altri oggetti password. In questo scenario, il server che non riesce a decrittografare il ticket risponde al client. Il client inserisce quindi l'evento Kerberos 4 (esempio di seguito) nel registro eventi di sistema. Meno comunemente ciò è causato da problemi di rete tra client e server in cui il ticket viene troncato.
ID evento KERBEROS 4
Tipo di evento: Errore
Origine evento: Kerberos
Categoria evento: Nessuna
ID evento: 4
Date: <DateTime>
Ora: <DateTime>
Utente: N/D
Computer: MACHINENAMEDescription:
Il client Kerberos ha ricevuto un errore di KRB_AP_ERR_MODIFIED dall'host del server/machinename.childdomain.rootdomain.com. Il nome di destinazione usato è cifs/machinename.domain.com. Ciò indica che la password usata per crittografare il ticket di servizio Kerberos è diversa da quella nel server di destinazione. In genere, ciò è dovuto agli account computer denominati in modo identico nell'area di autenticazione di destinazione (childdomain.rootdomain.COM) e all'area di autenticazione client. Contattare l'amministratore di sistema.