Delen via

Richtlijnen voor het oplossen van problemen met Kerberos-verificatie

Deze handleiding bevat basisconcepten die u kunt volgen wanneer u Kerberos-verificatieproblemen oplost.

Belangrijk

Dit artikel bevat algemene richtlijnen. Mogelijk moet u de procedures en voorbeelden aanpassen die hier worden weergegeven om te kunnen werken voor uw specifieke configuratie.

Controlelijst voor probleemoplossing

Het Kerberos-protocol is afhankelijk van verschillende infrastructuuronderdelen en -services. Als een van deze onderdelen of services niet beschikbaar is of niet werkt, kunnen er verificatieproblemen optreden.

1. Gebeurtenissen en logboeken controleren

Controleer de gebeurtenislogboeken op aanwijzingen van een probleem. Gebruik Logboekviewer om de beveiligings- en systeemlogboeken te bekijken op de systemen die een rol spelen in de verificatiebewerking:

  • De authenticatieclient
  • De doelserver of -service
  • De domeincontroller

Zoek met name naar gebeurtenissen uit bronnen die betrekking kunnen hebben op Kerberos-verificatie of de services waarop deze is gebaseerd, zoals de volgende bronnen:

  • Kerberos
  • Key Distribution Center (Sleutel distributiecentrum - KDC)
  • LSA (LsaSrv)
  • Netlogon

Controleer op de doelserver het beveiligingslogboek op mislukte controles. Dergelijke fouten kunnen aantonen dat het Kerberos-protocol wordt gebruikt wanneer er een verificatiefout optreedt.

Sommige gebeurtenissen of fouten geven specifieke problemen aan. Als een van de betrokken computers een van de volgende gebeurtenissen of fouten heeft geregistreerd, selecteert u de koppeling voor gedetailleerdere informatie over probleemoplossing.

Gebeurtenis of fout Probleemoplossingsinformatie
Gebeurtenis-id 4, fout KERB_AP_ERR_MODIFIED De client kan het serviceticket niet ontsleutelen. Omdat meer dan één probleem deze fout kan veroorzaken, controleert u op gerelateerde gebeurtenissen. Deze tekenreeks kan bijvoorbeeld betekenen dat de klok van de client en de doelserver niet synchroon is of dat de SPN niet uniek is. In een omgeving met meerdere domeinen is de naam van het serviceaccount mogelijk niet uniek in het forest (of andere vertrouwde forests).
Zie De kerberos-client heeft een KRB_AP_ERR_MODIFIED fout ontvangen van de server en Kerberos genereert KDC_ERR_S_PRINCIPAL_UNKNOWN of KDC_ERR_PRINCIPAL_NOT_UNIQUE fout voor meer informatie.
Gebeurtenis-id 4, fout KERB_AP_ERR_SKEW Zorg ervoor dat de computerklokken zijn gesynchroniseerd
Gebeurtenis-id 14 Fout 'Niet-ondersteund etype' bij het toegang krijgen tot een resource in een vertrouwd domein
Gebeurtenis-id 16 of gebeurtenis-id 27 KDC-gebeurtenis-id 16 of 27 wordt geregistreerd als DES voor Kerberos is uitgeschakeld
Gebeurtenis-id 27 KDC-fouten op Windows Server 2003-domeincontrollers
Fout 1069 Serviceaanmeldingen mislukken vanwege onjuiste instelling van Service Principal Names (SPN's)
Gebeurtenis-id 5719, fout 1311 of fout 1355 Gebeurtenis-id 5719, fout 1311 of fout 1355 - domeincontroller of domein niet gevonden

Als u een probleem verifieert dat u moet oplossen, lost u dat probleem eerst op en probeert u opnieuw te verifiëren voordat u doorgaat.

2. Infrastructuur controleren

een. Zorg ervoor dat de client-app en de doelservice zich niet op dezelfde computer bevinden

Als de client-app en de doelservice standaard op één computer zijn geïnstalleerd, is Kerberos uitgeschakeld. Als u de clienttoepassing en de doelservice niet op afzonderlijke computers kunt installeren, moet u specifieke beveiligingsinstellingen in Windows wijzigen. Daarnaast moet u mogelijk een registersleutel wijzigen. Zie het foutbericht wanneer u lokaal toegang probeert te krijgen tot een server voor meer informatie over de problemen die betrekking hebben op dit scenario en de specifieke instellingen die hierop van invloed zijn.

Als u wijzigingen hebt aangebracht, probeert u opnieuw te verifiëren voordat u doorgaat.

b. Controleer of de clientcomputer, doelserver en resourceservers zijn gekoppeld aan de juiste domeinen

Voeg zo nodig de clientcomputer of doelserver toe aan een geschikt domein. Probeer vervolgens opnieuw om te verifiëren.

Notitie

In deze context zijn 'juiste domeinen' domeinen binnen één forest of binnen een set forests met vertrouwensrelaties.

Hoofdstuk c. Controleer de status van de doelserver en de ondersteunende services

Zorg ervoor dat toepassings- of front-endservices (zoals webservices) en back-endservices (zoals SQL Server-service) worden uitgevoerd.

Notitie

Mogelijk ontvangt u een bericht dat lijkt op 'Een service heeft fout 1069 gegenereerd: de service is niet gestart vanwege een aanmeldingsfout'. Als u dit bericht ontvangt, ziet u dat serviceaanmeldingen mislukken vanwege onjuist instellen van SPN's.

d. Zorg ervoor dat de juiste poorten beschikbaar zijn

Controleer alle firewalls (inclusief Windows Firewall op elke computer) tussen de clientcomputer, de domeincontroller en de doelserver. Zorg ervoor dat verkeer is toegestaan op de volgende poorten.

Notitie

Deze lijst maakt gebruik van de indeling server:clientpoort,serverpoort.

  • DHCP: 67 (UDP), 67 (UDP)
  • DNS: 49152 -65535 (TCP, UDP), 53 (TCP, UDP)
  • HTTPS, inclusief verificatie op basis van certificaten: 443 (TCP), 443 (TCP)
  • Kerberos: 49152 -65535 (TCP, UDP), 88 (TCP, UDP)
  • Kerberos-wachtwoordwijziging: 49152 -65535 (TCP), 464 (TCP, UDP)
  • LDAP, inclusief DC-locator: 49152 -65535 (TCP, UDP), 389 (TCP, UDP)
  • LDAP SSL: 49152 -65535 (TCP), 636 (TCP)
  • SMB: 49152 -65535 (TCP, UDP), 445 (TCP)
  • RPC-eindpunttoewijzing: 49152 -65535 (TCP), 135 (TCP)
  • RPC voor LSA, SAM, NetLogon: 49152 -65535 (TCP), 49152-65535 (TCP)
  • W32Time: 49152 -65535 (UDP), 123 (UDP)

Als u wijzigingen aanbrengt in firewallinstellingen, probeert u opnieuw te verifiëren.

e. Controleren of domeincontrollers beschikbaar zijn

Wanneer de client probeert contact op te maken met een service of toepassing (aangeduid als de doelserver), vereisen zowel de client als de doelserver een domeincontroller om verificatie, autorisatie en delegering te vergemakkelijken.

Open op de clientcomputer een opdrachtpromptvenster met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit:

nltest /dsgetdc:<DomainName> /force /kdc

Notitie

In deze opdracht <vertegenwoordigt DomainName> de naam van het domein van de computer waaruit u een query uitvoert.

Met de nltest opdracht wordt een lijst met beschikbare domeincontrollers opgehaald (hoewel de lijst mogelijk niet alle beschikbare domeincontrollers bevat). Noteer de volledig gekwalificeerde domeinnamen en IP-adressen van deze domeincontrollers voor gebruik in latere procedures.

Als de client of doelserver geen contact kan maken met een domeincontroller, ontvangt u een bericht dat lijkt op het volgende (soms aangeduid als 'fout 1355'):

Het opgegeven domein bestaat niet of er kan geen contact mee worden gemaakt.

Als u dit bericht ontvangt, raadpleegt u gebeurtenis-id 5719, fout 1311 of fout 1355 - domeincontroller of domein niet gevonden voor meer informatie over probleemoplossing. Ga anders door met deze controlelijst.

f. Controleer of DNS werkt tussen de client en de doelserver

Open op de clientcomputer een opdrachtpromptvenster met beheerdersrechten en voer vervolgens de volgende opdracht uit:

nslookup <TargetName>

Notitie

In deze opdracht <vertegenwoordigt TargetName> de NetBIOS-naam van de doelserver.

Als de opdracht de nslookup naam van de doelserver correct oplost, is de DNS-configuratie juist. Als de opdracht de naam van de doelserver niet oplost, volgt u deze stappen om de netwerkadapterconfiguratie van de clientcomputer te controleren:

  1. Voer op de clientcomputer de volgende opdracht uit:

    ipconfig /all

  2. Bepaal in de uitvoer van de opdracht welke netwerkadapter wordt gebruikt. Controleer de volgende adapterinstellingen:

    • IP-adres van client

    • Subnetmasker

    • Standaardgateway

    • Verbindingsspecifiek DNS-achtervoegsel

    • IP-adressen van DNS-server

      Noteer de IP-adressen en noteer welke DNS-server de voorkeur heeft en welke secundair is. Deze informatie is handig voor latere probleemoplossing.

    Als een van deze instellingen onjuist is, herstelt u deze of neemt u contact op met uw DNS-beheerder voor hulp. Als u wijzigingen hebt aangebracht, voert u deze opnieuw uit nslookup <TargetName> .

Als DNS nog steeds niet goed werkt, voert u de volgende stappen uit:

  1. Voer de volgende opdracht uit op de clientcomputer:

    nslookup <ClientName> <DNSIPAddress>

    Notitie

    In deze opdracht <vertegenwoordigt ClientName> de NetBIOS-naam van de clientcomputer en <DNSIPAddress> vertegenwoordigt het IP-adres van een van de DNS-servers die de client is geconfigureerd voor gebruik. Gebruik eerst het IP-adres van de voorkeurs-DNS-server die u in de vorige procedure hebt vastgelegd. Als de opdracht niet werkt, probeert u het opnieuw met behulp van het IP-adres van de secundaire DNS-server van de client.

    Als de naam van de clientcomputer bijvoorbeeld 'client1' is en het IP-adres van de voorkeurs-DNS-server van de client 10.0.0.1 is, voert u de volgende opdracht uit:

    nslookup client1 10.0.0.1

  2. Voer dezelfde opdracht uit vanaf de doelserver. Deze lijkt nu op de volgende opdracht:

    nslookup <TargetName> <DNSIPAddress>

    Notitie

    In deze opdracht <vertegenwoordigt TargetName> de NetBIOS-naam van de doelserver en <DNSIPAddress> vertegenwoordigt het IP-adres van een van de DNS-servers die de doelserver is geconfigureerd voor gebruik. Gebruik eerst het IP-adres van de voorkeurs-DNS-server die u in de vorige procedure hebt vastgelegd. Als de opdracht niet werkt wanneer u deze voor het eerst uitvoert, probeert u het opnieuw met het IP-adres van de secundaire DNS-server van de doelserver.

    Als de naam van de doelserver bijvoorbeeld 'WebServer1' is en het IP-adres van de voorkeurs-DNS-server van de doelserver 10.0.0.1 is, voert u de volgende opdracht uit:

    nslookup WebServer1 10.0.0.1

    De volgende tabel bevat een overzicht van de mogelijke resultaten van de nslookup query's en de gevolgen ervan.

    Doelzoekopdracht
    Slaagt    		 Doelzoekopdracht
    Mislukt
    Clientquery
    Slaagt    		 Geen DNS-probleem Probleem dat van invloed is op het doel of ten minste één DNS-server
    Clientquery
    Mislukt    		 Probleem dat van invloed is op de client of ten minste één DNS-server Probleem dat van invloed is op een of meer DNS-servers

Als de queryresultaten aangeven dat u een DNS-probleem hebt, raadpleegt u de volgende artikelen voor meer hulp:

Als u het DNS-probleem oplost, maar het Kerberos-probleem blijft bestaan, probeert u de volgende probleemoplossingsmethoden.

gram. Zorg ervoor dat de computerklokken zijn gesynchroniseerd

De clientcomputer of de doelserver kan tickets opslaan voor toekomstig gebruik. Elk ticket heeft echter tijdstempels die de levensduur (time to live, TTL) bepalen. De Kerberos Key Distribution Center-service, die wordt uitgevoerd op de domeincontrollers, stelt de tijdstempels in.

Het verschil in tijd tussen de domeincontroller en de clientcomputer of de doelserver moet minder dan vijf minuten duren. Als de klokken niet worden gesynchroniseerd, kunnen ze in Windows automatisch opnieuw worden gesynchroniseerd. Er zijn twee gevallen waarin u mogelijk actie moet ondernemen:

  • De klokken zijn meer dan 48 uur niet gesynchroniseerd.
  • De niet-synchronisatieklok gebruikt geen domeincontroller in het domein als tijdserver of gebruikt niet dezelfde tijdserver als die domeincontrollers.

Om dit probleem op te lossen, moet de betreffende computer het netwerk opnieuw controleren op tijdservers en vervolgens een eigen klok opnieuw synchroniseren. Als u deze acties wilt inschakelen, opent u een opdrachtpromptvenster met beheerdersrechten en voert u de volgende opdracht uit:

w32tm /resync /computer:<Target> /rediscover

Notitie

In deze opdracht <vertegenwoordigt Target> de computer die u configureert. Met /rediscover de optie wordt de computer geïnstrueerd om het netwerk te controleren op nieuwe of bijgewerkte tijdbronnen.

Voor meer informatie over de opties die beschikbaar zijn voor de w32tm opdracht, zie Windows Time-servicehulpprogramma's en -instellingen: Opdrachtregelparameters voor W32Time.

Als u de klokken opnieuw wilt synchroniseren, probeert u opnieuw te verifiëren.

h. Status van Windows Update controleren

Zorg ervoor dat alle domeincontrollers, de clientcomputer en de doelserver allemaal relevante Windows-updates hebben.

Als u updates hebt geïnstalleerd, start u de betreffende computers opnieuw op en probeert u opnieuw te verifiëren.

i. Status van toepassingsupdate controleren

Zorg ervoor dat de client- en servertoepassingen up-to-date zijn op de clientcomputer en de doelserver. Als u updates installeert, start u de betreffende computers opnieuw op en probeert u opnieuw te verifiëren.

j. De computers opnieuw opstarten

Als u de clientcomputer, doelserver of domeincontroller nog niet opnieuw hebt opgestart, start u deze nu opnieuw op. Nadat de computers opnieuw zijn opgestart, probeert u opnieuw te verifiëren.

Als uw infrastructuur in orde is en u nog steeds een probleem hebt, gaat u verder met de geavanceerdere procedures voor probleemoplossing.

3. Tracerings- en ticketgegevens verzamelen

In de volgende procedures wordt het gratis hulpprogramma Network Monitor gebruikt. Download en installeer het hulpprogramma op zowel de clientcomputer als de doelserver. Zie Kerberos-fouten in netwerkopnamen voor een voorbeeld van het gebruik van Netwerkmonitor om traceringsgegevens te verzamelen en Kerberos-berichten te identificeren.

een. Gelijktijdige netwerktraceringen verzamelen

Voer op de clientcomputer de volgende stappen uit:

  1. Voer een van de volgende handelingen uit:

    • Start de clientcomputer opnieuw op.
    • Meld u af bij het account dat u gebruikt om problemen op te lossen en meld u vervolgens opnieuw aan.
    • Sluit de clienttoepassing en open deze opnieuw.

  2. Start met traceren. Volg hiervoor deze stappen:

    1. Selecteer Start en typ netmon.
    2. Klik in de zoekresultaten met de rechtermuisknop op Microsoft Network Monitor 3.4 en selecteer Vervolgens Uitvoeren als administrator (selecteer Ja in het venster Gebruikersaccountbeheer).
    3. Selecteer Start in Network Monitor.

  3. Open een beheeropdrachtpromptvenster en voer vervolgens de volgende opdrachten op volgorde uit:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Voer op de doelserver de volgende stappen uit:

  1. Open Network Monitor als beheerder en selecteer vervolgens Start.

  2. Open een beheeropdrachtpromptvenster en voer vervolgens de volgende opdrachten op volgorde uit:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Probeer het probleem te reproduceren, stop de traceringen en sla ze op zowel de client-computer als de doel-server op. Als u dit wilt doen, selecteert u In Netwerkmonitor stoppen en selecteert u Opslaan als.

b. Ticketgegevens vastleggen

Nadat u uw probleem hebt gereproduceerd en de tracering hebt gestopt, controleert u de Kerberos-tickets die zijn gegenereerd tijdens het opnemen van traceringsgegevens. Voer bij de opdrachtprompt op de clientcomputer en op de doelserver de volgende opdracht uit:

klist tickets

Met deze opdracht wordt een lijst met tickets gegenereerd. U kunt deze informatie kopiëren naar een andere toepassing (zoals Kladblok), zodat u deze in latere procedures voor probleemoplossing kunt gebruiken.

4. Controleer de traceringsgegevens voor Kerberos-berichten

U kunt Network Monitor gebruiken om gegevens in capture-bestanden te controleren, te filteren en te doorzoeken. Zoek met name naar gebeurtenissen die zijn gelabeld met 'KerberosV5'. Deze gebeurtenissen bieden statusinformatie. Ze kunnen ook de namen of IP-adressen weergeven van domeincontrollers die zijn gecontacteerd en de SPN (Service Principal Name) van de service die de client probeerde te bereiken.

Gebeurtenisbeschrijvingen die tekenreeksen bevatten die er ongeveer als volgt uitzien, maken deel uit van typische Kerberos-functies:

  • KerberosV5:KRB_Error -KDC_ERR_PREAUTH_REQUIRED
  • KerberosV5:AS-aanvraag
  • KerberosV5:AS Antwoord
  • KerberosV5:TGS-aanvraag
  • KerberosV5:TGS-antwoord
  • KerberosV5:AP-aanvraag
  • KerberosV5:AP-antwoord

Notitie

U kunt netwerkmonitor ook gebruiken om de traceringsgegevens te controleren op ticketinformatie in HTTP GET-aanvragen. Als de ticketgegevens ontbreken in de GET-aanvraag, is er een probleem opgetreden bij het gebruik van Kerberos-verificatie.

Gebeurtenisbeschrijvingen die tekenreeksen bevatten die lijken op het volgende, betekent dat er een probleem is. De volgende lijst bevat enkele van de meest voorkomende fouten. Als u een van deze tekenreeksen ziet, noteert u servernamen, IP-adressen en SPN's voor later gebruik.

  • KDC_ERR_PRINCIPAL_NOT_UNIQUE of KDC_ERR_S_PRINCIPAL_UNKNOWN. De aangevraagde SPN is gekoppeld aan meer dan één account of is niet gekoppeld aan een account. Zie voor hulp bij het oplossen van een van deze problemen Kerberos genereert KDC_ERR_S_PRINCIPAL_UNKNOWN of KDC_ERR_PRINCIPAL_NOT_UNIQUE fout.

  • KRB_AP_ERR_MODIFIED. De client kan het serviceticket niet ontsleutelen. Meer dan één probleem kan deze fout veroorzaken. Bekijk de traceringsgegevens voor andere fouten die bij KRB_AP_ERR_MODIFIED horen. Controleer de gebeurtenislogboeken voor gebeurtenis-id 4 en andere gerelateerde gebeurtenissen, zoals beschreven in 1. Controleer gebeurtenissen en logboeken.

  • ERB_AP_ERR_SKEW. De klok van de client- en doelserver is niet gesynchroniseerd. Zie Controleren of de computerklokken zijn gesynchroniseerd voor meer informatie.

  • KDC_ERR_ETYPE_NOTSUPP. Een of meer van de onderdelen die betrokken zijn bij verificatie, maken gebruik van een versleutelingstype dat is uitgeschakeld voor andere onderdelen. Raadpleeg de gebeurtenislogboeken voor meer informatie over welke onderdelen en welke versleutelingstypen betrokken zijn, zoals beschreven in 1. Controleer gebeurtenissen en logboeken.

Bekende problemen en oplossingen

HTTP 400 - Probleem met ongeldige aanvraag (aanvraagheader te lang)

Als een gebruiker deel uitmaakt van een groot aantal groepen (bijvoorbeeld meer dan 1000 groepen), kan Kerberos de gebruikerstoegang weigeren omdat de aanvraag niet correct wordt verwerkt. Zie de volgende artikelen voor meer informatie over dit probleem:

Serviceproblemen

Serviceproblemen omvatten doorgaans de SPN en het serviceaccount. De SPN is bijvoorbeeld mogelijk onjuist, ontbreekt, is geconfigureerd voor het onjuiste account of is geconfigureerd voor meer dan één account. De controlelijst voor probleemoplossing in dit artikel a. Verzamel gelijktijdige netwerktraceringen zoals eerder besproken in dit artikel. Als u al een veelvoorkomend SPN-probleem hebt vastgesteld, raadpleegt u de volgende artikelen:

Problemen met eenmalige aanmelding (SSO)

Eenmalige aanmelding is een verificatiemethode waarmee gebruikers zich kunnen aanmelden met één set referenties voor meerdere systemen of toepassingen binnen één intranet. Om correct te kunnen werken, moeten zowel de doelservice (of het front-endonderdeel van de doelservice) als de client over de juiste instellingen beschikken. Zie Problemen met eenmalige aanmelding van Kerberos oplossen voor informatie over het oplossen van deze instellingen.

Problemen met delegering

Wanneer uw doelservice afzonderlijke front-end- en back-endonderdelen heeft, kan Kerberos clientreferenties (inclusief toegangsmachtigingen) delegeren aan een serviceaccount. In eenvoudige termen heeft de client toegang tot de front-endservice en vervolgens heeft de front-endservice toegang tot de back-endservice namens de client.

Kerberos ondersteunt drie typen delegatie:

  • Ongelimiteerde delegatie. Nadat de client toegang heeft tot de front-endservice, heeft de front-endservice namens de client toegang tot elke andere service. Deze configuratie is het eenvoudigst te implementeren, maar is ook het minst veilig. We raden niet-beperkte delegering niet aan, omdat hiermee niet wordt beperkt met welke services het geverifieerde account kan communiceren.
  • Beperkte delegatie. De front-endservice onderhoudt een lijst met services waartoe deze namens een client toegang heeft.
  • Beperkingen op delegatie op basis van hulpbronnen (RBCD). De back-endservice onderhoudt een acceptatielijst met front-endservices die namens een client toegang tot de back-endservice kunnen aanvragen.

Notitie

Als u een probleem ondervindt wanneer u beperkte delegatie samen met CIFS gebruikt, zie Beperkte delegatie voor CIFS mislukt met fout ACCESS_DENIED.

Belangrijk

  • Configureer de beperkte delegering en de RBCD niet op dezelfde set front-end- en back-end-servers.

    Beperkte delegatie en RBCD zijn verschillende configuraties en sluiten elkaar wederzijds uit. Wanneer een frontend-service een ticket aanvraagt voor een backend-service, controleert de KDC eerst de frontend-service op beperkte delegatie. Als beperkte delegering niet is geconfigureerd voor de front-endservice, controleert de KDC de back-endservice op beperkte delegering op basis van resources. Vanwege deze reeks heeft beperkte delegering voorrang op resourcegebaseerde delegering.

  • Standaard biedt Microsoft Edge geen ondersteuning voor niet-beperkte delegatie. Als u onbeperkte delegatie gebruikt, raadpleeg Kerberos onbeperkte double-hop-authenticatie met Microsoft Edge (Chromium) voor meer informatie over de configuratie die u nodig heeft.

  • Onbeperkte delegering wordt niet aanbevolen omdat hiermee niet wordt beperkt met welke services het geauthenticeerde account kan communiceren.

Ondersteunde topologietypen

De verschillende delegatietypen stellen verschillende vereisten op uw topologie. De volgende tabel bevat drie algemene typen topologie en welke typen delegatie (indien aanwezig) worden ondersteund voor elk type.

Topologietype Onbeperkte delegering Beperkte delegering RBCD
Alle services bevinden zich in één domein Ondersteund (niet aanbevolen) Ondersteund Ondersteund
Front-end- en back-endservices bevinden zich in verschillende domeinen Ondersteund (niet aanbevolen) Niet ondersteund Ondersteund
Front-end- en back-endservices bevinden zich in verschillende (vertrouwde) forests Ondersteund* (niet aanbevolen) Niet ondersteund Ondersteunde*

* Zorg ervoor dat het serviceaccount van de front-endservice kan worden geverifieerd in de vertrouwensrelatie met de vertrouwde domeincontroller.

Problemen met specifieke delegatietypen oplossen

De configuratiedetails voor delegering verschillen, afhankelijk van het type delegatie dat u gebruikt en het type account dat de front-endservice gebruikt. Raadpleeg de volgende artikelen voor meer informatie over het oplossen van delegeringsproblemen:

Een testscenario voor logboekanalyse gebruiken om problemen met Kerberos-verificatie op te lossen

Zie Een testscenario voor logboekanalyse gebruiken om problemen met Kerberos-verificatie op te lossen voor geavanceerde Kerberos-tests en probleemoplossing.