Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera pomoc w rozwiązaniu problemu polegającego na tym, że użytkownicy nie mogą uzyskać dostępu do zasobu, a dziennik zdarzeń systemu pokazuje zdarzenie Kerberos 4.
Oryginalny numer KB: 2706695
Symptomy
W dzienniku zdarzeń systemu pokazano co najmniej jedno zdarzenie Protokołu Kerberos 4. To zdarzenie na serwerze wskazujące, że klient dał serwerowi bilet dostępu do zasobu, którego serwer nie może odszyfrować.
Prawdziwym objawem jest to, że użytkownik nie może uzyskać dostępu do zasobu. Najbardziej prawdopodobnym błędem, który otrzymał, był odmowa dostępu lub błąd 5.
Przyczyna
Bilety usługi Kerberos są uzyskiwane przez klienta i przekazywane do serwera w celu uzyskania dostępu do zasobów na tym serwerze. Są one podpisane przy użyciu wpisu tajnego, który może odszyfrować tylko ten serwer, na którym jest żądany zasób. Gdy nazwa SPN znajduje się na niewłaściwym koncie w usłudze Active Directory, używany wpis tajny jest jednym z kont, na których znajduje się nazwa SPN zamiast jednego z serwerów.
W związku z tym serwer nie może odszyfrować biletu i zwraca błąd klientowi.
Rozwiązanie
Aby rozwiązać ten problem, należy wyszukać i usunąć nazwę główną usługi z alternatywnego konta, a następnie dodać ją do poprawnego konta w usłudze Active Directory. W tym celu wykonaj następujące kroki:
- W wierszu polecenia z podwyższonym poziomem uprawnień i przy użyciu poświadczeń administratora przedsiębiorstwa uruchom polecenie
setspn -Q <SPN>. Spowoduje to zwrócenie nazwy komputera. SetSPN.exe jest instalowany z rolą usług Active Directory Lub RSAT. - Usuń niepoprawnie zarejestrowaną nazwę SPN, przechodząc do wiersza polecenia i uruchamiając polecenie
setspn -D <SPN> <computername>. - Dodaj nazwę SPN do poprawnego konta w wierszu polecenia, uruchamiając polecenie
setspn -S <SPN> <computername of computer which had the System event 4>.
Więcej informacji
Gdy klient żąda biletu usługi, który może przekazać wraz z kontrolerem domeny, wystawia go. Następnie klient wysyła go do hosta zdalnego, do którego próbuje się uwierzytelnić.
Ten problem może pojawić się w śladzie sieci z odpowiedzią o błędzie z serwera zasobów z wyświetlonym błędem KRB_AP_ERR_MODIFIED.
W tym scenariuszu serwer zdalny nie może odszyfrować biletu wysłanego do niego klienta, ponieważ hasło użyte do jego zaszyfrowania nie jest właściwe. To z kolei jest wynikiem nazwy SPN dla tej usługi i biletu na nieprawidłowy obiekt w usłudze AD. Jest to, że inne obiekty hasło, które jest używane zamiast tego. W tym scenariuszu serwer, który nie może odszyfrować biletu odpowiada klientowi. Następnie klient umieszcza zdarzenie Kerberos 4 (na przykład poniżej) w dzienniku zdarzeń systemu. Rzadziej jest to spowodowane problemami z siecią między klientem a serwerem, na którym bilet jest obcięty.
Identyfikator zdarzenia PROTOKOŁU KERBEROS 4
Typ zdarzenia: Błąd
Źródło zdarzenia: Kerberos
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 4
Data: <Data/godzina>
Godzina: <Data/godzina>
Użytkownik: Nie dotyczy
Komputer: MACHINENAMEDescription:
Klient protokołu Kerberos otrzymał błąd KRB_AP_ERR_MODIFIED z hosta/machinename.childdomain.rootdomain.com serwera. Użyta nazwa docelowa to cifs/machinename.domain.com. Oznacza to, że hasło używane do szyfrowania biletu usługi kerberos różni się od hasła na serwerze docelowym. Często jest to spowodowane identycznymi nazwami kont maszyn w obszarze docelowym (childdomain.rootdomain.COM) i obszarem klienta. Skontaktuj się z administratorem systemu.