Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece ajuda para resolver um problema em que os usuários não conseguem acessar um recurso e um log de eventos do sistema mostra o evento Kerberos 4.
Número original do KB: 2706695
Sintomas
Um log de eventos do sistema mostrou pelo menos um evento Kerberos 4. Este é um evento em um servidor que indica que um cliente deu ao servidor um tíquete para acesso a um recurso que o servidor não pode descriptografar.
O verdadeiro sintoma é que um usuário não conseguiu obter acesso a um recurso. O erro mais provável que eles receberam foi um acesso negado ou erro 5.
Causa
Os tíquetes de serviço Kerberos são obtidos por um cliente e passados para um servidor para obter acesso aos recursos nesse servidor. Eles são assinados usando um segredo que somente o servidor que tem o recurso que está sendo solicitado pode descriptografar. Quando o SPN está na conta errada no Active Directory, o segredo usado é a das contas em que o SPN está, e não a dos servidores.
Como resultado, o servidor não pode descriptografar o tíquete e retorna um erro ao cliente.
Solução
Para resolver esse problema, o nome da entidade de serviço deve ser pesquisado e removido da conta alternativa e, em seguida, deve ser adicionado à conta correta no Active Directory. Para fazer isso, siga estas etapas:
- Em um prompt de comando elevado e usando credenciais de administrador corporativo, execute o comando
setspn -Q <SPN>. Isso retornará um nome de computador. SetSPN.exe é instalado com a função Serviços de Diretório do Active Directory ou com RSAT. - Remova o SPN registrado incorretamente acessando o prompt de comando e executando o comando
setspn -D <SPN> <computername>. - Adicione o SPN à conta correta no prompt de comando executando o comando
setspn -S <SPN> <computername of computer which had the System event 4>.
Mais informações
Quando um cliente solicita um tíquete de serviço que pode ser repassado, o controlador de domínio o emite. Em seguida, o cliente o envia para o host remoto no qual está tentando se autenticar.
Esse problema pode aparecer em um rastreamento de rede com uma resposta de erro do servidor de recursos mostrando o erro KRB_AP_ERR_MODIFIED.
Nesse cenário, o servidor remoto não pode descriptografar o tíquete que o cliente enviou a ele, pois a senha usada para criptografá-lo não é a correta. Isso, por sua vez, é o resultado do SPN para esse serviço e tíquete estar no objeto incorreto no AD. É essa senha de outros objetos que é usada em vez disso. Nesse cenário, o servidor que não pode descriptografar o tíquete responde ao cliente. Em seguida, o cliente coloca o evento Kerberos 4 (exemplo abaixo) em seu log de eventos do sistema. Menos comumente, isso é causado por problemas de rede entre o cliente e o servidor em que o tíquete é truncado.
KERBEROS ID do evento 4
Tipo de Evento: Erro
Origem do evento: Kerberos
Categoria do Evento: Nenhum
ID do evento: 4
Data: <Data/hora>
Hora: <Data/hora>
Usuário: N/A
Computador: MACHINENAMEDescrição:
O cliente kerberos recebeu um erro KRB_AP_ERR_MODIFIED do host/machinename.childdomain.rootdomain.com do servidor. O nome de destino usado foi cifs/machinename.domain.com. Isso indica que a senha usada para criptografar o tíquete de serviço Kerberos é diferente da senha do servidor de destino. Normalmente, isso ocorre devido a contas de máquina com nomes idênticos na região de destino (childdomain.rootdomain.COM) e na região do cliente. Entre em contato com o administrador do sistema.