Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как решить проблему, из-за которой пользователи не могут получить доступ к ресурсу, а журнал событий системы показывает событие Kerberos 4.
Исходный номер базы знаний: 2706695
Симптомы
В журнале событий системы показано по крайней мере одно событие Kerberos 4. Это событие на сервере, указывающее, что клиент предоставил серверу билет на доступ к ресурсу, который сервер не может расшифровать.
Истинный симптом заключается в том, что пользователю не удалось получить доступ к ресурсу. Наиболее вероятной ошибкой они получили доступ или ошибка 5.
Причина
Запросы на обслуживание Kerberos получаются клиентом и передаются на сервер для получения доступа к ресурсам на этом сервере. Они подписаны с помощью секрета, который может расшифровать только тот сервер, на котором запрашивается ресурс. Если имя субъекта-службы находится в неправильной учетной записи в Active Directory, то используется секрет, который используется, является одной из учетных записей, в которую входит имя участника-службы, а не один из серверов.
В результате сервер не может расшифровать билет и вернуть клиенту ошибку.
Решение
Чтобы устранить эту проблему, необходимо выполнить поиск и удаление имени субъекта-службы из альтернативной учетной записи, а затем добавить ее в правильную учетную запись в Active Directory. Для этого выполните следующие действия:
- В командной строке с повышенными привилегиями и с помощью учетных данных администратора предприятия выполните команду
setspn -Q <SPN>. При этом будет возвращено имя компьютера. SetSPN.exe устанавливается с ролью служб Active Directory или RSAT. - Удалите неправильно зарегистрированную имя субъекта-службы, перейдя в командную строку и выполнив команду
setspn -D <SPN> <computername>. - Добавьте имя участника-службы в правильную учетную запись в командной строке, выполнив команду
setspn -S <SPN> <computername of computer which had the System event 4>.
Дополнительная информация
Когда клиент запрашивает запрос на обслуживание, который он может передать по запросу контроллера домена. Затем клиент отправляет его на удаленный узел, на который он пытается пройти проверку подлинности.
Эта проблема может появиться в трассировке сети с ответом об ошибке с сервера ресурсов, отображающего ошибку KRB_AP_ERR_MODIFIED.
В этом сценарии удаленный сервер не может расшифровать билет, отправленный клиенту, так как пароль, используемый для шифрования, не является правильным. Это, в свою очередь, является результатом имени субъекта-службы для этой службы и билета на неправильный объект в AD. Это то, что вместо этого используется пароль других объектов. В этом сценарии сервер, который не может расшифровать билет, отвечает клиенту. Затем клиент помещает событие Kerberos 4 (пример ниже) в журнал событий системы. Менее часто это вызвано сетевыми проблемами между клиентом и сервером, где билет усечен.
Идентификатор события KERBEROS 4
Тип события: ошибка
Источник событий: Kerberos
Категория события: нет
Идентификатор события: 4
Дата: <DateTime>
Время: <DateTime>
Пользователь: Н/Д
Компьютер: MACHINENAMEDescription:
Клиент kerberos получил ошибку KRB_AP_ERR_MODIFIED от узла или machinename.childdomain.rootdomain.com сервера. Используемое целевое имя — cifs/machinename.domain.com. Это означает, что пароль, используемый для шифрования билета службы Kerberos, отличается от пароля на целевом сервере. Как правило, это связано с идентичными именованными учетными записями компьютера в целевой области (childdomain.rootdomain.COM), а также клиентской областью. Обратитесь к администратору системы.