Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
分析:
發生問題的 Server name 為 Proxy, 所以正確註冊的Server Name 為 HOST/proxy.domain.com.
如果有其他電腦註冊此 HOST/proxy.domain.com 就會出現此錯誤 Kerberos Event ID: 11
解決 Kerberos Event 11 Duplicate SPN做法如下:
使用 ldifde 撈出網域中所有SPN 來比對
1.開啟 Dos command執行以下指令:
ldifde -f spn.txt -d "dc=domain,dc=com" -r "serviceprincipalname=host/proxy*"
2.執行後, 請檢視 spn.txt .
dn: CN=ServerA,CN=Computers,DC=domain,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
cn: ServerA
distinguishedName: CN=ServerA,CN=Computers,DC=domain,DC=com
instanceType: 4
whenCreated: 20120207052445.0Z
whenChanged: 20120221091504.0Z
uSNCreated: 310137326
uSNChanged: 310786524
name: ServerA
objectGUID:: urgwg8lua0OqP5xTKUEH4w==
userAccountControl: 69632
pwdLastSet: 129742892969622361
primaryGroupID: 515
objectSid:: AQUAAAAAAAUVAAAAU7kUoC2TmURv0MGOgTEAAA==
sAMAccountName: ServerA$
sAMAccountType: 805306369
dNSHostName: proxy.domain.com
servicePrincipalName: HOST/proxy.domain.com
servicePrincipalName: HOST/ServerA
objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=domain,DC=com
dSCorePropagationData: 16010101000000.0Z
lastLogonTimestamp: 129739717790891547
DC端 Event Log:
DC1:
02/20/2012 09:06:19 AM 錯誤 DC1.domain.co 11 Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。
DC2:
02/20/2012 10:01:43 AM 錯誤 DC2.domain.co 11 Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。
DC3:
02/21/2012 08:06:20 AM 錯誤 DC3.domain.co 11 Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。