我们的域上存在多个 Kerberos 错误

问题描述 投票:0回答:1

有人可以帮助我吗?我们的域上存在数千个 Kerberos 错误,但我无法收集足够的信息来进行故障排除。它似乎在域中随处发生。我编写了一些从数据库同步到 AD 的软件,每次进行身份验证时它都会生成这些事件,但它仍然会成功。我真的不知道还要检查什么。

0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN
0x19 KDC_ERR_PREAUTH_REQUIRED

enter image description here

An error event occurred.  EventID: 0x80000003

Time Generated: 12/20/2024   08:30:41

Event String:
        A Kerberos error message was received:

         on logon session <omitted domain name>\dc-ch-2$

         Client Time:
         Server Time: 15:30:41.0000 12/20/2024 Z

         Error Code: 0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN

         Extended Error:

         Client Realm:
         Client Name:
         Server Realm: <omitted domain name>
         Server Name: krbtgt/<omitted domain name>
         Target Name: krbtgt/<omitted domain name>

         Error Text:

         File: onecore\ds\security\protocols\kerberos\client2\logonapi.cxx

         Line: e11

         Error Data is in record data.
active-directory kerberos
1个回答
0
投票

登录类型3表示网络登录。

0xC0000064 - “用户使用拼写错误或错误的用户帐户登录”。

0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN 表示服务主体名称 (SPN) 访问问题。

您似乎通过网络登录到 DC-CH-2,但由于计算机帐户和 Kerberos 不接受用户名(在本例中为计算机 $ 帐户)。

  • 请检查脚本中涉及的计算机之间的时间同步。这应该最多 5 分钟(Kerberos 要求)服务器设置是否为 GMT-7,我在日志中看到了 7 小时的差异。

  • 请在 DC-CH-2 上运行 dcdiag 以查看任何重大问题。

  • 使用 PDC 仿真器角色检查 DC-CH-2 计算机安全通道: netdom 验证 /d:.

如果安全通道出现问题,应重置或者如果这是域控制器,则可能需要重新安装此角色。

  • 请同时检查 setspn -L DC-CH-2。该列表应该与其他域控制器类似。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.