[adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC

• From: Andreas Michelfeit <Andreas.Michelfeit@xxxxxxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Fri, 10 Sep 2010 07:42:36 +0000

Guten Morgen,

ich denke, daß Du eventuell doppelte SPNs hast.

Kannst Du mal auf dem DC setspn -X ausführen?

Vermutlich hast Du irgendwo noch einen SPN mit dem Namen Memberserver$, das 
solltest Du durch setspn herausfinden können.



Diese Artikel könnten helfen:

http://technet.microsoft.com/en-us/library/cc733987(WS.10).aspx

http://msdn.microsoft.com/en-us/library/ms677949(VS.85).aspx



Andreas





-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von 
CBarth@xxxxxxxxxxxxxxxx
Gesendet: Freitag, 10. September 2010 09:35
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Kerberos Probleme nach installation zusätzlichem DC





Hallo AD Profis,

ich habe in unserem AD einen zusätzlichen DC mit 2008R2 installiert (allerdings 
nicht der erste R2).

Seitdem habe ich bei einigen Server hin und wieder das Problem, dass die 
Anmeldung nicht funktioniert. Man kann sich dann nur noch lokal anmelden.

Nach einem Reboot funktioniert es wieder.



Im Eventlog der Member Server und dem DC erscheint:



Protokollname: System

Quelle:        Microsoft-Windows-Security-Kerberos

Datum:         09.09.2010 20:34:04

Ereignis-ID:   4

Aufgabenkategorie:Keine

Ebene:         Fehler

Schlüsselwörter:Klassisch

Benutzer:      Nicht zutreffend

Beschreibung:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server 
"memberserver$" empfangen. Der verwendete Zielname war memberserver$. Dies 
deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token 
nicht entschlüsseln konnte. Dies kann auftreten, wenn der 
Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der 
Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto 
registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei 
diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein 
anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom 
Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. 
Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die 
Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername 
nicht vollqualifiziert ist und sich die Zieldomäne (AD.local) von der 
Clientdomäne (AD.local) unterscheidet, prüfen Sie, ob sich in diesen beiden 
Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den 
vollqualifizierten Namen, um den Server zu identifizieren.





Ich vermute ein Problem mit der Kerberos Verschlüsselung, aber die Einstellung 
kommt doch eigentlich durch die Default Domain Controller Policy? Und müsste 
dann auf allen DC´s auftreten?



Viele Grüße



Carsten

• Follow-Ups:
  • [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC
    • From: Fischer, Lars
  • [adde] Antwort: [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC
    • From: CBarth

• References:
  • [adde] Kerberos Probleme nach installation zusätzlichem DC
    • From: CBarth

Other related posts:

• » [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC - Andreas Michelfeit
• » [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC- Fischer, Lars
• » [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC- Andreas Michelfeit

1. Home
2. adde
3. Archive
4. 09-2010

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---