[adde] Antwort: [adde] AW: [adde] Kerberos Probleme nach installation zusätzlichem DC
- From: CBarth@xxxxxxxxxxxxxxxx
- To: adde@xxxxxxxxxxxxx
- Date: Fri, 10 Sep 2010 09:55:25 +0200
Ich hatte in der Tat, zwei doppelte SPN´s aber die hatten eigentlich
überhaupt nichts mit meinen Member Servern zu tun sondern waren für
HTTP/server.
Für Single Signon registriert.
Von: Andreas Michelfeit <Andreas.Michelfeit@xxxxxxxxxxxxx>
An: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
Datum: 10.09.2010 09:42
Betreff: [adde] AW: [adde] Kerberos Probleme nach installation
zusätzlichem DC
Gesendet von: adde-ml@xxxxxxxxxxxxx
Guten Morgen,
ich denke, daß Du eventuell doppelte SPNs hast.
Kannst Du mal auf dem DC setspn -X ausführen?
Vermutlich hast Du irgendwo noch einen SPN mit dem Namen Memberserver$, das
solltest Du durch setspn herausfinden können.
Diese Artikel könnten helfen:
http://technet.microsoft.com/en-us/library/cc733987(WS.10).aspx
http://msdn.microsoft.com/en-us/library/ms677949(VS.85).aspx
Andreas
-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
CBarth@xxxxxxxxxxxxxxxx
Gesendet: Freitag, 10. September 2010 09:35
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Kerberos Probleme nach installation zusätzlichem DC
Hallo AD Profis,
ich habe in unserem AD einen zusätzlichen DC mit 2008R2 installiert
(allerdings nicht der erste R2).
Seitdem habe ich bei einigen Server hin und wieder das Problem, dass die
Anmeldung nicht funktioniert. Man kann sich dann nur noch lokal anmelden.
Nach einem Reboot funktioniert es wieder.
Im Eventlog der Member Server und dem DC erscheint:
Protokollname: System
Quelle: Microsoft-Windows-Security-Kerberos
Datum: 09.09.2010 20:34:04
Ereignis-ID: 4
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Beschreibung:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server
"memberserver$" empfangen. Der verwendete Zielname war memberserver$. Dies
deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token
nicht entschlüsseln konnte. Dies kann auftreten, wenn der
Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass
der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem
Konto registriert ist, das vom Server verwendet wird, und zwar
ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn
der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als
das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das
Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem
Server und im KDC beide für die Verwendung des aktuellen Kennworts
aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und
sich die Zieldomäne (AD.local) von der Clientdomäne (AD.local)
unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten
mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten
Namen, um den Server zu identifizieren.
Ich vermute ein Problem mit der Kerberos Verschlüsselung, aber die
Einstellung kommt doch eigentlich durch die Default Domain Controller
Policy? Und müsste dann auf allen DC´s auftreten?
Viele Grüße
Carsten
Other related posts:
