none
windows server 2008r 域控出现问题 RRS feed

  • 问题

  • 日志名称:        System
    来源:            Microsoft-Windows-Security-Kerberos
    日期:            2017/8/14 15:07:05
    事件 ID:         4
    任务类别:        无
    级别:            错误
    关键字:          经典
    用户:            暂缺
    计算机:          CHENYM
    描述:
    Kerberos 客户端收到了一个来自服务器 gdihns01$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 cifs/GDIHNS01.gdgc.com.cn。这表明目标服务器无法解密客户端提供的票证。当不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)时会出现这种情况。请确保目标 SPN 是在(并且仅在)服务器使用的帐户上注册的。当目标服务正在使用目标服务帐户的其他密码而不是 Kerberos 密钥发行中心(KDC)的密码时也会出现这种错误。请确保服务器和 KDC 上的服务均已更新为使用当前密码。如果服务器名称未完全限定,并且目标域(GDGC.COM.CN)与客户端域(GDGC.COM.CN)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。
    2017年8月14日 8:20

全部回复

  • 您好,
    根据我对于KRB_AP_ERR_MODIFIED 错误的调查,一般说来说,可能的原因有:
    1. 重复的DNS记录
    2. 对于或缺失SPN记录. 
    3. 客户端和服务器之间的安全连接丢失
    4. MTU Size 问题
    5. 服务器/客户端的时间同步差异
    6. 防火墙阻拦
    你可以参考下面的文章去对这个报错进行一一排错:
    Troubleshooting the Kerberos error KRB_AP_ERR_MODIFIED(仅英文版)
    https://jespermchristensen.wordpress.com/2008/06/12/troubleshooting-the-kerberos-error-krb_ap_err_modified/
    请注意, 这个链接不是来自微软官方,它的信息可能会改变,微软不保证它信息的精确性。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月15日 7:16
    版主
  • 

    您好,

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月21日 8:35
    版主