Security-Kerberos Error, ID do evento 4

1

Eu tenho dois novos controladores de domínio na nova floresta. Servidores têm serviços DFS e IIS instalados. Tudo parecia estar bem por um tempo. Depois de atualizar os servidores, recebi novos erros. Agora, uma vez em uma hora, o controlador de domínio IIS2 está fazendo esses erros no log de eventos:

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server iis2$. The target name used was E3514235-4B06-11D1-AB04-00C04FC2DCD2/d170f7fc-6f05-4ea5-9dee-a657e3de019b/[email protected]. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (example.com) is different from the client domain (example.com), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.

O que isso realmente significa? O que devo fazer para corrigir este problema? Como começar ...

Esse servidor é novo, eu até tentei reinstalar servidores com as mesmas funções. Toda vez que ocorre o mesmo tipo de erro do kerberos. A primeira vez que foi somemeth com o Ldap, e agora isso ...

    
por Timo77 06.05.2015 / 08:32

1 resposta

1

  1. verifique se você tem SPN duplicado (setspn -X)
  2. verifique se você tem entrada de DNS incorreta (onde um nome pode levar o cliente a duas máquinas diferentes sem querer - mencionei "não intencionalmente" porque há circunstâncias em que essa configuração é legítima, como você quer usar round-robin de DNS para balanceamento de carga / tolerância a falhas, etc.).
por 06.05.2015 / 15:46