Ошибка разрешения целевого компьютера Kerberos
Обновлено: 21.11.2024
Эта фиксация не принадлежит ни к одной из веток в этом репозитории и может принадлежать ответвлению за пределами репозитория.
- Открыть с рабочего стола
- Просмотреть в необработанном виде
- Копировать исходное содержимое Копировать необработанное содержимое
Копировать необработанное содержимое
Копировать необработанное содержимое
Добавить серверы в диспетчер серверов
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В Windows Server вы можете управлять несколькими удаленными серверами с помощью одной консоли диспетчера серверов. Серверы, которыми вы хотите управлять с помощью диспетчера серверов, могут работать под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008. Обратите внимание, что вы не можете управлять более новой версией Windows Server с более старой версией. выпуск диспетчера серверов.
В этом разделе описывается, как добавлять серверы в пул серверов диспетчера серверов.
[!NOTE] В наших тестах Диспетчер сервера в Windows Server 2012 и более поздних версиях Windows Server можно использовать для управления до 100 серверов, сконфигурированных для типичной рабочей нагрузки. Количество серверов, которыми вы можете управлять с помощью одной консоли диспетчера серверов, может варьироваться в зависимости от объема данных, которые вы запрашиваете с управляемых серверов, а также аппаратных и сетевых ресурсов, доступных компьютеру, на котором работает диспетчер серверов. Поскольку объем данных, которые вы хотите отобразить, приближается к емкости ресурсов этого компьютера, вы можете столкнуться с медленными ответами от диспетчера серверов и задержками в завершении обновлений. Чтобы помочь увеличить количество серверов, которыми вы можете управлять с помощью диспетчера серверов, мы рекомендуем ограничить данные о событиях, которые диспетчер серверов получает от управляемых серверов, с помощью параметров в диалоговом окне «Настроить данные о событиях». Настроить данные события можно открыть из меню «Задачи» на плитке «События». Если вам необходимо управлять несколькими серверами корпоративного уровня в вашей организации, мы рекомендуем оценить продукты в пакете Microsoft System Center.
Диспетчер серверов может получать статус «в сети» или «вне сети» только от серверов, работающих под управлением Windows Server. 2003. Хотя вы можете использовать Диспетчер серверов для выполнения задач управления на серверах под управлением Windows Server 2008 R2 или Windows Server 2008, вы не можете добавлять роли и функции на серверы под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003.
Диспетчер сервера нельзя использовать для управления более новой версией операционной системы Windows Server. Диспетчер сервера под управлением Windows Server 2012 R2, Windows Server 2012, Windows 8.1 или Windows 8 нельзя использовать для управления серверами под управлением Windows Server 2016.
Эта тема содержит следующие разделы.
Укажите учетные данные с помощью команды «Управление как»
Поскольку вы добавляете удаленные серверы в Диспетчер серверов, для некоторых добавляемых серверов могут потребоваться другие учетные данные пользователя для доступа к ним или управления ими. Чтобы указать учетные данные для управляемого сервера, отличные от тех, которые вы используете для входа на компьютер, на котором запущен диспетчер серверов, используйте команду «Управление как» после добавления сервера в диспетчер серверов, доступ к которому можно получить, щелкнув правой кнопкой мыши значок запись для управляемого сервера на плитке Серверы главной страницы роли или группы. При нажатии кнопки «Управление как» открывается диалоговое окно «Безопасность Windows», в котором можно указать имя пользователя с правами доступа на управляемом сервере в одном из следующих форматов.
Диалоговое окно «Безопасность Windows», которое открывается с помощью команды «Управление как», не может принимать учетные данные смарт-карты; предоставление учетных данных смарт-карты через диспетчер серверов не поддерживается. Учетные данные, которые вы предоставляете для управляемого сервера с помощью команды «Управление как», кэшируются и сохраняются до тех пор, пока вы управляете сервером с помощью того же компьютера, на котором в данный момент работает Диспетчер серверов, или пока вы не перезаписываете их. указав пустые или другие учетные данные для того же сервера. Если вы экспортируете параметры диспетчера серверов на другие компьютеры или настраиваете свой профиль домена как перемещаемый, чтобы разрешить использование параметров диспетчера серверов на других компьютерах, учетные данные «Управление как» для серверов в вашем пуле серверов не сохраняются в перемещаемом профиле. Пользователи Server Manager должны добавить их на каждый компьютер, с которого они хотят управлять.
После добавления серверов для управления с помощью процедур, описанных в этом разделе, но до использования команды «Управление как» для указания альтернативных учетных данных, которые могут потребоваться для управления добавленным вами сервером, могут отображаться следующие ошибки состояния управляемости для сервер:
Ошибка целевого разрешения Kerberos
Ошибка аутентификации Kerberos
В сети – доступ запрещен
<блочная цитата>[!ПРИМЕЧАНИЕ] Роли и функции, которые не поддерживают команду «Управление как», включают службы удаленных рабочих столов (RDS) и сервер управления IP-адресами (IPAM). Если вы не можете управлять удаленным сервером RDS или IPAM, используя те же учетные данные, которые вы используете на компьютере, на котором запущен диспетчер серверов, попробуйте добавить учетную запись, которую вы обычно используете для управления этими удаленными серверами, в группу администраторов на компьютере, который запущен диспетчер серверов. Затем войдите на компьютер, на котором запущен диспетчер серверов, используя учетную запись, которую вы используете для управления удаленным сервером, на котором работает rdS или IPAM.
Добавить серверы для управления
Вы можете добавлять серверы в Диспетчер серверов для управления любым из трех способов в диалоговом окне добавления серверов.
Доменные службы Active Directory добавляют серверы для управления поиском Active Directory в том же домене, что и локальный компьютер.
Запись системы доменных имен (DNS) Поиск серверов для управления по имени компьютера или IP-адресу.
Импорт нескольких серверов Укажите несколько серверов для импорта в файле, который содержит серверы, перечисленные по имени компьютера или IP-адресу.
Чтобы добавить серверы в пул серверов
Если диспетчер серверов уже открыт, перейдите к следующему шагу. Если Диспетчер серверов еще не открыт, откройте его, выполнив одно из следующих действий.
На рабочем столе Windows запустите Диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows.
На начальном экране Windows щелкните плитку диспетчера серверов.
В меню "Управление" нажмите "Добавить серверы".
Выполните одно из следующих действий.
На вкладке Active Directory выберите серверы в текущем домене. Нажмите Ctrl при выборе, чтобы выбрать несколько серверов. Нажмите кнопку со стрелкой вправо, чтобы переместить выбранные серверы в выбранный список.
На вкладке DNS введите первые несколько символов имени компьютера или IP-адреса, а затем нажмите клавишу ВВОД или щелкните Поиск. выберите серверы, которые вы хотите добавить, и нажмите кнопку со стрелкой вправо.
На вкладке импорта найдите текстовый файл, содержащий DNS-имена или IP-адреса компьютеров, которые вы хотите добавить, по одному имени или IP-адресу в строке.
После добавления серверов нажмите OK.
Добавление серверов в рабочие группы и управление ими
Хотя добавление серверов, находящихся в рабочих группах, в Диспетчер сервера может быть успешным, после их добавления в столбце "Управляемость" плитки "Серверы" на странице роли или группы, которая включает сервер рабочей группы, могут отображаться ошибки "Учетные данные недействительны", возникающие при попытке для подключения или сбора данных с удаленного сервера рабочей группы.
Эти или подобные ошибки могут возникать в следующих случаях.
Управляемый сервер находится в той же рабочей группе, что и компьютер, на котором запущен диспетчер серверов.
Управляемый сервер находится в другой рабочей группе, чем компьютер, на котором работает диспетчер серверов.
Один из компьютеров находится в рабочей группе, а другой — в домене.
Компьютер, на котором запущен Диспетчер серверов, находится в рабочей группе, а удаленные управляемые серверы находятся в другой подсети.
Оба компьютера находятся в доменах, но между двумя доменами нет доверительных отношений.
Оба компьютера находятся в доменах, но между двумя доменами существуют только односторонние доверительные отношения.
Сервер, которым вы хотите управлять, был добавлен с использованием его IP-адреса.
Чтобы добавить серверы удаленных рабочих групп в диспетчер серверов
На компьютере, на котором работает Диспетчер серверов, добавьте имя сервера рабочей группы в список TrustedHosts. Это требование проверки подлинности NTLM. Чтобы добавить имя компьютера в существующий список доверенных узлов, добавьте в команду параметр Concatenate. Например, чтобы добавить компьютер Server01 в существующий список доверенных узлов, используйте следующую команду.
Определите, находится ли сервер рабочей группы, которым вы хотите управлять, в той же подсети, что и компьютер, на котором запущен диспетчер серверов.
Если два компьютера находятся в одной подсети или если для сетевого профиля сервера рабочей группы в Центре управления сетями и общим доступом задано значение "Частный", перейдите к следующему шагу.
[!IMPORTANT] Запуск командлета на этом шаге переопределяет меры контроля учетных записей (UAC), которые предотвращают запуск процессов с повышенными правами на компьютерах рабочей группы, если только встроенный администратор или системная учетная запись не запускает процессы. Командлет позволяет членам группы «Администраторы» управлять сервером рабочей группы без входа в систему в качестве встроенного администратора. Разрешение дополнительным пользователям управлять сервером рабочей группы может снизить его безопасность; однако это более безопасно, чем предоставление встроенных учетных данных администратора нескольким людям, которые управляют сервером рабочей группы.
Чтобы обойти ограничения UAC на запуск процессов с повышенными правами на компьютерах рабочей группы, создайте запись реестра с именем LocalAccountTokenFilterPolicy на сервере рабочей группы, выполнив следующий командлет.
На компьютере, на котором запущен диспетчер серверов, откройте страницу "Все серверы".
Если компьютер, на котором работает Диспетчер серверов, и целевой сервер рабочей группы входят в одну и ту же рабочую группу, перейдите к последнему шагу. Если два компьютера не входят в одну рабочую группу, щелкните правой кнопкой мыши целевой сервер рабочей группы на плитке "Серверы" и выберите "Управление как".
Войдите на сервер рабочей группы, используя встроенную учетную запись администратора для сервера рабочей группы.
Убедитесь, что диспетчер серверов может подключаться к серверу рабочей группы и собирать данные с него, обновив страницу "Все серверы" и просмотрев состояние управляемости сервера рабочей группы.
Чтобы добавить удаленные серверы, когда диспетчер серверов работает на компьютере рабочей группы
На компьютере, на котором запущен диспетчер серверов, добавьте удаленные серверы в список TrustedHosts локального компьютера в сеансе Windows PowerShell. Чтобы добавить имя компьютера в существующий список доверенных узлов, добавьте в команду параметр Concatenate. Например, чтобы добавить компьютер Server01 в существующий список доверенных узлов, используйте следующую команду.
Определите, находится ли сервер, которым вы хотите управлять, в той же подсети, что и компьютер рабочей группы, на котором запущен диспетчер серверов.
Если два компьютера находятся в одной подсети или если для сетевого профиля компьютера рабочей группы в Центре управления сетями и общим доступом задано значение "Частный", перейдите к следующему шагу.
На компьютере, на котором запущен диспетчер серверов, откройте страницу "Все серверы".
убедитесь, что диспетчер серверов может подключаться к удаленному серверу и собирать данные с него, обновив страницу "Все серверы" и просмотрев состояние управляемости удаленного сервера. Если на плитке Серверы по-прежнему отображается ошибка управляемости удаленного сервера, перейдите к следующему шагу.
Выйдите из системы на компьютере, на котором запущен Диспетчер серверов, а затем войдите снова, используя встроенную учетную запись администратора. Повторите предыдущий шаг, чтобы убедиться, что диспетчер серверов может подключаться к удаленному серверу и собирать данные с него.
если вы выполнили процедуры, описанные в этом разделе, но у вас по-прежнему возникают проблемы с управлением компьютерами рабочей группы или управлением другими компьютерами с компьютеров рабочей группы, см. раздел about_remote_Troubleshooting на веб-сайте Microsoft.
Добавление серверов в кластеры и управление ими
Диспетчер серверов можно использовать для управления серверами в отказоустойчивых кластерах (также называемых кластерами серверов или MSCS). Серверы, находящиеся в отказоустойчивых кластерах (независимо от того, являются ли узлы кластера физическими или виртуальными), имеют некоторые уникальные особенности поведения и ограничения управления в диспетчере серверов.
Как физические, так и виртуальные серверы в кластерах автоматически добавляются в диспетчер серверов, когда в диспетчер серверов добавляется один сервер в кластере. Точно так же при удалении кластерного сервера из диспетчера серверов вам будет предложено удалить другие серверы в кластере.
Диспетчер серверов не отображает данные для кластеризованных виртуальных серверов, поскольку данные являются динамическими и идентичны данным для сервера, на котором размещен виртуальный кластерный узел. Вы можете выбрать сервер, на котором размещен виртуальный сервер, для просмотра его данных.
Если вы добавляете сервер в Диспетчер серверов, используя имя объекта виртуального кластера сервера, имя виртуального объекта отображается в Диспетчере серверов вместо имени физического сервера (ожидается).
При попытке войти в домен с клиентского ПК я недавно получил следующее сообщение об ошибке в Windows:
Что было странно, так это то, что это происходило только для одной конкретной учетной записи пользователя в Active Directory, а не для других учетных записей. Когда я попробовал другую учетную запись, мне удалось войти на сервер.
Вы также можете получить это сообщение об ошибке в других ситуациях, например, когда вы вводите путь UNC к общему ресурсу в проводнике Windows. Если вы получаете сообщение об ошибке входа в систему, попробуйте решить эту проблему несколькими способами.
Способ 1 — сброс паролей учетных записей компьютеров с помощью Netdom.exe
Вы можете запустить команду Netdom на контроллере домена, отвечающем за прием запросов на вход от компьютера, с которым у вас возникли проблемы.
Во-первых, необходимо установить средства поддержки Windows Server с компакт-диска. После установки необходимо остановить службу центра распространения ключей Kerberos и установить для параметра Тип запуска значение Вручную.
Затем перезапустите сервер и откройте командную строку. Вы должны перезапустить, чтобы удалить кеш билетов Kerberos. Вы также можете удалить это с помощью инструментов KLIST или KerbTray.
Наконец, введите в командной строке следующую команду:
/s:server — это имя другого контроллера домена, на котором запущена служба KDC. Этот сервер будет использоваться для установки пароля учетной записи компьютера.
Два других параметра — это просто имя пользователя и пароль для учетной записи администратора домена.
Обратите внимание, что этот метод в основном устраняет проблему с репликацией между двумя контроллерами домена. Иногда репликация может завершиться ошибкой из-за рассинхронизации секретного пароля между контроллерами домена.
Убедитесь, что репликация между вашими контроллерами домена действительно работает!
Способ 2 – полное доменное имя
Иногда, в зависимости от того, как настроен DNS на сервере, вам может потребоваться использовать полное доменное имя (FQDN) сервера, а не просто имя сервера.
Поэтому, если вы пытаетесь получить доступ к общему сетевому ресурсу, используя путь в формате UNC или в сценарии входа, попробуйте использовать servername.domain.lan, и это может в конечном итоге работать нормально.
Если это работает, вы можете изменить настройки DNS, чтобы вам не нужно было использовать полное доменное имя, перейдя к настройкам DNS в разделе «Дополнительные настройки TCP/IP» при переходе к свойствам сетевой карты.
Убедитесь, что DNS-суффикс, указанный в поле Добавить эти DNS-суффиксы (по порядку), правильный.
Способ 3 – удалить старую учетную запись компьютера
Еще одна причина, по которой вы можете получить сообщение об ошибке "Неверное имя целевого аккаунта", заключается в том, что контроллер домена недавно был перенесен из родительского домена в дочерний домен.
В этом случае старая учетная запись компьютера для контроллера домена может все еще существовать в дочернем домене. Все, что вам нужно сделать, это удалить учетную запись из родительского домена, и все будет готово.
Еще один способ исправить это — удалить сервер из домена и снова присоединить его к домену, чтобы сбросить учетную запись компьютера.
Это почти все причины этой ошибки, которые я когда-либо видел, поэтому, если у вас все еще есть проблема с ошибкой входа в систему, оставьте комментарий здесь, и я постараюсь помочь! Наслаждайтесь!
Основатель Help Desk Geek и главный редактор. Он начал вести блог в 2007 году и уволился с работы в 2010 году, чтобы вести блог на постоянной основе. Он имеет более чем 15-летний опыт работы в отрасли информационных технологий и имеет несколько технических сертификатов. Прочитать полную биографию Асема
Понравился ли вам этот совет? Если это так, загляните на наш канал YouTube на нашем родственном сайте Online Tech Tips. Мы охватываем Windows, Mac, программное обеспечение и приложения, а также предлагаем множество советов по устранению неполадок и обучающих видеороликов. Нажмите кнопку ниже, чтобы подписаться!
TLDR: это также может быть вызвано несоответствием политики безопасности «Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos».
Рассмотрите следующий сценарий:
- Примечание. Возможно, у некоторых пользователей такое поведение "отказано в доступе", в то время как у других нет проблем с доступом к сайту.
В большинстве случаев ошибка «KRB_AP_ERR_MODIFIED» означает, что у вас возникла проблема с именем участника-службы (SPN), в частности, имя участника-службы было добавлено не в ту учетную запись. Вы должны проверить это в первую очередь.
Мы можем использовать SETSPN -l (это строчная буква L), чтобы увидеть, какие имена участников-служб были установлены в нашей служебной учетной записи:
Команда: setspn -l CONTOSO\SP_WEB_APP_SVC
Зарегистрированные имена ServicePrincipalNames для CN=SP_WEB_APP_SVC,OU=Service Accounts,DC=contoso,DC=com:
Вы также можете сделать это наоборот: вы ищете данное имя участника-службы, чтобы увидеть, для какой учетной записи оно установлено. Для этого вы используете SETSPN -q
Кроме того, вы можете использовать SETSPN -x, чтобы проверить наличие повторяющихся имен участников-служб, то есть одно и то же имя участника-службы, установленное более чем в одной учетной записи. Эта ситуация также приведет к сбою Kerberos, поэтому, если он найдет какие-либо дубликаты, вам, вероятно, следует позаботиться о них.
Все выглядит хорошо, что теперь?
Допустим, вы просматриваете все это, и все подтверждается:
Теперь, когда мы рассмотрели наиболее распространенные причины ошибки "KRB_AP_ERR_MODIFIED", мы перейдем к менее известной проблеме, из-за которой и был написан этот пост в блоге.
Все «KRB_AP_ERR_MODIFIED» означает, что ключ шифрования, используемый для шифрования билета Kerberos, не совпадает с ключом, который сервер пытается использовать для его расшифровки. Это может произойти, если алгоритм шифрования клиента и сервера различается, что может контролироваться политикой безопасности Windows под названием «Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos». Если этот параметр настроен по-разному на клиентском компьютере и веб-сервере, результатом может быть несоответствие типов шифрования, сбой при расшифровке билета Kerberos и ошибка «KRB_AP_ERR_MODIFIED», приводящая к отказу в доступе.
Вы можете проверить это, просмотрев локальную политику безопасности как на клиенте, так и на сервере.
SecPol.msc > Параметры безопасности > Локальные политики > Параметры безопасности > Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos
Пример:
Допустим, что на проблемном клиентском компьютере политика не определена, что позволит пользователю получить билет Kerberos, зашифрованный с помощью алгоритма «RC4_HMAC_MD5».
Однако на стороне веб-сервера определена политика «Настройка типов шифрования, разрешенных для Kerberos», которая разрешает только эти три:
– Будущие типы шифрования
Поскольку тип шифрования, используемый клиентским компьютером, не включен в список «разрешенных» на сервере, сервер не может расшифровать билет Kerberos, и аутентификация завершается с ошибкой «KRB_AP_ERR_MODIFIED».
Разрешение:
Используйте групповую политику, чтобы задать одни и те же параметры для параметра «Безопасность сети: настроить типы шифрования, разрешенные для Kerberos», и убедитесь, что они последовательно применяются как к серверам, так и к клиентским компьютерам.
Другие советы:
Если вам интересно, какой тип шифрования использовался для шифрования билета Kerberos, вы можете запустить команду «klist» на клиенте. Он отобразит все билеты Kerberos, назначенные в данный момент пользователю. Вы ищете тот, который соответствует имени участника-службы, которое вы используете для сайта.
Команда: klist
Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-9
Флаги заявки 0x40a10000 -> с возможностью переадресации с возможностью продления…
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED от сервера $. Используемое целевое имя было cifs/I .FQDN. Это указывает на то, что целевому серверу не удалось расшифровать билет, предоставленный клиентом.
Я также сделал dcdiag и обнаружил эту ошибку:
Запуск теста: репликации
[Проверка репликации,Проверка репликации] Входящая репликация
Чтобы исправить это, запустите "repadmin /options -DISABLE_INBOUND_REPL"
[Проверка репликации, ] Исходящая репликация отключена.
Чтобы исправить это, запустите "repadmin /options -DISABLE_OUTBOUND_REPL"
<р>. неудачные тестовые репликацииЗатем я запустил repadmin /showreps и тоже это заметил.
DC=DomainDnsZones,DC= ,DC=local
Первое имя сайта по умолчанию\ через RPC
GUID объекта DSA: 5401c493-b4a6-472b-
Последняя попытка @ 2012- 06-25 11:10:05 ffailed, результат 8547 (0x2109)
Целевой сервер в настоящее время отклоняет запросы на репликацию
1448 последовательных ошибок.
Последний успех @ 24.04.2012 16:45:54. (почти два месяца назад ровно сегодня)
Есть идеи, что здесь происходит?
Компьютерный чип
Популярные темы в Active Directory и GPO
Похоже, пароль учетной записи компьютера не синхронизирован. Посмотрите, укажет ли это вам в правильном направлении.
25 ответов
Похоже, пароль учетной записи компьютера не синхронизирован. Посмотрите, укажет ли это вам в правильном направлении.
Jay6111
Когда вы отсоединились от него, вы также удалили его из AD? Вам нужно будет удалить машину из AD, чтобы сбросить kerberos. Так что снова отсоединитесь, затем удалите из AD, а затем снова присоединитесь.
Компьютерный чип OP
Когда вы отсоединились от него, вы также удалили его из AD? Вам нужно будет удалить машину из AD, чтобы сбросить kerberos. Так что снова отсоединитесь, затем удалите из AD, затем снова присоединитесь.
-Джей
Да, я отсоединился, а затем удалил из AD.
spiceuser Я прочитаю эту статью.
Компьютерный чип OP
У нас есть два контроллера домена, это было в журнале вторичного контроллера домена.
Это статус репликации для следующего раздела каталога на этом сервере каталогов.
Раздел каталога:
DC=ForestDnsZones,DC= ,DC=local
Этот сервер каталогов в последнее время не получал информацию о репликации от ряда серверов каталогов. Отображается количество серверов каталогов, разделенное на следующие интервалы.
Более 24 часов:
1
Более недели:
1
Более одного месяца:
1
Более двух месяцев:
1
Более срока жизни надгробия:
0
Срок жизни надгробия (дней):
60
Серверы каталогов, которые не реплицируются своевременно, могут столкнуться с ошибками. Они могут пропустить смену пароля и не смогут пройти аутентификацию. Контроллер домена, который не реплицировался в течение времени существования захоронения, мог пропустить удаление некоторых объектов и может быть автоматически заблокирован от будущей репликации до тех пор, пока не будет согласовано.
Чтобы идентифицировать серверы каталогов по имени, используйте инструмент dcdiag.exe.
Вы также можете использовать инструмент поддержки repadmin.exe для отображения задержек репликации серверов каталогов. Команда "repadmin/showvector/latency
Компьютерный чип OP
Читайте также: