Windows kann sich nicht anmelden / Der Kerberos-Client hat vom Server den Fehler KRB_AP_ERR_MODIFIED erhalten

In letzter Zeit konnten sich die Computer und Server des Unternehmens nicht anmelden,Die Nachricht sagt nur, dass das Passwort falsch ist,Die meisten Computer können sich nach dem Neustart anmelden,Einer der Server ist die Anmeldung beim lokalen Konto,Fügen Sie die Domain erneut zum Login hinzu。

 

Nach Überprüfung der Ereignisaufzeichnung,Suchen Sie einen Datensatz, der möglicherweise relevant ist:

Der Kerberos-Client empfängt den Fehler KRB_AP_ERR_MODIFIED vom Server xxx $。Der verwendete Zielname ist LDAP / xxx。Dies bedeutet, dass der Zielserver das vom Client bereitgestellte Ticket nicht entschlüsseln kann。Wenn der Zielserver-Prinzipalname (SPN) Nicht, wenn Sie sich mit demselben Konto anmelden, das der Zieldienst verwendet,Das passiert。Stellen Sie sicher, dass der Ziel-SPN nur auf dem vom Server verwendeten Konto registriert ist。Wenn sich das Kennwort des Zieldienstkontos von dem für den Zieldienst im Kerberos Key Distribution Center festgelegten Kontokennwort unterscheidet,Dies wird auch passieren。Stellen Sie sicher, dass der Dienst und das KDC auf dem Server dasselbe Kennwort verwenden。Wenn der Servername kein vollständig qualifizierter Name ist,Und die Zieldomäne (xxx.COM.TW) Client-Domain (xxx.COM.TW) anders,Bitte überprüfen Sie, ob in beiden Domänen ein Serverkonto mit demselben Namen vorhanden ist,Oder verwenden Sie den vollständig qualifizierten Namen, um den Server zu identifizieren。

 

Nach dem Online-Artikel suchen,Gefunden "Jasons Computer Gym" diese Artikel,Die Lösung besteht darin, das im DC-Administratorkennwort des Ereignisprotokolls angegebene Problem zurückzusetzen (Passwort für das Computerkonto)。Auch in "The Back of MIS" diese Internetnutzer, die in den Fragen und Antworten am Ende des Artikels erwähnt werden,Dieses Problem tritt auf,Es scheint, weil der DC-Slave 2003 Aufstieg 2016 Erst später getroffen,Und wir sind in der gleichen Umgebung。Vom Internetnutzer bereitgestellt Microsoft-Artikel Ansicht,Einfach weil 2012 Windows nach R2 verwendet die AES-Verschlüsselung,Aber 2003 Unterstützt nicht;Und 2012 R2 unterstützt auch nicht die alte DES-Verschlüsselungsmethode。Und das neueste Update des Artikels erwähnte, dass es später veröffentlicht wurde hotfix Datei,Aber wenn ich eigentlich installieren will,Ich werde eine Meldung sehen, dass meine Umgebung nicht übereinstimmt,Also löse ich es immer noch, indem ich das Zurücksetzen des Passworts bestelle,Gehen Sie wie folgt vor:

 

◎ Der "Starttyp" des Dienstes "Kerberos Key Distribution Center" auf dem Ziel-DC-Server wurde in "Geändert" geändert “Handbuch”,Dann neu starten。

 

◎ Führen Sie die folgenden Befehle als Systemadministrator aus:

  netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼  

 

◎ Starten Sie erneut,Ändern Sie nach dem Neustart den "Aktivierungstyp" des Dienstes "Kerberos Key Distribution Center" in “automatisch” zu。

 

Andere,Wenn Ihre "Domain-Funktionsebene" ist 2003,Das Benutzer-Betriebssystem ist Windows 8 obenstehendes,Kennwortfehler beim Anmelden des Benutzers,Der Ereignisdatensatz ist derselbe wie oben beschrieben,Dies sollte das Problem der übermäßigen Lücke zwischen den beiden Versionen sein,Sie können versuchen, die "Domänenfunktionsebene" auf zu erhöhen 2008 Oben, um dieses Problem zu lösen。

 

Referenz [link]

Leave a Comment

Bitte beachten Sie,: Kommentar Moderation ist aktiviert und kann Ihren Kommentar verzögern. Es besteht keine Notwendigkeit zur Stellungnahme reichen Sie.