Windows no puede iniciar sesión / El cliente Kerberos recibió un error KRB_AP_ERR_MODIFIED del servidor

Recientemente, las computadoras y servidores de la compañía no han podido iniciar sesión,El mensaje solo dice que la contraseña es incorrecta,La mayoría de las computadoras pueden iniciar sesión después de reiniciar,Uno de los servidores es iniciar sesión en la cuenta local,Vuelva a agregar el dominio para iniciar sesión。

 

Después de verificar el registro del incidente,Encuentre un registro que pueda ser relevante:

El cliente Kerberos recibe el error KRB_AP_ERR_MODIFIED del servidor xxx $。El nombre de destino utilizado es LDAP / xxx。Esto significa que el servidor de destino no puede descifrar el ticket proporcionado por el cliente。Cuando el nombre principal del servidor de destino (SPN) No cuando inicie sesión con la misma cuenta que el servicio de destino está utilizando,Esto pasa。Asegúrese de que el SPN de destino solo esté registrado en la cuenta utilizada por el servidor。Cuando la contraseña de la cuenta del servicio de destino es diferente de la contraseña de la cuenta establecida para el servicio de destino en el Centro de distribución de claves Kerberos,Esto también sucederá。Asegúrese de que el servicio y KDC en el servidor estén configurados para usar la misma contraseña。Si el nombre del servidor no es un nombre completo,Y el dominio objetivo (xxx.COM.TW) Dominio del cliente (xxx.COM.TW) diferente,Compruebe si hay una cuenta de servidor con el mismo nombre en ambos dominios.,O use el nombre completo para identificar el servidor。

 

Después de buscar artículos en línea,Encontrado "Jason's Computer Gym" este artículo,La solución es restablecer el problema mencionado en la contraseña del administrador de DC del registro de eventos (contraseña de cuenta de máquina)。También en "The Back of MIS" este Internautas mencionados en las preguntas y respuestas al final del artículo,Este problema ocurre,Parece que porque el esclavo DC 2003 aumento 2016 Solo se conoció más tarde,Y estamos en el mismo ambiente.。Proporcionado por el internauta Artículo de Microsoft vista,Simplemente porque 2012 Windows después de que R2 utiliza el cifrado AES,Pero 2003 No soporta;Y 2012 R2 tampoco es compatible con el antiguo método de cifrado DES。Y la última actualización del artículo mencionó que se lanzó más tarde hotfix expediente,Pero cuando realmente quiero instalar,Veré un mensaje de que mi entorno no coincide,Así que todavía lo resuelvo ordenando el restablecimiento de la contraseña,Proceder de la siguiente:

 

◎ Cambió el "Tipo de inicio" del servicio "Centro de distribución de claves Kerberos" en el servidor DC de destino a “Manual”,Luego reiniciar。

 

◎ Ejecute los siguientes comandos como administrador del sistema:

netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼

 

◎ Reiniciar de nuevo,Después de reiniciar, cambie el "Tipo de activación" del servicio "Centro de distribución de claves Kerberos" a “automático” para。

 

Otro,Si su "nivel de función de dominio" es 2003,El sistema operativo del usuario es Windows 8 lo anterior,Error de contraseña cuando el usuario inicia sesión,Y el registro del evento es el mismo que el descrito anteriormente.,Este debería ser el problema de la brecha excesiva entre las dos versiones,Puede intentar aumentar el "nivel de función de dominio" a 2008 Arriba para resolver este problema。

 

【參考連結】

Deja tu comentario

Por favor, tenga en cuenta: La moderación de comentarios está habilitada y puede retrasar su comentario. No hay necesidad de volver a enviar su comentario.