Windows ne peut pas se connecter / Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur

Récemment, les ordinateurs et les serveurs de l'entreprise n'ont pas pu se connecter,Le message indique seulement que le mot de passe est incorrect,La plupart des ordinateurs peuvent se connecter après le redémarrage,L'un des serveurs consiste à se connecter au compte local,Ajouter à nouveau le domaine pour se connecter。

 

Après avoir vérifié le dossier de l'incident,Trouver un dossier qui peut être pertinent:

Le client Kerberos reçoit une erreur KRB_AP_ERR_MODIFIED du serveur xxx $。Le nom cible utilisé est LDAP / xxx。Cela signifie que le serveur cible ne peut pas décrypter le ticket fourni par le client。Lorsque le nom principal du serveur cible (SPN) Pas lors de la connexion avec le même compte que le service cible utilise,Ça arrive。Veuillez vous assurer que le SPN cible n'est enregistré que sur le compte utilisé par le serveur。Lorsque le mot de passe du compte de service cible est différent du mot de passe de compte défini pour le service cible dans le centre de distribution de clés Kerberos,Cela se produira également。Veuillez vous assurer que le service et KDC sur le serveur sont configurés pour utiliser le même mot de passe。Si le nom du serveur n'est pas un nom complet,Et le domaine cible (xxx.COM.TW) Domaine client (xxx.COM.TW) différent,Veuillez vérifier s'il existe un compte de serveur portant le même nom dans les deux domaines,Ou utilisez le nom complet pour identifier le serveur。

 

Après la recherche d'articles en ligne,Trouvé "Jason's Computer Gym" cette article,La solution consiste à réinitialiser le problème mentionné dans le mot de passe administrateur du journal des événements DC (mot de passe du compte d'ordinateur)。Aussi dans "The Back of MIS" cette Les internautes mentionnés dans le Q & A au bas de l'article,Ce problème se produit,Il semble que parce que l'esclave DC 2003 hausse 2016 Seulement rencontré plus tard,Et nous sommes dans le même environnement。Fourni par l'internaute Article Microsoft vue,Simplement parce que 2012 Windows après R2 utilise le cryptage AES,Mais 2003 Ne supporte pas;Et 2012 R2 ne prend pas non plus en charge l'ancienne méthode de cryptage DES。Et la dernière mise à jour de l'article mentionne qu'il a été publié plus tard hotfix fichier,Mais quand je veux vraiment installer,Je verrai un message que mon environnement ne correspond pas,Donc je le résous toujours en commandant la réinitialisation du mot de passe,Procédez comme suit:

 

◎ Modification du "Type de démarrage" du service "Kerberos Key Distribution Center" sur le serveur DC cible en “Manuel”,Redémarrez ensuite。

 

◎ Exécutez les commandes suivantes en tant qu'administrateur système:

  netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼  

 

◎ Redémarrez à nouveau,Après le redémarrage, remplacez le "Type d'activation" du service "Kerberos Key Distribution Center" par “automatique” à。

 

Autre,Si votre "niveau de fonction de domaine" est 2003,Le système d'exploitation utilisateur est Windows 8 ce qui précède,Erreur de mot de passe lorsque l'utilisateur se connecte,Et l'enregistrement de l'événement est le même que celui décrit ci-dessus,Cela devrait être le problème de l'écart excessif entre les deux versions,Vous pouvez essayer d'augmenter le "niveau de fonction de domaine" à 2008 Ci-dessus pour résoudre ce problème。

 

Référence [lien]

Laisser un commentaire

S'il vous plaît noter: La modération des commentaires est activée et peut retarder votre commentaire. Il n'est pas nécessaire de renvoyer votre commentaire.