Windowsがログインできない / KerberosクライアントがサーバーからKRB_AP_ERR_MODIFIEDエラーを受信しました

最近、会社のコンピュータとサーバーはログインできなくなりました,メッセージはパスワードが間違っていることのみを伝えます,ほとんどのコンピューターは再起動後にログインできます,サーバーの1つはローカルアカウントにログインすることです,ログインするドメインを再度追加。

 

インシデント記録を確認した後,関連性のあるレコードを見つける:

Kerberosクライアントはサーバーxxx $からKRB_AP_ERR_MODIFIEDエラーを受け取ります。使用されるターゲット名はLDAP / xxxです。これは、ターゲットサーバーがクライアントから提供されたチケットを復号化できないことを意味します。ターゲットサーバープリンシパル名 (SPN) ターゲットサービスが使用しているのと同じアカウントでログインする場合は不可,これが起こります。ターゲットSPNがサーバーで使用されているアカウントにのみ登録されていることを確認してください。ターゲットサービスアカウントのパスワードが、Kerberosキー配布センターでターゲットサービスに設定されたアカウントパスワードと異なる場合,これも起こります。サーバー上のサービスとKDCが同じパスワードを使用するように設定されていることを確認してください。サーバー名が完全修飾名でない場合,そしてターゲットドメイン (xxx.COM.TW) クライアントドメイン (xxx.COM.TW) 違う,両方のドメインに同じ名前のサーバーアカウントがあるかどうかを確認してください,または、完全修飾名を使用してサーバーを識別します。

 

オンラインの記事を検索した後,「ジェイソンのコンピュータジム」を発見 記事,解決策は、イベントログに記載されている問題をリセットすることですDC管理者パスワード (マシンアカウントのパスワード)。「MISの裏側」にも 記事の下部のQ&Aに記載されているネチズン,この問題が発生します,DCスレーブが 2003 ライズ 2016 後でだけ会った,そして私たちは同じ環境にいます。ネチズン提供 マイクロソフトの記事 ビュー,単純に〜だから 2012 R2以降のWindowsはAES暗号化を使用します,しかし 2003 サポートしていません;而 2012 R2も古いDES暗号化方式をサポートしていません。そして記事の最新の更新はそれが後でリリースされたと述べました hotfix ファイル,しかし、実際にインストールしたいとき,私の環境が一致しないというメッセージが表示されます,だから私はまだパスワードリセットを注文することでそれを解決します,ステップ:

 

◎対象DCサーバーの「Kerberos Key Distribution Center」サービスの「スタートアップの種類」を “マニュアル”,その後、再起動します。

 

◎システム管理者として以下のコマンドを実行します:

netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼

 

◎再起動,再起動後、「Kerberos Key Distribution Center」サービスの「アクティベーションタイプ」を “自動” へ。

 

その他,「ドメイン機能レベル」が 2003,ユーザーオペレーティングシステムはWindowsです 8 上記,ユーザーのログイン時のパスワードエラー,そして、イベントレコードは上記と同じです,これは、2つのバージョン間の過剰なギャップの問題になるはずです。,あなたは「ドメイン機能レベル」を 2008 この問題を解決するために。

 

【參考連結】

コメントを残す

注意してください: コメントモデレーションが有効になって、あなたのコメントを遅らせる可能性があります. コメントを再送信する必要はありません.