近期公司的电脑及伺服器陆续会出现无法登入的情形,讯息仅是告知密码错误,而大部分的电脑在重开机后便能登入,其中一台伺服器则是要登本机帐号后,重新加退网域才能登入。
在检查事件纪录后,找到一项可能有相关的纪录:
Kerberos 用户端从伺服器 xxx$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/xxx。这表示目标伺服器无法解密用户端所提供的票证。当目标伺服器主体名称 (SPN) 不是在与目标服务正在使用之帐户相同的帐户登录时,就会发生此情形。请确定目标 SPN 仅在伺服器所使用的帐户上登录。当目标服务帐户密码与在 Kerberos 金钥发布中心为该目标服务设定的帐户密码不同时,也会发生此情形。请确定伺服器上的服务与 KDC 均设为使用相同的密码。若伺服器名称不是完整合格名称,且目标网域 (xxx.com.tw) 与用户端网域 (xxx.com.tw) 不同,请检查这两个网域中是否有同名的伺服器帐户,或是使用完整合格名称来识别该伺服器。
上网搜寻文章后,找到「Jason的电脑健身房」的 这篇 文章,解决方式是去重设事件纪录中所提到的问题 DC 的 administrator 密码 (机器帐号密码)。另外在「MIS 的背影」的 这篇 文章下方的问答有网友提到,发生这个问题环境,好像是因为 DC 从 2003 升到 2016 后才遇到,而我们也是相同环境。就该网友提供的 微软文章 来看,简单来说是因为 2012 R2 以后的 Windows 是使用 AES 加密方式,但 2003 不支援;而 2012 R2 也不支援旧的 DES 加密方式所造成。而该文章的最新更新有提到后来已经有释出 修补程序 档,不过我实际要安装时,会出现我环境不符合的讯息,因此我仍是以指令重设密码的方式来解决,步骤如下:
◎ 将目标 DC 伺服器上「Kerberos Key Distribution Center」服务的「启动类型」改成 “手动”,接着重开机。
◎ 以系统管理员身分执行下列指令:
netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼
◎ 再次重开机,重开完将「Kerberos Key Distribution Center」服务的「启动类型」改成 “自动” 即可。
另外,如果你的「网域功能等级」是 2003,而 User 作业系统是 Windows 8 以上,当 User 登入时出现密码错误,而事件纪录也跟上面描述的一样,此应为两者的版本差距过大的问题,可试着藉由提升「网域功能等级」到 2008 以上来解决此问题。
【參考連結】
- Kerberos 用户端从伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 错误 | Jason的电脑健身房 – 點部落
- 无法使用网域帐户登入Server (活动编号 4)Kerberos 用户端从伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 错误 | MIS的背影
- 事实证明,当您混合使用Windows Server时,可能会发生奇怪的事情 2003 和Windows Server 2012 R2域控制器 | 微软文档
- 如何使用 Netdom.exe 重设 Windows Server 网域控制站的机器帐户密码
- 目标帐户名称不正确,这应该是AD的问题目标帐户名称不正确,这应该是AD的问题 – iT 邦帮忙::一起帮忙解决难题,拯救 IT 人的一天
