Windows 无法登入 / Kerberos 用户端从伺服器收到 KRB_AP_ERR_MODIFIED 错误

  近期公司的电脑及伺服器陆续会出现无法登入的情形,讯息仅是告知密码错误,而大部分的电脑在重开机后便能登入,其中一台伺服器则是要登本机帐号后,重新加退网域才能登入。

 

  在检查事件纪录后,找到一项可能有相关的纪录:

Kerberos 用户端从伺服器 xxx$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/xxx。这表示目标伺服器无法解密用户端所提供的票证。当目标伺服器主体名称 (SPN) 不是在与目标服务正在使用之帐户相同的帐户登录时,就会发生此情形。请确定目标 SPN 仅在伺服器所使用的帐户上登录。当目标服务帐户密码与在 Kerberos 金钥发布中心为该目标服务设定的帐户密码不同时,也会发生此情形。请确定伺服器上的服务与 KDC 均设为使用相同的密码。若伺服器名称不是完整合格名称,且目标网域 (xxx.com.tw) 与用户端网域 (xxx.com.tw) 不同,请检查这两个网域中是否有同名的伺服器帐户,或是使用完整合格名称来识别该伺服器。

 

  上网搜寻文章后,找到「Jason的电脑健身房」的 这篇 文章,解决方式是去重设事件纪录中所提到的问题 DC 的 administrator 密码 (机器帐号密码)。另外在「MIS 的背影」的 这篇 文章下方的问答有网友提到,发生这个问题环境,好像是因为 DC 从 2003 升到 2016 后才遇到,而我们也是相同环境。就该网友提供的 微软文章 来看,简单来说是因为 2012 R2 以后的 Windows 是使用 AES 加密方式,但 2003 不支援;而 2012 R2 也不支援旧的 DES 加密方式所造成。而该文章的最新更新有提到后来已经有释出 修补程序 档,不过我实际要安装时,会出现我环境不符合的讯息,因此我仍是以指令重设密码的方式来解决,步骤如下:

 

◎ 将目标 DC 伺服器上「Kerberos Key Distribution Center」服务的「启动类型」改成 “手动”,接着重开机。

 

◎ 以系统管理员身分执行下列指令:

  netdom resetpwd /server:DC電腦名稱 /ud:網域名稱\administrator /pd:administrator的密碼  

 

◎ 再次重开机,重开完将「Kerberos Key Distribution Center」服务的「启动类型」改成 “自动” 即可。

 

  另外,如果你的「网域功能等级」是 2003,而 User 作业系统是 Windows 8 以上,当 User 登入时出现密码错误,而事件纪录也跟上面描述的一样,此应为两者的版本差距过大的问题,可试着藉由提升「网域功能等级」到 2008 以上来解决此问题。

 

【參考連結】

发表评论

请注意:: 评论审核已启用,可能会耽误您的评论. 有没有必要重新提交您的评论.