我正在调查一个登录似乎没有产生 TGT 的域。
使用测试帐户登录后,klist tgt输出以下内容:
Current LogonId is 0:0x71647be1
Error calling API LsaCallAuthenticationPackage (Ticket Granting Ticket substatus): 1312
klist failed with 0x8009030e/-2146893042: No credentials are available in the security package
即与非域成员的输出相同。但是,主机肯定已加入,只是它们似乎依靠 NTLM 来验证服务。DNS 设置正确。事实上,可以手动获取服务票使用klist get $SPN,甚至无需预先授权凭证。因此 Kerberos 本身似乎可以正常工作,只是 IE 等应用程序拒绝使用它。
同样,klist tickets产生零缓存票证。klist sessions
吐出形式为“在 LogonId 上调用 API LsaGetLogonSessionData 时出错”的错误。
你知道这是什么原因造成的吗?建议我检查什么?
这不是我能控制的域。直接登录到计算机和通过 RDP 连接时的行为相同。但请注意,这个域显然已经发展了几十年,甚至可能最初是 NT4 域。我想知道他们是否在几年前的某个时候禁用了整个域的 Kerberos 身份验证(通过 GPO?),因为它导致了互操作问题,然后就忘了它。