镜像 Windows 工作站上的 RPCSS Kerberos 问题

在进行一些不相关的故障排除时（至少我是这样认为的，共享打印机问题），我遇到了一组令我担心的事件日志条目。

Machine Name:  labcomputer82
Source: Security-Kerberos
Event ID: 4
Event Description:

Kerberos 客户端从服务器 labcomputer143$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 RPCSS/imagemaster4.ad.domain.edu。这表明目标服务器无法解密客户端提供的票证。当目标服务器主体名称 (SPN) 在目标服务正在使用的帐户以外的帐户上注册时，可能会发生这种情况。请确保目标 SPN 在服务器使用的帐户上注册，并且仅在该帐户上注册。当目标服务使用的目标服务帐户密码与 Kerberos 密钥分发中心 (KDC) 为目标服务帐户设置的密码不同时，也会出现此错误。请确保服务器上的服务和 KDC 都已更新为使用当前密码。如果服务器名称不是完全限定的，并且目标域 (AD.DOMAIN.EDU) 与客户端域 (AD.DOMAIN.EDU) 不同，请检查这两个域中是否存在同名的服务器帐户，或使用完全限定的名称来标识服务器。

此消息中使用了三个计算机名称。它是在 labcomputer82 上生成的，它试图与另一个名为 labcomputer143 的实验室工作站通信，而相关服务 (RPCSS) 指的是此计算机映像来源的计算机名称（也可能是 labcomputer143 的名称，我不确定）。让我大吃一惊的是，名为的计算机labcomputer82正试图使用​​ SPN RPCSS/imagemaster4.ad.domain.edu。

AD 中计算机对象的 SPN 属性看起来不错。它具有应有的所有名称。

这些机器使用 Ghost 进行映像处理，并且（至少在这个特定情况下）使用 sysprep不是使用。在我们的 AD 域中的 3,000 多个计算机对象中，大约有 1,700 个是经常进行映像处理的计算机实验室席位，截至 9 月，大多数都是使用 Ghost/Profile-Copy 方法而不是 Microsoft 推荐的 Ghost/sysprep 方法进行映像处理的。如果此错误报告是 Windows 正在悄悄解决的重要问题，那么这些机器的 kerberos 可能已损坏并且正在恢复到 NTLMv2，我想知道，这样我就可以增加对 sysprep 采用的压力。