需要帮助解决以下错误。我找不到太多有用的信息。
Event Source: Security-Kerberos
Event ID: 4
Qualifiers: 16384
Version: 0
Level: 2
Task: 0
Opcode: 0
Keywords: 0x80000000000000
Kerberos 客户端从服务器 D@@@@@$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 DOMAIN\DS@@@@@$。这表明目标服务器无法解密客户端提供的票证。当目标服务器主体名称 (SPN) 在目标服务正在使用的帐户以外的帐户上注册时,可能会发生这种情况。请确保目标 SPN 在服务器使用的帐户上注册,并且仅在该帐户上注册。当目标服务使用的目标服务帐户密码与 Kerberos 密钥分发中心 (KDC) 为目标服务帐户设置的密码不同时,也会出现此错误。请确保服务器上的服务和 KDC 都已更新为使用当前密码。如果服务器名称不是完全限定的,并且目标域 (My.FQDN.ORG) 与客户端域 (My.FQDN.ORG) 不同,请检查这两个域中是否存在同名的服务器帐户,或使用完全限定的名称来标识服务器。
简单介绍一下背景。我们的 DC 出现了一些随机问题。通常几个月后,其中一个 DC 将不再允许我们登录。如果我们关闭该 DC 上的 Kerberos,我们可以重新登录,但这会导致各种其他问题。通常我们只是将其关闭并创建另一个可以使用几个月的 DC,但是,我需要找出问题的根源。除了 kerberos 错误之外,我们还会看到组策略错误和 AD 复制错误,但我猜它们是由身份验证问题引起的。如果有人能指出正确的方向,我将不胜感激。
答案1
请看这里:https://support.microsoft.com/en-us/kb/558115
此外,客户端票证缓存可能已损坏并发送了格式错误的响应。
识别客户端和服务器并尝试进行一些 tcpdump。了解 Kerberos 中的完整步骤并查看哪个步骤出现问题。