我在新林中有两个新域控制器。服务器安装了 DFS 和 IIS 服务。一段时间内一切似乎都正常。更新服务器后,我收到新错误。现在,每小时一次,附加域控制器 IIS2 会在事件日志中产生这些错误:
Kerberos 客户端从服务器 iis2$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 E3514235-4B06-11D1-AB04-00C04FC2DCD2/d170f7fc-6f05-4ea5-9dee-a657e3de019b/[电子邮件保护]。这表示目标服务器无法解密客户端提供的票证。当目标服务器主体名称 (SPN) 不是在目标服务正在使用的帐户上注册时,可能会发生这种情况。请确保目标 SPN 仅在服务器使用的帐户上注册。如果目标服务帐户密码与 Kerberos 密钥分发中心为该目标服务配置的密码不同,也会发生此错误。请确保服务器上的服务和 KDC 都配置为使用相同的密码。如果服务器名称不是完全限定的,并且目标域 (example.com) 与客户端域 (example.com) 不同,请检查这两个域中是否存在同名的服务器帐户,或使用完全限定的名称来标识服务器。
这到底是什么意思?我应该怎么做才能解决这个问题?如何开始...
这些服务器都是新的,我甚至尝试重新安装具有相同角色的服务器。每次都发生相同类型的 Kerberos 错误。以前是使用 Ldap 时出现问题,现在又出现了这种情况...
答案1
- 检查是否有重复的 SPN (setspn -X)
- 检查您是否有错误的 DNS 条目(其中一个名称可能会无意中将客户端带到两台不同的机器 - 我提到“无意”是因为在某些情况下这样的设置是合法的,例如您想利用 DNS 循环进行负载平衡/容错等)。