← Вернуться в раздел «В помощь системному администратору»

» Ошибка KERBEROS

Автор: v_merkulov
Дата сообщения: 08.11.2006 11:37

Подскажите ПЛИЗ у меня на серваке 2003sp1 в протоколе Система-Событие висит вото такая фигня на каждого пользователя моей сети:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера ONLINE$. Использовавшееся конечное имя: cifs/PLP.khomiac.ic.kharkov.ua. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (KHOMIAC.IC.KHARKOV.UA) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами. Обратитесь к системному администратору.
-Что мне делать я не заню? все уже перебрал!

Автор: Vian
Дата сообщения: 08.11.2006 12:49

Смотри в DNS в зоне прямого просмотра - нет ли одинаковых IP у станций, которые там зарегестрированный? Если есть - то измени, чтобы не совпадали. Лучше поменять на те IP, которые раздал DHCP.

Автор: v_merkulov
Дата сообщения: 08.11.2006 17:48

Vian. Да, я обнаружил в зоне прямого просмотра 12х и 33х по 2 айпишника! удалил эти записи. Вроде больше не ругается! Спасибо большое.

Автор: Vian
Дата сообщения: 08.11.2006 18:51

Не за что, если начинают лезть ошибки начинай с http://eventid.net/ - очень часто помогает в типичных ситуациях.

Автор: Mew
Дата сообщения: 10.12.2007 14:49

Не поможете в такой ситуации? Это тоже связано с ошибкой Kerberos. На контроллере домена (windows 2003 сервер) netdiag выдает такую ошибку:

Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for host/mserver.moffice.xxxxx.ru.
У клиентов это проявляется тем, что не всегда они могут попадать на ресурсы домена и выскакивают ошибки типа этой:

(ID5719) Для домена MOFFICE нет доступного контроллера домена. Ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

(ID40961) Системе безопасности не удалось установить безопасное подключение к серверу ldap/mserver.moffice.xxxxx.ru/moffice.xxxxx.ru@moffice.xxxxx.ru. Отсутствуют доступные протоколы проверки подлинности.

(ID40960) Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/MSERVER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

(ID1053) Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

Можете что-нибудь подсказать по этому поводу?

Автор: Infected Switch
Дата сообщения: 10.12.2007 15:07

Mew
У клиентского ПК нет билета Керберос. Как вариант - синхронизация времени с сервером - интервал не должен превышать 5 минут.

Добавлено:
Следующим этапом имеет смысл удалить пк из домена, удалить его УЗ, потом добавить пк заново.

Автор: Mew
Дата сообщения: 10.12.2007 15:24

Infected Switch
А ошибка выдаваемая утилитой netdiag на контроллере домена (Kerberos test. . . Failed) не говорит, что неполадки в контроллере домена?

Автор: Infected Switch
Дата сообщения: 10.12.2007 15:26

В логах контроллера какие ошибки?

Автор: Mew
Дата сообщения: 10.12.2007 15:39

Event Type:    Warning
Event Source:    W32Time
Event Category:    None
Event ID:    12
Date:        10.12.2007
Time:        15:59:53
User:        N/A
Computer:    MSERVER
Description:
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
***

Event Type:    Warning
Event Source:    NETLOGON
Event Category:    None
Event ID:    5773
Date:        10.12.2007
Time:        9:42:29
User:        N/A
Computer:    MSERVER
Description:
The following DNS server that is authoritative for the DNS domain controller locator records of this domain controller does not support dynamic DNS updates:

DNS server IP address: 217.16.16.30
Returned Response Code (RCODE): 4
Returned Status Code: 9004

USER ACTION
Configure the DNS server to allow dynamic DNS updates or manually add the DNS records from the file '%SystemRoot%\System32\Config\Netlogon.dns' to the DNS database.

***

Event Type:    Error
Event Source:    DNS
Event Category:    None
Event ID:    6702
Date:        09.12.2007
Time:        15:07:20
User:        N/A
Computer:    MSERVER
Description:
DNS server has updated its own host (A) records. In order to ensure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update. An error was encountered during this update, the record data is the error code.

If this DNS server does not have any DS-integrated peers, then this error
should be ignored.

If this DNS server's Active Directory replication partners do not have the correct IP address(es) for this server, they will be unable to replicate with it.

To ensure proper replication:
1) Find this server's Active Directory replication partners that run the DNS server.
2) Open DnsManager and connect in turn to each of the replication partners.
3) On each server, check the host (A record) registration for THIS server.
4) Delete any A records that do NOT correspond to IP addresses of this server.
5) If there are no A records for this server, add at least one A record corresponding to an address on this server, that the replication partner can contact. (In other words, if there multiple IP addresses for this DNS server, add at least one that is on the same network as the Active Directory DNS server you are updating.)
6) Note, that is not necessary to update EVERY replication partner. It is only necessary that the records are fixed up on enough replication partners so that every server that replicates with this server will receive (through replication) the new data.

***

Больше ничего не видно...

Автор: Infected Switch
Дата сообщения: 10.12.2007 16:17

Mew

Цитата:

Configure the DNS server to allow dynamic DNS updates

Автор: Mew
Дата сообщения: 11.12.2007 15:16

Ошибка "Kerberos test. . . Failed" все равно осталась...

Автор: SSSig
Дата сообщения: 28.10.2008 05:31

Парни а про эту ошибку ничего не подскажите?

Komp:/etc # net ads join -U admin
Enter admin's password:
[2008/10/28 11:41:37, 0] libads/sasl.c:ads_sasl_spnego_bind(819)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: KDC can't fulfill requested option
Failed to join domain: failed to connect to AD: KDC can't fulfill requested option

Автор: rustaveliano
Дата сообщения: 25.01.2011 13:53

DNS server has updated its own host (A) records. In order to ensure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update. An error was encountered during this update, the record data is the error code.

If this DNS server does not have any DS-integrated peers, then this error
should be ignored.

Что это может быть?

Страницы: 1

Предыдущая тема: Выбрасывает из удаленного рабочего стола сразу при входе

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.