0
Kerberos security error bei hinzufügen eines Win2k8 DCs in den Server Manager
Hallo zusammen,
ich habe zur Zeit folgendes Problem:
Wenn ich einen unserer beiden DC's in den Server-Manager auf einem Administrations-Client hinzufüge, bekomme ich direkt danach die Fehlermeldung "Automatic Refresh - refresh failed".
In den Task Details steht dann:
Im Eventlog des Clients ist folgendes zu lesen:
Der Admin-Client und der Server sind in der selben Domäne, angemeldet ist Domänen-Admin.
Am Server erscheint folgender Eintrag im Security-Log:
Bisher habe ich dazu nur herausgefunden, dass das Problem evtl. mit falschen/fehlenden SPN's zu tun hat, ich habe aber bisher keine verständliche Lösung im Netz gefunden - was auch daran liegen könnte, dass mir das Verständnis beim Thema Kerberos/SPN's noch fehlt...
Für jegliche Hilfe bin ich dankbar!
Grüße, JD
ich habe zur Zeit folgendes Problem:
Wenn ich einen unserer beiden DC's in den Server-Manager auf einem Administrations-Client hinzufüge, bekomme ich direkt danach die Fehlermeldung "Automatic Refresh - refresh failed".
In den Task Details steht dann:
[SERVERNAME]: Configuration refresh failed with the following error: Die Anforderung kann von WinRM nicht verarbeitet werden. bei Verwendung der kerberos-Authentifizierung ist der > folgende Fehler mit Fehlercode 0x80090322 aufgetreten: Unbekannter Sicherheitsfehler. [...]"
Im Eventlog des Clients ist folgendes zu lesen:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "[servername]$" empfangen. Der verwendete Zielname war HTTP/[servername].Pfalzgraf.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DOMAENE.LOCAL) von der Clientdomäne (DOMAENE.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Quelle: Security-Kerberos
Ereignis-ID 4
Quelle: Security-Kerberos
Ereignis-ID 4
Der Admin-Client und der Server sind in der selben Domäne, angemeldet ist Domänen-Admin.
Am Server erscheint folgender Eintrag im Security-Log:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
[...]
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname:
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
[...]
Bisher habe ich dazu nur herausgefunden, dass das Problem evtl. mit falschen/fehlenden SPN's zu tun hat, ich habe aber bisher keine verständliche Lösung im Netz gefunden - was auch daran liegen könnte, dass mir das Verständnis beim Thema Kerberos/SPN's noch fehlt...
Für jegliche Hilfe bin ich dankbar!
Grüße, JD
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281786
Url: https://administrator.de/contentid/281786
Printed on: April 26, 2024 at 13:04 o'clock