原因 : 有一台筆電登入時,失去信任關係
之前都是退出網域之後,再加入,即會恢復正常登入
這次卻不行
已經弄了2-3小時,都還沒搞定
我有在事件上,有出現下列的問題
Kerberos 用戶端從伺服器 abcad4$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 cifs/TITCAD4.abc.com。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。請確定目標 SPN 已在 (且僅在) 伺服器所使用的帳戶上登錄。當目標服務為目標服務帳戶使用的密碼與 Kerberos 金鑰發佈中心 (KDC) 所擁有之目標服務帳戶的密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 皆已更新為使用正確的密碼。若伺服器名稱不是完整合格名稱,且目標網域 (abc.COM) 與用戶端網域 (abc.COM) 不同,請檢查這兩個網域中是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。
已邀請的邦友 {{ invite_list.length }}/5
首先先找一下機器上的錯誤訊息,應該有很多是security-Kerberos ID 4 的錯誤
如果是,依照下列步驟
1)登入該DC(abcad4)
2)停用KDC服務
3)重開機
4)用管理員身分執行cmd並且執行下面的指令 2次
netdom resetpwd /s:abcad4 /ud:your_domain_name\administrator /pd:your_administrator_password
5)重開機
6)設定KDC為自動
最近也碰到一樣的訊息,查了很久才發現,我遇到的狀況整理如下~
原因:
原本有台A主機,後來故障停用了,但A紀錄還在DNS Srver中。
接著新主機B則設定與原本A主機相同IP,但名稱不同,而DNS的IP對應不會自動更新。
狀況:
當AD連過去認證時才發現此IP是B主機名,與DNS紀錄A主機名不一致,票證也不一致,就導致這個錯誤出現。(錯誤訊息顯示的是cifs/A主機名)
解法:
把錯誤的DNS A紀錄刪掉即可.系統會自行登記新IP與B主機名稱.
比起固定IP而言,DHCP環境電腦久未登入或ip變更,可能更容易發生這狀況~
iThome鐵人賽
看影片追技術