Fehlerbehebung Krb_ap_err_modified Fehler In Der Beurteilung Von The Easy Way

Lassen Sie sich nicht noch einmal von Ihrem Computer enttäuschen. Klicken Sie hier, um unser Windows-Reparaturtool herunterzuladen und so schnell wie möglich wieder einsatzbereit zu sein.

Es scheint, dass einige unserer Benutzer auf eine Termite mit krb_ap_err_modified du gestoßen sind. Diese Sorge tritt aus mehreren Gründen auf. Heute werden wir sie besprechen.Symptome. „Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler bei Verwendung des Remote-Computers host/myserver.domain.com erhalten. Diese Technik, mit der das Konto zum Sichern des Kerberos-Nutzungstickets verwendet wird, ist speziell von dem Konto auf dem Zielserver.

Wird geladen×Tut mir leid, Sie zu beeinträchtigenAktualisieren
a krb_ap_err_modified error from the

Heute habe ich herausgefunden, dass der Address Controller, der Windows Server 2008 R2 verbindet, die Gruppenrichtlinien-Verwaltungskonsole nicht entsperrt. Der Fehler sagt “Zugriff verweigert”. Das Active Console-Verzeichnis wird ohne Probleme geöffnet. Sonstiges

Sieht so aus, als ob der Domänencontroller für diese Website auf der Domäne endlich in Betrieb ist.

Wenn dieses Problem auf dem Server auftritt, wird eine Ereignis-ID von 4 ausgelöst und eine Art der folgenden Schlüsselmeldung angezeigt:

  • Der Kerberos-Client hat ursprünglich vom gnserver$-Server einen KRB_AP_ERR_MODIFIED-Fehler empfangen. Das genannte Ziel war ldap/gnserver.mydomain.local. Dies weist darauf hin, dass der Zielserver das vom Client bereitgestellte Verständnisticket häufig nicht erhalten kann. Dies kann passieren, wenn der Prinzipalname des Servers (spn) unter einem Konto registriert ist, das mehrere Ereignisse größer ist als das Konto, das beim Zielanbieter verwendet wird. Stellen Sie sicher, dass ich sagen würde, dass der Ziel-SPN registriert ist, und dennoch nur für Sie registriert ist, das Konto, das der Server auszuführen hofft. Dieser Fehler kann auftreten, wenn das Zielprodukt ein anderes Passwort für das Nischendienstkonto anwendet als das, das vom Kerberos Key Distribution Center (KDC) für die Zieldienstkapazität verwaltet wird. Stellen Sie sicher, dass der gefundene Dienst den Server weiterleitet und kdc aktuell ist, um ein sicheres Passwort zu verwenden. Wenn der Servername irgendwie nicht vollständig qualifiziert ist und sich die Arbeitsumgebung (MYDOMAIN.LOCAL) von der Softwaredomäne (MYDOMAIN.LOCAL) unterscheidet, suchen Sie in diesen beiden Bereichen nach Serverfinanzkonten mit demselben Namen. oder verwenden Sie den vollständig qualifizierten Namen, um die einzelnen Server zu identifizieren.

Die Wissensdatenbank verweist auf einen einzelnen Artikel über das Entfernen unseres betroffenen personalisierten Objekts aus der aktiven Liste. Da es sich bei dem Rechenobjekt in der Situation jedoch um einen Domänencontroller handelt, bin ich mir nicht sicher, ob dies der nahezu vernünftige Ansatz ist oder nicht.

Hat irgendjemand jemals diese Situation qualifiziert oder eine bestimmte konkrete Vorstellung davon gehabt, wo ich immer hingehen sollte?

Bearbeitet am 16. April Juli 2015 zusammen mit 20:34 UTC.

Veröffentlicht am 12. Oktober 2020

TLDR: Dies kann auch auf die perfekte Nichtübereinstimmung in der Sicherheitsrichtlinie „Netzwerksicherheit: Konfigurieren der für Kerberos verfügbaren zugelassenen Verschlüsselungstypen“ zurückzuführen sein.

Betrachten Sie das Szenario:

  • Sie haben die Website so gestaltet, dass sie die Kerberos-Autorisierung durchführt. Es spielt keine Rolle, um welche Website es sich handelt, aber wir werden auch sagen, dass es sich immer um eine SharePoint-Website handelt, da dies bisher normalerweise das Thema ist.
  • Die Website befindet sich unter https://teams.contoso.com und ihr Pooltool wird unter dem Konto CONTOSOSP_WEB_APP_SVC ausgeführt.
  • Authentifizierung im Kernelmodus ist im IIS-Manager nicht zulässig.
  • Domänenbenutzer versuchen tatsächlich, auf die Zugriffsseite zuzugreifen, und geben drei Authentifizierungen, bevor ihnen der Zugriff verweigert wird.

  • Hinweis. Bei manchen Internetnutzern kann es vorkommen, dass der Zugriff verweigert wird, während andere keine Probleme haben, auf der Website zu navigieren.
  • Sie sehen sich das gesamte Systemereignisprotokoll im Netzwerk-Hosting-Bereich an und Sie stoßen auf den richtigen Fehler:
  • Ereignistyp: Fehler

    Wie konfiguriere ich den Kerberos-Client?

    Installieren Sie den Kerberos KDC Internet Hosting Server und Client. Laden Sie das gesamte aktuelle krb5-Serverpaket herunter und installieren Sie es.Ändern Sie normalerweise /etc/krb5. conf-Datei.KDC wechseln. conf-Datei.Eigentümerrechte zuweisen.Erstellen Sie einen bestimmten Prinzipal.Erstellen Sie eine einzelne Datenbank.Der Startteil des Kerberos-Dienstes.

    Ereignisquelle: Kerberos

    Veranstaltungskategorie: nein

    Ereignis-ID: 4


    ein krb_ap_err_modified-Fehler vom

    Datum: vorhanden

    Zeit: soll keine Rolle spielen

    Benutzer: N/A

    Computer: WFE1

    Beschreibung:


    In wenigen Minuten fehlerfreier PC

    Wir stellen vor: Reimage – die fortschrittlichste und umfassendste PC-Reparatursoftware der Welt. Ob Ihr Computer langsam läuft, Fehler aufweist oder einfach nicht mehr so ​​gut funktioniert wie früher, Reimage kann helfen. Diese leistungsstarke Anwendung diagnostiziert schnell häufige Probleme und behebt sie mit einem einzigen Klick. Sie genießen maximale Leistung, Schutz vor Datenverlust und Dateibeschädigung und die Gewissheit, dass Ihr Computer jetzt sicher und fehlerfrei ist. Probieren Sie Reimage noch heute aus!

  • Schritt 1: Reimage herunterladen und installieren
  • Schritt 2: Starten Sie die Anwendung und wählen Sie Ihre Sprache aus
  • Schritt 3: Befolgen Sie die Anweisungen auf dem Bildschirm, um einen Scan Ihres PCs zu starten

  • Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler vom SP_WEB_APP_SVC-Server erhalten. Das Ziel war der qualifizierte Name, der von http/teams.contoso.com verwendet wird. In einer anderen Methode stürzte der Zielserver ab, wodurch das von einer zufriedenen Kundschaft bereitgestellte Ticket entschlüsselt wurde. Dies kann stattfinden, wenn ein bestimmter Zielserver-Hauptname (spn) für das neueste andere Konto registriert ist, als das der Zielunterstützung verwenden kann. Stellen Sie sicher, dass die Arbeit am SPN nur auf dem Händlerkonto registriert ist, das vom Hosting-Server verwendet wird. Dieser Fehler kann auch auftreten, wenn sich herausstellt, dass das Passwort für den betreffenden Service-Service von dem allgemein im Key Distribution Center Kerberos konfigurierten Passwort für diesen wiederum Ziel-Service abweicht. Stellen Sie sicher, dass der Lieferant für den Server und das KDC gemeinsam konfiguriert sind, sodass beide Personen dasselbe Kennwort verwenden. Wenn der Servername definitiv alles andere als vollständig qualifiziert ist und sich die Zielwebsite (CONTOSO.COM) von der herkömmlichen Clientdomäne (CONTOSO-domain.COM) unterscheidet, überprüfen Sie, ob es tatsächlich Serverkonten mit demselben Namen gibt, die die verwenden zwei Felder oder verwenden Sie die vollqualifizierte Erkennung, um diesen Server zu identifizieren.

    Wie verwende ich setspn?

    Um setspn nutzen zu können, müssen Sie den wichtigsten setspn-Befehl rechtzeitig über einen erhöhten Befehl ausführen. Klicken Sie zum Öffnen eines effizienten erhöhten Keep Control on Prompt auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie Als Administrator ausführen aus. Beispiele zur Verwendung dieses Befehls finden Sie im Abschnitt Beispiele. Normalerweise müssen die SPNs nicht gewechselt werden.

    Meistens bedeutet der KRB_AP_ERR_MODIFIED-Fehler im Allgemeinen, dass Sie ein Problem mit Ihrem Service Principal Name (SPN) haben, nämlich dass der SPN die falsche Seite verursacht welche hinzugefügt werden sollen. Sie sollten diese Produkte zuerst überprüfen.

    Im obigen Szenario wissen Einzelpersonen, dass der Anwendungspool ein Domänenkonto zu haben scheint und die Kernelprozessauthentifizierung deaktiviert ist, was ehrlich gesagt ein typisches Setup für eine SharePoint-Webanwendung ist. In diesem Fall benötige ich nur ein HTTP-SPN-TV, da der Hostname der Site und zusätzlich ein Konto eingerichtet wird, das diesen speziellen neuen Anwendungspool ausführt.

    Wir können SETSPN -r (was ein kleines L ist) verwenden, um einen Überblick über die SPNs zu erhalten, die normalerweise nur in unserem Dienstkonto korrigiert wurden:

    ServicePrincipalNames registriert von CN=SP_WEB_APP_SVC,OU=Service Accounts,DC=contoso,DC=com:

    HTTP/teams.contoso.com

    HTTP/Befehle

    Wie behebe ich Ereignis-ID 4?

    Laut Microsoft: Grund:Notiz. Über die Signalisierungsereignisnachricht wird der Dienstanbieter des Rechners angegeben.Erlaubnis:Konto löschen, das nicht einmal verwendet wirdDer Zielcomputer mit Active Directory-Benutzer und -Computer.Überprüfen :Hinweis Klist.exe ist möglicherweise nicht enthalten, wenn Windows Vista, Windows Server 2003, Windows XP oder Windows 2000 installiert ist.

    Sie können dies auch vollständig verwalten, indem Sie sich den Anwendungs-SPN genauer ansehen, um alles zu sehen, auf was er eingestellt ist. Wofür verwenden Sie -q?

    Überprüfen Sie den Speicherplatz setspn DC=contoso,DC=com

    CN=SP_WEB_APP_SVC,OU=Dienstkonten,DC=contoso,DC=com

    HTTP/teams.contoso.com

    HTTP/Befehle

    Läuft Ihr Computer langsam und gibt Ihnen zeitweilige Fehler? Sind Sie besorgt über Datenverlust, Malware-Infektion oder Hardware-Ausfall? Mach dir keine Sorgen mehr! Reimage hilft Ihnen dabei.