- Remove From My Forums
-
Общие обсуждения
-
Добрый день.
Прошу помочь решить вопрос с данной ошибкой, бьюсь несколько дней, ничего не могу сделать.
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера Win01$. Использовалось целевое имя HTTP/WIN01.domain.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда
целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может
возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный
домен (DOMAIN.LOCAL) отличается от домена клиента (DOMAIN.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.Спасибо.
-
Изменен тип
7 марта 2016 г. 8:24
-
Изменен тип
- Remove From My Forums
-
Question
-
Have been trying to clean up AD for a DC migration on our network and I found these events on all the DC’s. Just want to be certain that this is nothing critical and would like to identify if there is an incorrect configuration on any of the services.
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server dc01$. The target name used was cifs/localhost. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal
name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than
what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (****.COM)
is different from the client domain (****.COM), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.We have 4 DC’s all running on 2012 except for one running on 2016. Would want to make sure if the AD is healthy and this doesn’t seem to have broken anything. Have had lots of problems with a previous DC migration and would like to ensure I have a smooth
one while moving over to 2016.
- Remove From My Forums
-
Question
-
Have been trying to clean up AD for a DC migration on our network and I found these events on all the DC’s. Just want to be certain that this is nothing critical and would like to identify if there is an incorrect configuration on any of the services.
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server dc01$. The target name used was cifs/localhost. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal
name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than
what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (****.COM)
is different from the client domain (****.COM), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.We have 4 DC’s all running on 2012 except for one running on 2016. Would want to make sure if the AD is healthy and this doesn’t seem to have broken anything. Have had lots of problems with a previous DC migration and would like to ensure I have a smooth
one while moving over to 2016.

- Remove From My Forums
-
Общие обсуждения
-
Коллеги день добрый, подскажите что можно проверить?
Есть ферма Sharepoint есть лес в нем сайты Питер Москва Киев Ульяновск
Аутентификация kerberos отрабатывает отлично у пользователей Питера, а вот у пользователей Остальных сайтов постоянно запрашивает логин и пароль.
Куда можно посмотреть подскажите? что бы понять в чем трабл?
-
Изменено
Dedman2k3
16 мая 2017 г. 10:01 -
Изменен тип
Иван ПродановMicrosoft contingent staff, Moderator
2 июня 2017 г. 6:10
-
Изменено
Все ответы
-
Прежде всего,
включите протоколирование Kerberos на Sharepoint — может, что увидите сразу. Смотреть надо в журнале событий Система. Заодно полезно посмотреть этот же журнал на предмет ошибок Kerberos на том контроллере домена,
с которым работают пользователи (на контроллерах домена протоколирование Kerberos включено по умолчанию).Далее.
Про лес и сайты — это понятно. Но для аутентификации важнее логическая структура AD — домены. Домен у вас один на все площадки, или у них свои домены?
Если один на все площадки, то проверяйте репликацию между всеми контроллерами домена.
Если доменов несколько, то нужно проверить, что пользователям доступны контроллеры всех доменов по пути аутентификации (т.е. по цепочке отношений доверия в лесу). Полезным будет посмотреть (например, командой klist.exe)
наличие в кэше у пользователя билетов TGT на все промежуточные контроллеры после попытки обращения к Sharepoint. Имеет смысл проверить журналы событий на этих контроллерах на предмет ошибок Kerberos.
Слава России!
-
Изменено
M.V.V. _
16 мая 2017 г. 11:28
-
Изменено
-
Прежде всего,
включите протоколирование Kerberos на Sharepoint — может, что увидите сразу. Смотреть надо в журнале событий Система. Заодно полезно посмотреть этот же журнал на предмет ошибок Kerberos на том контроллере домена,
с которым работают пользователи (на контроллерах домена протоколирование Kerberos включено по умолчанию).Далее.
Про лес и сайты — это понятно. Но для аутентификации важнее логическая структура AD — домены. Домен у вас один на все площадки, или у них свои домены?
Если один на все площадки, то проверяйте репликацию между всеми контроллерами домена.
Если доменов несколько, то нужно проверить, что пользователям доступны контроллеры всех доменов по пути аутентификации (т.е. по цепочке отношений доверия в лесу). Полезным будет посмотреть (например, командой klist.exe)
наличие в кэше у пользователя билетов TGT на все промежуточные контроллеры после попытки обращения к Sharepoint. Имеет смысл проверить журналы событий на этих контроллерах на предмет ошибок Kerberos.
Слава России!
Большое спасибо за совет, буду сегодня шустрить проверять, по результатам отпишусь, что в итоге нашел.
-
есть вот такая ошибка на самом сервере WFE . видимо когда пытаюсь с сервера WFE запустить ЦА( ЦА находиться на sp01) ну и т.к. на сервере WFE не пускает не под каким логином и паролем в ЦА выдает вот такую
ошибку.. не совсем понятно что с ней делатьПолучено сообщение об ошибке Kerberos:
в сеансе входа в систему домен.RUsp01$
Время клиента:
Время сервера: 14:30:3.0000 5/16/2017 Z
Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
Расширенная ошибка:
Область клиента:
Имя клиента:
Область сервера: домен.ru
Имя сервера: krbtgt/домен.ru
Имя целевого объекта: krbtgt/домен.ru@домен.ru
Текст ошибки:
Файл: e
Строка: d3f
Данные ошибки в данных записи.а ниже еще вот такая ошибка
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sp02$. Использовалось целевое имя HTTP/sp02.домен.ru. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда
целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может
возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный
домен (домен.RU) отличается от домена клиента (домен.RU), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.-
Изменено
Dedman2k3
16 мая 2017 г. 14:36
-
Изменено
-
Прежде всего,
включите протоколирование Kerberos на Sharepoint — может, что увидите сразу. Смотреть надо в журнале событий Система. Заодно полезно посмотреть этот же журнал на предмет ошибок Kerberos на том контроллере домена,
с которым работают пользователи (на контроллерах домена протоколирование Kerberos включено по умолчанию).на WFE включил протоколирование kerberos постоянные ошибки:
Получено сообщение об ошибке Kerberos:
в сеансе входа в систему domen.RUsp01$
Время клиента:
Время сервера: 8:0:3.0000 5/17/2017 Z
Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
Расширенная ошибка:
Область клиента:
Имя клиента:
Область сервера: domen.ru
Имя сервера: krbtgt/domen.ru
Имя целевого объекта: krbtgt/domen.ru@domen.ru
Текст ошибки:
Файл: e
Строка: d3f
Данные ошибки в данных записи.Получено сообщение об ошибке Kerberos:
в сеансе входа в систему
Время клиента:
Время сервера: 8:0:0.0000 5/17/2017 Z
Код ошибки: 0x1b Unknown Error
Расширенная ошибка:
Область клиента:
Имя клиента:
Область сервера: domen.RU
Имя сервера: spsearch
Имя целевого объекта: spsearch@domen.RU
Текст ошибки:
Файл: 9
Строка: 12c5
Данные ошибки в данных записи.на контроллерах домена нету вообще ошибок, подобных тоже.
Далее.
Про лес и сайты — это понятно. Но для аутентификации важнее логическая структура AD — домены. Домен у вас один на все площадки, или у них свои домены?
домен один.
-
Изменено
Dedman2k3
17 мая 2017 г. 8:18
-
Изменено
-
Возможно, имеют место проблемы из-за MTU на каналах связи, меньших, чем стандартные 1500 для Ethernet.
Можно попробовать (хотя бы — для диагностики)
принудительно заставить Kerberos работать только по TCP.PS Померить MTU можно с помощью команды ping -f -l размер_пакета адрес.места.назначения : ищите максимальный размер_пакета, при котором ping ещё проходит. Для стандартного MTU для Ethernet размер_пакета
=1472 (28 байт съедает заголовок).
Слава России!
-
Возможно, имеют место проблемы из-за MTU на каналах связи, меньших, чем стандартные 1500 для Ethernet.
Можно попробовать (хотя бы — для диагностики) принудительно заставить Kerberos работать только по TCP.
PS Померить MTU можно с помощью команды ping -f -l размер_пакета адрес.места.назначения : ищите максимальный размер_пакета, при котором ping ещё проходит. Для стандартного MTU для Ethernet размер_пакета
=1472 (28 байт съедает заголовок).
Слава России!
cделал так на пользовательском пк включил логировнаие kerberos и принудительно работать через tcp
нечего кроме ошибки не нашел(
Получено сообщение об ошибке домен:
в сеансе входа в систему доменполльзователь
Время клиента:
Время сервера: 8:56:44.0000 5/18/2017 Z
Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
Расширенная ошибка:
Область клиента:
Имя клиента:
Область сервера: домен
Имя сервера: krbtgt/домен
Имя целевого объекта: krbtgt/домен@домен
Текст ошибки:
Файл: e
Строка: d39
Данные ошибки в данных записи. -
Это может даже не быть ошибкой: в некоторых случаях клиент Kerberos начинает запрос TGT для без предварительной аутентификации, на что ему KDC (т.е. контроллер домена) возвращает ошибку с требованием аутентификации и дальше
всё работает нормально.Смотрите на клиенте (посредством klist), получает ли он билет Kerberos для службы Sharepoint при обращении к этому серверу.
Слава России!
-
Смотрите на клиенте (посредством klist), получает ли он билет Kerberos для службы Sharepoint при обращении к этому серверу.
Слава России!
ок, значит зашел на машину в московском офисе, там где не работает аутентификация
сделал klist purge
потому прописал klist, выдал Кешированные билетов 0
Запустил IE, ввел в адресную строку имя портала, у меня сразу запросил логин и пароль, нажал отмена, после снова в командной строке ввел klist пишет:
текущим идетификатором входа является 0:0x4097be6
Кешированные билеты : 0
Ок, думаю я. нету нечего т.к. не работает, беру машину питерскую там где работает аутентификация.
пишу также в начале klist purge.
открываю браузер ввожу имя портала, аутентификация проходит успешно все ок.
ввожу в командной строке klist пишет:
Кешированные билеты : 0
не совсем понятно почему и в том и в другом случае 0
куда дальше копать?
-
По поводу Kerberos — копать в сторону того, используется ли он у вас вообще при аутентификации на Sharepoint. Например, в событиях аудита успешных попыток входа на этот сервер посмотреть используемый протокол аутентификации. Потому
как у вас были выше сообщения, намекавшие на неверную настройку SPN, что препятствует использованию Kerberos.А по поводу запросов пароля (совсем забыл про это, посыпаю голову пеплом) — смотреть настройки безопасности IE: там по умолчанию ЕМНИП стоит автоматический вход (т.е. без запроса пароля) только в пределах местной
интрасети, а сайт в другой подсети обычно в неё не попадает. Используемый протокол аутентификации на это поведение IE не влияет.
Слава России!
-
По поводу Kerberos — копать в сторону того, используется ли он у вас вообще при аутентификации на Sharepoint. Например, в событиях аудита успешных попыток входа на этот сервер посмотреть используемый протокол аутентификации. Потому
как у вас были выше сообщения, намекавшие на неверную настройку SPN, что препятствует использованию Kerberos.хмм возможно вы правы, я что то где то упустил..
вот лог из журнала безопасности аудит успеха на WFE сервере взят, это когда питреской тачке пользователь аутентифировался на портале автоматически лог показывает через kerberos:
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности:
NULL SID
Имя учетной записи:
—
Домен учетной записи:
—
Код входа:
0x0Тип входа: 3
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности:
доменtemp2
Имя учетной записи:
temp2
Домен учетной записи:
домен
Код входа:
0x5B7348E
GUID входа:
{24670dde-adf0-babb-93b8-8f3f11bedea3}Сведения о процессе:
Идентификатор процесса:
0x0
Имя процесса:
—Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника:
192.168.2.217
Порт источника:
55339Сведения о проверке подлинности:
Процесс входа:
Kerberos
Пакет проверки подлинности:
Kerberos
Промежуточные службы:
—
Имя пакета (только NTLM):
—
Длина ключа:
0Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле «Уровень олицетворения» задает допустимую степень олицетворения для процессов в данном сеансе входа в систему.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.в шарике на веб приложении kerberos выбран:
setspn на учетку из под которой работает веб-приложение портала прописан
далее в iis kerberos настроен на сервере WFE:
А по поводу запросов пароля (совсем забыл про это, посыпаю голову пеплом) — смотреть настройки безопасности IE: там по умолчанию ЕМНИП стоит автоматический вход (т.е. без запроса пароля) только в пределах местной
интрасети, а сайт в другой подсети обычно в неё не попадает. Используемый протокол аутентификации на это поведение IE не влияет.хмм поу молчанию на всех пк в домене стоит:
получается, что то то похожее что вы описали.. просто у нас на питерском ADсайте допустим 1 подсети до 25 подсети, логинется автоматически на портал, а вот на ADсайте московском там с 26 подсети по 80 и в этих подсетях
как раз так не работает…
Слава России!
порекомедуйте пожалуйста как можно выяснить почему не работает kerberos ?? что я забыл…
-
Изменено
Dedman2k3
20 мая 2017 г. 17:41
-
Изменено
Содержание
- Ошибка: сбой проверки подлинности Kerberos
- Для проверки того, что DNS на целевом компьютере правильно распознает имя главного компьютера:
- Проблемы с проверкой подлинности Kerberos, когда пользователь принадлежит к многим группам
- Симптомы
- Причина
- Решение
- Вычисление максимального размера маркера
- Известные проблемы, влияющие на MaxTokenSize
- Ошибка «Неподтверченный etype» при доступе к ресурсу в надежном домене
- Симптомы
- Причина
- Типы шифрования Kerberos
- Проверка подлинности NTLM
- Решение
- Метод 1. Настройка доверия для поддержки шифрования AES128 и AES 256 в дополнение к шифрованию RC4
- Метод 2. Настройка клиента для поддержки шифрования RC4 в дополнение к шифрованию AES128 и AES256
- Метод 3. Настройка доверия для поддержки шифрования AES128 и AES 256 вместо шифрования RC4
- Дополнительная информация
- Ошибка проверки подлинности kerberos windows server 2019
- Идентификация и доступ в Active Directory
- Протокол аутентификации kerberos
- Детальная проверка kerberos от начала логирования
- Ошибка проверки подлинности kerberos windows server 2019
- Спрашивающий
- Общие обсуждения
- Все ответы
Ошибка: сбой проверки подлинности Kerberos
В ходе удаленной отладки может возникнуть следующее сообщение об ошибке:
Эта ошибка возникает, когда монитор удаленной отладки Visual Studio выполняется от имени учетной записи локальной системы (LocalSystem) или учетной записи сетевой службы (NetworkService). Работая под одной из этих учетных записей, удаленный отладчик должен установить соединение с аутентификацией на основе Kerberos, чтобы иметь возможность возвращать данные главному компьютеру отладчика Visual Studio.
Проверка подлинности Kerberos невозможна при следующих условиях:
Удаленный компьютер или ведущий компьютер с отладчиком включен в рабочую группу, а не в домен.
Служба Kerberos на контроллере домена была отключена.
Если аутентификация на основе Kerberos недоступна, следует сменить учетную запись, от имени которой выполняется монитор удаленной отладки Visual Studio. Инструкции см. в статье Ошибка: службе удаленного отладчика Visual Studio не удается подключиться к этому компьютеру.
Если оба компьютера входят в один и тот же домен, но это сообщение возникает снова, проверьте, что служба DNS на целевом компьютере правильно определяет имя главного компьютера. Выполните описанные ниже действия.
Для проверки того, что DNS на целевом компьютере правильно распознает имя главного компьютера:
На целевом компьютере войдите в меню Пуск и выберите в меню Стандартные пункт Командная строка.
В окне командной строки введите:
В первой строке ответа ping будет выведено полное имя компьютера и IP-адрес, возвращаемый службой DNS для указанного компьютера.
Источник
Проблемы с проверкой подлинности Kerberos, когда пользователь принадлежит к многим группам
Эта статья поможет вам решить проблемы с ошибкой проверки подлинности Kerberos, когда пользователь принадлежит к многим группам.
Применяется к: Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 327825
Симптомы
Дополнительные сведения о контексте ошибки см. в ссылке HTTP 400 Bad Request (Запросзагона слишком долго) ответов на запросы HTTP.
В аналогичных условиях Windows проверки подлинности NTLM работает, как и ожидалось. Проблема проверки подлинности Kerberos может возникнуть только при анализе Windows поведения. Однако в таких сценариях Windows не удастся обновить параметры групповой политики.
Такое поведение происходит в любой из поддерживаемых в настоящее время Windows версиях. Сведения о поддерживаемых версиях Windows см. в Windows.
Причина
Пользователь не может проверить подлинность, так как билет, который создает Kerberos для представления пользователя, недостаточно велик, чтобы содержать все члены группы пользователя.
В рамках службы проверки подлинности ExchangeWindows создает маркер для представления пользователя для целей авторизации. Этот маркер (также называемый контекстом авторизации) включает идентификаторы безопасности (SID) пользователя и siD-коды всех групп, к которой принадлежит пользователь. Он также включает все SID-данные, хранимые в атрибуте учетной sIDHistory записи пользователя. Kerberos хранит этот маркер в структуре данных сертификата атрибута привилегий (PAC) в билете Kerberos Ticket-Getting (TGT). Начиная с Windows Server 2012, Kerberos также сохраняет маркер в структуре данных Active Directory Claims (Dynamic Access Control) в билете Kerberos. Если пользователь является членом большого количества групп, и если существует много утверждений для пользователя или используемого устройства, эти поля могут занимать много пробелов в билете.
Маркер имеет фиксированный максимальный размер MaxTokenSize (). Транспортные протоколы, такие как удаленный вызов процедуры (RPC) и HTTP, зависят от значения при выделении буферов MaxTokenSize для операций проверки подлинности. MaxTokenSize имеет следующее значение по умолчанию в зависимости от версии Windows, которая создает маркер:
Как правило, если пользователь принадлежит к более чем 120 универсальным группам, значение по умолчанию не создает достаточно большого буфера для MaxTokenSize удержания информации. Пользователь не может проверить подлинность и может получить сообщение из памяти. Кроме того, Windows не сможет применить параметры групповой политики для пользователя.
Другие факторы также влияют на максимальное число групп. Например, УАИ для глобальных и локальных доменных групп имеют меньшие требования к пространству. Windows Server 2012 и более поздние версии добавляют сведения о претензиях в билет Kerberos, а также сжимаются SID-данные ресурсов. Обе функции изменяют требования к пространству.
Решение
Чтобы устранить эту проблему, обновим реестр на каждом компьютере, который участвует в процессе проверки подлинности Kerberos, включая клиентские компьютеры. Рекомендуется обновить все системы на Windows, особенно если пользователям необходимо войти в несколько доменов или лесов.
Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Перед его изменением необходимо создать реестр длявосстановления в случае возникновения проблем.
На каждом из этих компьютеров установите запись реестра для MaxTokenSize большего значения. Эту запись можно найти в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters подкайке. Компьютеры должны перезапустить после внести это изменение.
Дополнительные сведения об определении нового значения см. в разделе Вычисление максимального размера маркера MaxTokenSize в этой статье.
Например, рассмотрим пользователя, используюшего веб-приложение, которое опирается на SQL Server клиента. В рамках процесса проверки подлинности клиент SQL Server передает маркер пользователя в SQL Server базу данных. В этом случае необходимо настроить запись реестра на каждом MaxTokenSize из следующих компьютеров:
В Windows Server 2012 (и более поздних версиях) Windows можно войти в журнал события (Event ID 31), если размер маркера преодолеет определенный порог. Чтобы включить такое поведение, необходимо настроить параметр групповой политики Конфигурация компьютераАдминистративные шаблоныSystemKDCWarning для больших билетов Kerberos.
Вычисление максимального размера маркера
TokenSize = 1200 + 40d + 8s
Для Windows Server 2012 (и более поздних версий) эта формула определяет свои компоненты следующим образом:
Windows Сервер 2008 R2 и более ранние версии используют ту же формулу. Тем не менее, в этих версиях число членов группы домена и локальной группы является частью значения d, а не значения s.
Если у вас есть значение 0x0000FFFF (64K), вы можете быть в состоянии буферить примерно MaxTokenSize 1600 D-класса SID или примерно 8000 S-class SIDs. Однако на значение, которое можно безопасно использовать, влияет ряд других факторов, в том числе MaxTokenSize следующие:
Если вы используете доверенные учетные записи делегирования, каждый SID требует в два раза больше места.
Если у вас несколько трастов, настройте эти траста для фильтрации siD-систем. Эта конфигурация снижает влияние размера билета Kerberos.
Если вы используете Windows Server 2012 или более поздний вариант, на требования к пространству SID также влияют следующие факторы:
В 2019 г. Корпорация Майкрософт отправила обновления в Windows, которые изменили конфигурацию неподготовленного делегирования для Kerberos на отключенную. Дополнительные сведения см. в статью Updates to TGT delegation across incoming trusts in Windows Server.
Так как сжатие SID ресурсов широко используется и неконтентированное делегированное число неограниченно, 48000 или больше должны стать достаточными для MaxTokenSize всех сценариев.
Известные проблемы, влияющие на MaxTokenSize
Для большинства реализаций должно быть достаточно значения в MaxTokenSize 48 000 bytes. Это значение по умолчанию в Windows Server 2012 и более поздних версиях. Однако, если вы решите использовать большее значение, просмотрите известные проблемы в этом разделе.
Ограничение размера в 1010 групповых SID для маркера доступа к LSA
Эта проблема аналогична тому, что пользователь, у которого слишком много членов группы, не может проверить подлинность, но расчеты и условия, которые регулируют проблему, отличаются. Например, пользователь может столкнуться с этой проблемой при использовании проверки подлинности Kerberos или Windows проверки подлинности NTLM. Дополнительные сведения см. в статью Ведение журнала учетной записи пользователя, в которую входит более 1010групп, на компьютере на Windows сервере.
Известная проблема при использовании значений MaxTokenSize более 48 000
Для смягчения вектора атаки на службу internet Information Server (IIS) использует ограниченный размер буфера http-запроса в 64 КБ. Билет Kerberos, который является частью http-запроса, закодирован как Base64 (6 битов, расширенный до 8 битов). Таким образом, билет Kerberos использует 133 процента от первоначального размера. Поэтому, если максимальный размер буфера в IIS составляет 64 КБ, билет Kerberos может использовать 48 000 битов.
Если задать запись реестра значению, которое превышает 48000 bytes, и буферное пространство используется для siDs, может возникнуть ошибка MaxTokenSize IIS. Однако если вы установите запись реестра до 48 000 бит и используете пространство для SID-файлов и утверждений, возникает ошибка MaxTokenSize Kerberos.
Известные проблемы при использовании значений MaxTokenSize больше 65 535
Мы также определили, что протокол IKE IPSEC не позволяет BLOB-адресу безопасности быть больше 66 536 битов, и он также не будет иметь значения, когда задавалось большее MaxTokenSize значение.
Источник
Ошибка «Неподтверченный etype» при доступе к ресурсу в надежном домене
Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 4492348
Симптомы
Компьютер в детском домене леса Службы домена Active Directory (AD DS) не может получить доступ к службе, которая находится в другом домене в одном лесу. При запуске сетевого следа на сообщениях на клиентском компьютере и с клиентского компьютера этот след содержит следующие сообщения Kerberos:
На контроллере домена детского домена viewer событий записи следующую запись события 14:
Причина
Эта проблема возникает при настройке домена ребенка (или только клиента) следующим образом:
Типы шифрования Kerberos
Шифрование RC4 считается менее безопасным, чем более новые типы шифрования, AES128-CTS-HMAC-SHA1-96 и AES256-CTS-HMAC-SHA1-96. Руководства по безопасности, такие как руководство по технической реализации Windows 10 безопасности, предоставляют инструкции по повышению безопасности компьютера, настроив его на использование только шифрования AES128 и/или AES256 (см. типы шифрования Kerberos, чтобы предотвратить использование наборов шифрования DES и RC4).
Такой клиент может продолжать подключаться к службам в собственном домене, которые используют шифрование AES128 или AES256. Однако другие факторы могут помешать клиенту подключиться к аналогичным службам в другом доверяемом домене, даже если эти службы также используют шифрование AES128 или AES256.
На очень высоком уровне контроллер домена (DC) отвечает за управление запросами доступа в собственном домене. В рамках процесса проверки подлинности Kerberos dc проверяет, что клиент и служба могут использовать один и тот же тип шифрования Kerberos. Однако, когда клиент запрашивает доступ к службе в другом доверяемом домене, dc клиента должен «передать» клиенту dc в домен службы. Когда dc создает билет на передачу, вместо сравнения типов шифрования клиента и службы, он сравнивает типы шифрования клиента и доверия.
Проблема возникает из-за конфигурации самого доверия. В Active Directory объект домена имеет связанные доверенные объекты домена (TDOs), которые представляют каждый домен, которому он доверяет. Атрибуты TDO описывают отношения доверия, включая типы шифрования Kerberos, поддерживаемые доверием. Связь по умолчанию между детским доменом и родительским доменом — это двунаружное транзитное доверие, которое поддерживает тип шифрования RC4. Оба родительского и детского домена имеют TDOs, которые описывают эту связь, в том числе тип шифрования.
Проверка подлинности NTLM
После сбоя проверки подлинности Kerberos клиент пытается вернуться к проверке подлинности NTLM. Однако если проверка подлинности NTLM отключена, у клиента нет других альтернатив. Поэтому попытка подключения сбой.
Решение
Чтобы устранить эту проблему, используйте один из следующих методов:
Выбор зависит от ваших потребностей в безопасности и необходимости свести к минимуму нарушения или поддерживать обратную совместимость.
Метод 1. Настройка доверия для поддержки шифрования AES128 и AES 256 в дополнение к шифрованию RC4
Этот метод добавляет новые типы шифрования в конфигурацию доверия и не требует изменений для клиента или службы. В этом методе для настройки доверия используется средство командной ksetup строки.
Чтобы настроить тип доверия шифрования Kerberos, откройте окно командной подсказки на домене DC в доверенного домена и введите следующую команду:
В этой команде представлено полностью квалифицированное доменное имя (FQDN) доверяемого домена.
В примере, в котором находится корневой домен (где находится служба) и это детский домен (где находится клиент), откройте окно командной подсказки на dc и введите следующую contoso.com child.contoso.com contoso.com команду:
После завершения этой команды dc может успешно создать переходный билет, который клиент может использовать для child.contoso.com достижения contoso.com dc.
Так как связь между двумя доменами является двунастройным транзитным доверием, настройте другую сторону доверия, открыв окно Командная подсказка на dc и введите child.contoso.com следующую команду:
Дополнительные сведения о средстве ksetup см. в ksetup.
Метод 2. Настройка клиента для поддержки шифрования RC4 в дополнение к шифрованию AES128 и AES256
Этот метод предполагает изменение конфигурации клиента, а не доверия. Вы можете изменить конфигурацию одного клиента или с помощью групповой политики изменить конфигурацию нескольких клиентов в домене. Однако главный недостаток этого изменения конфигурации заключается в том, что если вы отключили шифрование RC4 для повышения безопасности, откат этого изменения может оказаться невозможен.
Полные инструкции по изменению типов шифрования, которые могут использовать клиенты, см. в Windows Конфигурации для поддерживаемого типа шифрования Kerberos.
Метод 3. Настройка доверия для поддержки шифрования AES128 и AES 256 вместо шифрования RC4
Этот метод напоминает метод 1 в том, что вы настраивает атрибуты доверия.
В случае Windows лесных трастов обе стороны доверия поддерживают AES. Поэтому все запросы на билеты в трастах используют AES. Однако сторонний клиент Kerberos, который проверяет билет на реферал, может уведомить вас о том, что в билете используется тип шифрования, который клиент не поддерживает. Чтобы позволить такому клиенту и далее проверять билет, обнови его в поддержку AES.
При использовании этого метода настройте доверие с помощью оснастки Active Directory Domains and Trusts MMC. Чтобы использовать этот метод, выполните следующие действия:
В доменах Active Directory и Trusts перейдите к надежному объекту домена (в contoso.com примере). Щелкните правой кнопкой мыши объект, выберите свойства и выберите трасты.
В поле Домены, которые доверяют этому домену (входящие трасты), выберите доверчивый домен (в child.domain.com примере).
Выберите свойства, выберите другой домен поддерживает шифрование Kerberos AES, а затем выберите ОК. 
Чтобы проверить конфигурацию доверия, выберите Проверка в диалоговом окне доверчивый домен.
В случае доверия в одну сторону доверенный домен перечисляет доверчивый домен как входящий, а доверчивый домен — как исходящую.
Если связь является двустойким доверием, каждый домен перечисляет другой домен как входящий, так и исходящую. В этой конфигурации убедитесь, что проверьте конфигурацию домена в доменах, которые доверяют этому домену (входящие трасты) и доменам, доверенным этим доменом (исходящая трастов). В обоих случаях необходимо выбрать почтовый ящик.
На вкладке Trusts нажмите кнопку ОК.
Перейдите к объекту домена для доверяемой области ( child.contoso.com ).
Дополнительная информация
Дополнительные сведения о TDOs см. в следующих статьях:
Дополнительные сведения о типах шифрования Kerberos см. в следующих статьях:
Источник
Ошибка проверки подлинности kerberos windows server 2019

Добрый день уважаемые читатели, не так давно у меня на работе была задача по настройке групп доступности SQL на Windows кластере, там клиентам сделали красивый веб-инструментарий, все замечательно, теперь клиент ждет следующего развития ситуации, а именно настройка и внедрение механизма Single Sign-On (SSO) или по русски единая точка аутентификация, мы с вами уже с ней знакомились при настройке Vmware vCenter Server. Данный механизм работает на протоколе шифрования kerberos, о котором мы и поговорим. Мы рассмотрим как происходит проверка подлинности kerberos в Active Directory, так как понимание принципов работы, поможет вам в реализации единой точки аутентификации.
Идентификация и доступ в Active Directory
Доменные службы Active Directory (Active Directory Domain Services, AD DS ) обеспечивают идентификацию и доступ (Identity and Access, IDA ) для корпоративных сетей. Давайте посмотрим каким требованиям и критериям должна соответствовать структура IDA:
Протокол аутентификации kerberos

Именно за счет провайдеров Security Support Provider (SSP) сделан механизм аутентификации. Операционная система Windows уже имеет встроенные модули, но никто не мешает программистам, взять и написать свой и подключить его к SSPI
Протокол аутентификации kerberos пришел на смену устаревшему и уже с точки зрения не безопасному, протоколу NTLM, он был основным до Windows 2000. Протокол Kerberos всегда используется в построении механизмов Single Sign-On. В его основе лежит такой принцип, что если двум участникам известен некий ключ и у них есть возможность подтвердить это, то они смогут однозначно идентифицировать друг друга.
Междоменный ключ (inter-realm key). Этот ключ обеспечивает междоменную аутентификацию и используется для обеспечения доверительных отношений в среде Aсtive Directory.
Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей). TGT шифруется при помощи ключа, общего для служб KDC, то есть клиент не может прочитать информацию из своего билета. Этот билет используется клиентом для получения других билетов.
Сам Ticket-Granting Service состоит из двух вещей, первая это копия сессионного ключа и информация о клиенте. Все эти данные зашифрованы ключом, общим между сервисом к которому идет обращение и KDC. Это означает, что пользователь не сможет посмотреть эти данные, а вот служба или сервер к которому идет обращение да.
Еще очень важным моментом, является тот фактор, что служба KDC, должна точно знать к какому именно сервису идет обращение и каким ключом шифрования производить обработку. Для этого есть такой механизм, как Service Principal Names, по сути это уникальный идентификатор службы, который будет прописан в вашей базе Active Directory. Из требований к нему, он должен быть уникален в рамках леса. Каждая служба, которая будет использовать Kerberos, должна иметь зарегистрированный SPN. Без правильно настроенного идентификатора протокол для этой службы или сервера работать не будет.
Сам SPN будет хранится в атрибуте Service-Principal-Name, у той учетной записи к которой он привязан и под которым стартует служба. Таким образом, SPN связывает воедино все части процесса. Клиент знает, к какой службе он хочет получить доступ. И при запросе ключа он строит строку SPN, к примеру, при помощи функции DsMakeSpn. Сервер KDC, получив эти данные, может найти учетную запись, под которой стартует эта служба, и, используя ключ этой учетной записи из Active Directory, создать билет доступа к службе и зашифровать его этим ключом.
Как производится настройка SPN мною уже была описана в одной из статей.
Детальная проверка kerberos от начала логирования
Давайте еще в картинках я расскажу более детально как происходит проверка подлинности kerberos, от момента ввода пароля пользователем. И так:






Источник
Ошибка проверки подлинности kerberos windows server 2019
Этот форум закрыт. Спасибо за участие!
Спрашивающий

Общие обсуждения


Имеется хост-система Windows 10 и установленная на VMware Windows Server 2008 r2 Core. Серверной версии присвоен ip-адрес. С помощью Диспетчера серверов Windows 10 пытаюсь подключиться по ip для удаленного управления, но выдается «Ошибка проверки подлинности Kerberos». Какие действия предпринять?
Все ответы


Сразу оговорюсь, что в делах администрирования я совсем новичок.
Расхождения во времени нет, везде стоит правильное. winrm включен на Windows Server. Какие логи нужно посмотреть? Спасибо.


В RSAT ведь и входит Диспетчер серверов, насколько я понимаю? Проблема была изначально, у меня просто появилась задача подключиться к серверу через этот диспетчер.
Через Управление компьютером > Подключиться к другому компьютеру возникает «Ошибка (5). Отказано в доступе».
Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?


Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?
Эти команды необходимо выполнить на DC а не на рядовом сервере, зайдите на DC локально и выполните и выложите вывод команд
Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.


Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?




Эти команды необходимо выполнить на DC а не на рядовом сервере, зайдите на DC локально и выполните и выложите вывод команд






У вас dc виртуальный или физический сервер?


Тогда будем пытаться делать вывод из имеющейся информации. Из того, что приведено, подозрительны две вещи:
Они должны быть зарегистрированы на MY-PC
Источник