Steg För Att Lösa Krb_ap_err_modified-felet På Problemservern

Table of Contents

Godkänd

1. Ladda ner ASR Pro

2. Öppna programmet och välj "Skanna din dator"

3. Klicka på "Reparera" för att starta reparationsprocessen

Mjukvaran för att fixa din PC är bara ett klick bort - ladda ner den nu.

Under de senaste dagarna har en hel del av våra läsare stött på en persons krb_ap_err_modified servervärdfel. Denna kris uppstår av flera anledningar. Låt oss prata om detta nu.Kerberos-ägare fick ett KRB_AP_ERR_MODIFIED-fel på värd/wss1. Med den här metoden skiljer sig lösenordet som används som kan säkra Kerberos-tjänstebiljetten också från lösenordet för just denna måldator på Internet. Vanligtvis är dessa datorkonton med samma namn på mottagarplatsen (DOMAIN.

Kerberos-klienten fick ett KRB_AP_ERR_MODIFIED-fel från servervärden wss1. Detta betyder att lösenordet för att kryptera Kerberos-tjänsttrafikbiljetten alltid skilde sig från ändringen av motsvarande server. Detta händer oftare än inte för att du har datordetaljer med samma namn i vilka måldomäner (DOMAIN.

Tillstånd. För att lösa det här problemet uppdaterar du registret med alla system som kommer att delta i enbart Kerberos-auktoriseringsprocessen, inklusive dina datorer. Vi rekommenderar att du flyttar upp allt som vanligtvis är associerat med dina Windows-system, speciellt om dessa värdefulla användare behöver logga in i flera domäner eller skogar.

Den här texten kommer att hjälpa ditt företag att lösa ditt problem kopplat till det faktum att denna Kerberos-klient fick något slags KRB_AP_ERR_MODIFIED-fel från servern.

Symtom

När du för närvarande kommer åt det virtuella IP-/NLB-namnet, som webbplatsbesökaren kan bli tillfrågad om ett användarnamn och lösenord och sannolikt kan läggas till i den lokala strategiverkstadsloggen efter ett fel:

För att använda setspn, kör kommandot setspn från någon form av effektiv förhöjd kommandotolk. För att skapa en förhöjd kommandotolk, klicka på min Start-knapp, högerklicka på Kommandotolken och välj Kör som administratör. För produkter som använder kommandot på bästa sätt, se Exempel. Det finns nästan alltid inget behov av att ändra SPN.

Event-ID: 4
Källa: Kerberos
Typ: fel

“Kerberos-klienten fick ett KRB_AP_ERR_MODIFIED-fel direkt från servervärden myserver.domain.com. Detta anger vilket lösenord som används för den säkra Kerberos-tjänsten med biljett och inte på målvärdservern. Detta beror vanligtvis på att de skulle refereras till som datorkonton över hela målzonen (domain.com) och bära klientzonen. Kontakta din plattformsadministratör. “

Orsak

Godkänd

ASR Pro-reparationsverktyget är lösningen för en Windows-dator som kör långsamt, har registerproblem eller är infekterad med skadlig programvara. Detta kraftfulla och lättanvända verktyg kan snabbt diagnostisera och fixa din dator, öka prestandan, optimera minnet och förbättra säkerheten i processen. Lider inte av en trög dator längre - prova ASR Pro idag!

När du går in på en IIS-webbplats som stöder integrerad Windows-autentisering kan du uppleva följande problem:

Inkompatibelt DNS-namn res. Problemet är vanligt i alla optimistiska nlb-miljöer som använder flera IP-adresser eller nätverkskort. Användare
Detta skapar inte lokala NTFS-kvalifikationer.
Webbplatsen använder någon sorts poolapplikation med felaktiga behörighetssituationer.

Upplösning

Användningen av tester måste utföras för att felsöka och åtgärda fel:

Se till att rätt NTFS-åtgärder är inställda för IIS-elementen.

Integrerad Windows-autentisering (IIS 6.0)
Installera Kerberos KDC Internet och klient. Ladda ner och installera även det nya enhetspaketet krb5.Ändra filen / etc kontra krb5. conf-fil.Ändra KDC. conf-fil.Tilldela chefsrättigheter.Bygg den bästa rektorn.Skapa en komplett databas.Starta vår Kerberos-tjänst.

Se till att varje nod i klustret alltid har grupperats korrekt med DNS-inställningar.
Se till att noden i allmänhet är konfigurerad med de korrekta inställningarna för applikationspoolen:

Konfigurera programvarupaketpool med IIS 6.0 ID (IIS 6.0)
Se till att Internet Explorer har rätt delningskontroller.

Ytterligare information

Microsoft Corporation och/eller dess inköpta leverantörer gör inga utfästelser om den exakta lämpligheten, tillförlitligheten eller exaktheten hos informationen och grafiken i detta dokument. All denna information och även tillhörande exempelbilder ställs in “som den är” utan garanti för någon trevlig. Microsoft och/eller deras lämpliga leverantörer avsäger sig härmed alla uttalanden men villkor avseende sådan information och relevant grafik, inklusive alla avsedda garantier och villkor för säljbarhet, fysiska för ett visst ändamål, tekniska uppgifter, juridiska och icke-intrångsrättigheter. Du samtycker verkligen till att Microsoft och/eller dess leverantörer inte kommer att vara högst sannolika för någon direkt, indirekt, bestraffande, andra eller speciell förlust eller skada av något slag, inklusive men inte förbjudande för förlust av användbarhet, data eller provisioner. utgifter som uppstår som ett slutligt resultat av att använda de flesta eller oförmåga som kommer att använda viktig information och relaterad grafik som finns i detta dokument, som ett betydande resultat av kontrakt, skadestånd, försummelse, skyldighet eller på annat sätt på din destination, dessutom om Microsoft eller någon av deras leverantörer är skyldig att rätta sig efter kunskapen om möjligheten med skadestånd.

Artikel
2 minuter på väg att läsa.

Idag upptäckte jag att en specifik domänkontrollant som kör Windows Server R2 inte kan öppna Group Plan Management Console. Felet visar “Åtkomst nekad” en gång. Active Directory-konsolen har inga problem.

En annan domänkontrollant hela vägen genom de flesta domäner fungerar bra.

krb_ap_err_modified error från en persons servervärd

I webbserverns aktivitetslogg visas problemet med tillfälle ID 4 med detta specifika följande meddelande:

Kerberos-klienten fick ett pålitligt KRB_AP_ERR_MODIFIED-fel från den viktigaste gn-servern ? rrr. Målnamnet kan få ldap / gnserver.mydomain.local. Detta indikerar att dess målsystem inte kunde dekryptera biljetten som utfärdats av den potentiella klienten. Detta kan hända när det grundläggande varumärkesnamnet (SPN) för den önskade servern registreras för annan information än det konto som den exklusiva måltjänsten använder. Se till att för de många destinationer som SPN är bör du registrerad för finansieringen som används av servern och endast är certifierad för kontot. Det här felet kan också uppstå om Sad Victim-tjänsten använder en annan kod för måltjänstkontot som dess Kerberos Key Distribution Center (KDC) också har för måltillfredsställelsekontot. Se till att webbsidan på servitören och KDC är uppdaterade för att hjälpa dig att använda det aktuella lösenordet. Om specifika värdnamn inte är helt specifika och vår måldomän (MYDOMAIN.LOCAL) anses vara annorlunda på grund av klientwebbplatsen (MYDOMAINï »¿.LOCAL), kontrollera om det finns mycket liknande serversidor på dessa två webbplatser, eller faktiskt använder kvalificerade namn så att du kan identifiera servern. Ï “ï” ¿

Den här Knowledge Base-artikeln kan rekommendera att du tar bort det berörda datorobjektet från den hälsosamma katalogen. Men med tanke på att IT-idén i fråga är reglerande, är jag inte utvald om detta är ett smartare sätt.

Alla har redan ställts inför alla liknande situationer förut, eller har han en idé i vilken styrning han ska röra sig? ï »¿

Installera Kerberos KDC-klienten och hosting. Ladda ner och installera på så sätt vårt eget krb5 internetdatorpaket.Ändra den nya / etc för varje krb5. conf-fil.Ändra KDC. conf-fil.Tilldela chefsrättigheter.Skapa denna rektor.Skapa deras databas.Starta en specifik Kerberos-tjänst.

Ändrad 16 april 2015 20:34 UTC

Mjukvaran för att fixa din PC är bara ett klick bort - ladda ner den nu.