Kerberos安全性错误

时间:2014-06-15 15:21:51

标签: windows dns kerberos

我的服务器出现问题,到目前为止找不到任何解决方法。当我尝试从服务器管理器(Windows Server 2012)添加服务器时,我只能看到kerberos安全性错误。两个服务器都在同一个域中(我已尝试从域中的多个服务器获得相同的错误)。

奇怪的是,当我从域中退出有问题的服务器并使用其他名称重新加入它时,它正常工作。但问题是使其与现有名称一起使用。 Anyhelp将受到高度赞赏 提前谢谢。

1 个答案:

答案 0 :(得分:1)

延迟回复,但我刚遇到同样的错误,希望此解决方案对其他人有用。

情况:我不得不擦除并重新安装我以前必须为其设置一些服务主体名称的虚拟服务器,以及一些服务帐户的SPN。事实证明,旧的服务器/帐户仍然存在SPN,我不得不删除它们。

我建议检查并删除恶意SPN以解决此问题。在提升的命令提示符中使用以下命令:

setspn -l <servername/username>

在我的情况下,我遇到了MBAM(Bitlocker管理工具)的问题,例如我使用过:

setspn -l mbam01

这给了我输出(更改名称以保护无辜者):

Registered ServicePrincipalNames for CN=MBAM01,OU=Member Servers,DC=corp,DC=domainname,DC=com:
    termserv/mbam01.corp.domainname.com
    termserv/mbam01
    http/mbam01.corp.domainname.com
    http/mbam01
    HOST/MBAM01
    HOST/mbam01.corp.domainname.com

这将列出与服务器或用户帐户关联的SPN。然后使用以下命令删除错误的SPN:

setspn -d <listed service> <servername/username>

在我的情况下,结果发现mbamapppool用户有http / mbam01和http / mbam01.corp.domainname.com与之关联,导致服务器管理器无法轮询服务器。我从用户处删除了http / refs,然后使用以下命令将它们添加到服务器:

setspn -d http/mbam01 corp\mbamapppooluser
setspn -d http/mbam.corp.domainname.com corp\mbamapppooluser
setspn -s http/mbam01 mbam01
setspn -s http/mbam01.corp.domainname.com mbam01

然后我刷新了服务器管理器并成功轮询了服务器,并且Kerberos安全错误已经消失。

相关问题
最新问题