Jump to content

Kerberosfehlermeldungen (Krb_AP_Err_Modified-Fehler)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Es existiert eine Server 2003-Domäne mit 2 DCs (Server 2003), server1 und server2, beide sind DNS-Server und befinden sich an demselben Standort. Ich nenne die Domäne abc-domäne.de, die Forw.-Lookup-Zone "abc-domäne.de" ist AD-integriert.

Nun hagelt es seit einiger Zeit im Systemprotokoll von server1 diverse Kerberos-Fehler desselben Typs (Datum/Zeit sind austauschbar, da die Fehler mehrmals tgl. auftauchen):

Ereignistyp: Fehler

Ereignisquelle: Kerberos

Ereigniskategorie: Keine

Ereigniskennung: 4

Datum: 14.07.2009

Zeit: 14:15:54

Benutzer: Nicht zutreffend

Computer: SERVER1

Beschreibung:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "computer_ws18$" empfangen. Der verwendete Zielname war cifs/computer_ws12.abc-domäne.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (abc-domäne.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

 

===========================================

 

Ereignistyp: Fehler

Ereignisquelle: Kerberos

Ereigniskategorie: Keine

Ereigniskennung: 4

Datum: 14.07.2009

Zeit: 13:15:50

Benutzer: Nicht zutreffend

Computer: SERVER1

Beschreibung:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "computer_ws27$" empfangen. Der verwendete Zielname war cifs/computer_ws26.abc-domäne.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (abc-domäne.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

 

===========================================

 

Ereignistyp: Fehler

Ereignisquelle: Kerberos

Ereigniskategorie: Keine

Ereigniskennung: 4

Datum: 14.07.2009

Zeit: 13:15:50

Benutzer: Nicht zutreffend

Computer: SERVER1

Beschreibung:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "computer_ws18$" empfangen. Der verwendete Zielname war cifs/computer_ws3.abc-domäne.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (abc-domäne.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

 

===========================================

Dies ist nur ein Ausschnitt aus etlichen Kommunikationen diverser Workstations untereinander, betroffen ist aber stets nur CIFS.

Sämtliche Hilfen seitens MS oder anderen Websites bringen mich nicht weiter.

Die Tipps von Ereigniskennung 11 im Systemprotokoll von Domänencontrollern habe ich befolgt, z.B. Ldifde:

C:\Dokumente und Einstellungen\Administrator\Desktop>ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=cifs/server1*)" -p subtree
bringt keinen Fund. Suche ich z.B. nach "servicePrincipalName=dns/server1*", gibt das Tool einen Treffer aus, die Abfrage ist also syntaktisch in Ordnung. Ebenso erfolglos ist die Suche mittels LDP.

Evtl. unterliege ich einem Denkfehler, aber ich weiß wirklich nicht, wo ich suchen muss/kann bzw. woran es liegen könnte.

Vielen Dank für jede konstr. Hilfe vorab. Weitere Infos liefere ich gern nach.

Link zu diesem Kommentar

Hi,

 

hier scheint grundsätzlich etwas nicht hin zu hauen:

 

Der Server "computer_ws18$" fragt nach cifs/computer_ws12.abc-domäne.de und nicht nach dem DC. Überprüfe einmal die in den Events genannten Zielsysteme - unter Umständen gibt es hier doppelte SPNs oder die IP-Adressen hauen nicht hin (bzw. die DNS Einträge sind falsch).

 

Ansonsten sind keine anderen Meldungen im Eventlog der DCs als auch der genannten Server / Workstations zu finden?

 

Viele Grüße

olc

Link zu diesem Kommentar
Hi,

 

hier scheint grundsätzlich etwas nicht hin zu hauen:

 

... oder die IP-Adressen hauen nicht hin (bzw. die DNS Einträge sind falsch).

 

...

 

Viele Grüße

olc

Vielen Dank für dein Posting. Ich war heute beim Kunden vorort - DNS ist ziemlich hinüber, ich merkte es durch Zufall beim Anpingen der Clients. Nun heißt es fleißig sein und auf den DCs Host A-Einträge flicken. :rolleyes:

 

P.S.: Hättest du es mal einen Tag früher geschrieben, dann wäre mir eine Fahrt erspart geblieben. :D

Link zu diesem Kommentar

Hi,

 

Vielen Dank für dein Posting. Ich war heute beim Kunden vorort - DNS ist ziemlich hinüber, ich merkte es durch Zufall beim Anpingen der Clients. Nun heißt es fleißig sein und auf den DCs Host A-Einträge flicken. :rolleyes:

 

Ja, das ist eine häufige Ursache bei solchen Problemen (neben doppelten SPNs).

 

P.S.: Hättest du es mal einen Tag früher geschrieben, dann wäre mir eine Fahrt erspart geblieben. :D

 

Gegen einen entsprechenden Betrag auf meinem Konto biete ich Dir gern auch ein SLA von wenigen Stunden an. :D ;) :p

 

Viele Grüße

olc

Link zu diesem Kommentar
  • 3 Monate später...

Wir haben momentan das gleiche Problem und es scheint bei uns im Zusammenhang mit veralteten WINS Einträgen zu stehen.

 

Die genannten Hosts in der Fehlermeldung tauchen im WINS Speicher mit der exakt selben Ip Adresse auf. Bei einem Fehler waren sogar beide Hosts erreichbar aber komischerweise unter der selben IP Adresse, was natürlich nicht sein kann.

 

Ich werde mal mit den Aufräumen des WINS Speichers versuchen.

 

Übrigens kann der Fehler anscheinend auch auftreten wenn eine Workstation umbenannt wird, so zu mindest bei uns der Fall, dann taucht als Server der neue Name der Workstation auf und der alte Name als "Zielname cifs\Workstation.firma-ort.local".

 

Gruß John

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...