Description des erreurs courantes liées à Kerberos dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 230476 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. Prise en charge pour Windows 2000 s'achève le 13 juillet, 2010. Le Windows 2000 End-of-Support Solution Center est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez la Microsoft Support Lifecycle Policy.
Agrandir tout | Réduire tout

Sommaire

Résumé

Windows 2000 prend en charge pour l'authentification version 5 de MIT Kerberos, comme défini dans IETF RFC Request For Comment () 1510. Le protocole est composé de trois sub-protocols de Kerberos. Le sous-protocole par le biais duquel le client pre-sends le ticket permettant l'admission à un service est appelé Exchange de l'application (AP). Sous-protocole via lequel le KDC distribue une clé de session de service et un ticket pour le service est appelé le Exchange Service accord de ticket (TGS). Le sous-protocole par le biais duquel le client pre-sends le ticket pour l'admission à un service est appelée client/serveur (CS) Exchange.

Cet article décrit communes Kerberos version 5 les erreurs liées au et inclut les causes peuvent être associés les erreurs. Notez que ces erreurs sont spécifiquement associés à Kerberos, pas de connectivité réseau.

Plus d'informations

Kerberos version 5 liés erreurs courantes dans hexadécimal :

0 x 6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) «Client» introuvable dans la base de données Kerberos

Le KDC Impossible de traduire le nom principal du client à partir de la demande KDC dans un compte dans Active Directory. Vérification en règle générale, si le compte client existe et qu'il a propagé au contrôleur de domaine qui a généré l'erreur. Vérification de Active Directory réplication peut fournir une indication de l'erreur. Il peut également s'agir d'un problème où le nom spécifié n'est pas un reconnu nom d'utilisateur présent sur l'attribut userPrincipalName du compte principal.

0 x 7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) «Serveur introuvable dans la base de données Kerberos»

Le KDC Impossible de traduire le nom principal du serveur à partir de la demande KDC dans un compte dans Active Directory. Vérification en règle générale, si le compte de serveur existe et qu'il a propagé au contrôleur de domaine qui a généré l'erreur. Vérification de la réplication Active Directory peut fournit une indication de l'erreur. Également si le serveur n'est pas au moins Windows 2000, il n'y aura un quelconque service principales les noms enregistrés car ce serveur n'est pas capable d'authentification avec Kerberos. Dans ce cas, cette erreur peut être ignorée car le client basculera ensuite vers NTLM pour l'authentification.

0 x 9 (KDC_ERR_NULL_KEY) "le client ou le serveur a une clé null"

Clés doit jamais être null (vide). Mots de passe null même génèrent clés car le mot de passe est concaténé avec d'autres éléments pour former la clé. Si un client voit cette erreur, l'administrateur doit réinitialiser le mot de passe du compte.

0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC n'offre pas de prise en charge pour le type de cryptage"

Le client a tenté d'utiliser un type de cryptage qui le KDC ne prend pas en charge, pour une des raisons suivantes :
  • Le compte du client n'a pas de clé du type de cryptage approprié.
  • Le compte de contrôleur de domaine KERBEROS (l'approbation entre domaines) n'a pas de clé du type de cryptage approprié.
  • Le compte de serveur demandé n'a pas de clé du type de cryptage approprié.
  • Le type ne peut pas être reconnu, par exemple, si un nouveau type est introduit. Cela se produit plus fréquemment avec MIT (compatibilité), où un compte ne disposez pas encore d'une clé compatible MIT. En règle générale, un changement de mot de passe doit avoir lieu pour la clé MIT compatible soit disponible.

0 x 18 (KDC_ERR_PREAUTH_FAILED) «informations pré-authentification n'étaient pas valides»

Cela indique un échec pour obtenir de ticket, probablement en raison d'un client en fournissant un mot de passe erroné.

0 x 19 (KDC_ERR_PREAUTH_REQUIRED) «Pré-authentification supplémentaire»

Le client n'a pas envoyé pre-authorization ou n'a pas envoyé le type approprié de pre-authorization pour recevoir un ticket. Le client va réessayer avec le type approprié de pre-authorization (le KDC renvoie le type de pré-authentification dans le message d'erreur). De nombreuses implémentations de Kerberos démarrera sans données pré-authentifiée et ajouter uniquement dans une autre demande lorsqu'il voit cette erreur. Dans ce cas, cette erreur peut être ignorée.

0 x 25 (KRB_AP_ERR_SKEW) "Départ inclinaison trop grand"

Il existe de différence de temps entre client et serveur ou client et KDC.

0 x 26 (KRB_AP_ERR_BADADDR) "" incorrect net adresse"

Tickets de session incluent les adresses à partir duquel ils sont valides. Cette erreur peut se produire si l'adresse de l'ordinateur qui envoie le ticket est différente de l'adresse valide dans le ticket. Une cause possible de convertir une modification d'adresse IP (Internet Protocol). Une autre cause possible est lorsqu'un ticket est passé par le biais d'un serveur proxy ou NAT. Le client n'a pas connaissance du schéma d'adresse utilisé par le serveur proxy, de sorte à moins que le programme a provoqué le client demande un proxy serveur ticket avec adresse de source du serveur proxy, le ticket peut être non valide.

0 x 29 (KRB_AP_ERR_MODIFIED) "Stream message modifié"

Cela indique que le serveur n'a pas pu décrypter le ticket envoyé par un client, ce qui signifie que le serveur ne connaît pas la clé secrète utilisée pour crypter le ticket ou le client a obtenu le ticket à partir d'un centre de distribution de clés n'a pas connaître la clé du serveur. Cela peut être testé en déterminant si le serveur peut obtenir un ticket à lui-même, ou si quelqu'un d'autre peut localiser le serveur. Le canal sécurisé est utilisé par NTLM est également un indicateur de la validité du mot de passe sur les comptes d'ordinateur local.

0x3C «Erreur générique» (KRB_ERR_GENERIC)

Une erreur générique qui peut être un échec d'allocation de mémoire. Les journaux des événements peut être utiles si cette erreur se produit.

Propriétés

Numéro d'article: 230476 - Dernière mise à jour: mardi 27 février 2007 - Version: 5.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbenv kberrmsg kbinfo kbnetwork KB230476 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 230476
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com