Deskripsi umum Kerberos yang berhubungan dengan kesalahan dalam Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 230476 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Windows 2000 menyediakan dukungan untuk MIT Kerberos versi 5 otentikasi, seperti yang didefinisikan dalam IETF permintaan untuk komentar (RFC) 1510. Kerberos Protokol ini terdiri dari tiga sub-protocols. Sub-protocol melalui yang klien pre-sends tiket untuk masuk ke layanan disebut Aplikasi (AP) Exchange. Sub-protocol yang KDC mendistribusikan layanan sesi kunci dan tiket untuk layanan disebut pemberian tiket Exchange layanan (TGS). Sub-protocol di mana klien pre-sends tiket untuk masuk ke layanan disebut klien/Server (CS) Exchange.

Artikel ini menjelaskan versi Kerberos umum yang berhubungan dengan 5 kesalahan, dan termasuk penyebab yang mungkin berhubungan dengan kesalahan. Perhatikan bahwa kesalahan ini dikaitkan dengan Kerberos khusus, bukan jaringan konektivitas.

INFORMASI LEBIH LANJUT

Kerberos versi 5 yang berhubungan dengan kesalahan umum dalam heksadesimal:

0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) "Klien tidak ditemukan dalam Kerberos database"

KDC tidak bisa menerjemahkan nama dasar klien dari KDC permintaan ke account di Active Directory. Umumnya, memverifikasi Apakah account klien yang ada dan telah disebarkan ke kontroler domain yang dihasilkan kesalahan. Memeriksa Active Directory replikasi dapat menyediakan indikasi mengapa kesalahan terjadi. Itu juga dapat menjadi masalah di mana nama ditentukan adalah tidak diakui nama dasar pengguna hadir pada atribut userPrincipalName account.

0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) "Tidak ditemukan dalam Kerberos database Server"

KDC tidak bisa menerjemahkan nama server utama dari KDC permintaan ke account di Active Directory. Umumnya, memverifikasi Apakah server account ada dan telah disebarkan ke kontroler domain yang dihasilkan kesalahan. Memeriksa Active Directory replikasi dapat menyediakan indikasi mengapa kesalahan terjadi. Juga jika server tidak setidaknya Windows 2000, akan tidak ada layanan utama nama terdaftar karena server ini tidak mampu otentikasi dengan Kerberos. Dalam kasus ini, ini kesalahan dapat diabaikan karena klien akan kemudian beralih ke NTLM untuk otentikasi.

0x9 (KDC_ERR_NULL_KEY) "klien atau server memiliki kunci null"

Kunci harus pernah menjadi null (kosong). Password bahkan nol menghasilkan karena password concatenated dengan unsur-unsur lain untuk membentuk kunci kunci. Jika klien melihat kesalahan ini, administrator harus membuat ulang sandi di rekening.

0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC telah tidak ada dukungan untuk jenis enkripsi"

Klien mencoba menggunakan jenis enkripsi yang KDC tidak tidak mendukung, untuk setiap alasan berikut:
  • Rekening klien tidak memiliki kunci yang sesuai jenis enkripsi.
  • Account KDC (lintas-alam kepercayaan) tidak memiliki kunci jenis enkripsi yang sesuai.
  • Account diminta server tidak memiliki kunci jenis enkripsi yang sesuai.
  • Jenis yang tidak dapat dikenali, misalnya, jika tipe baru diperkenalkan. Ini paling sering terjadi dengan MIT kompatibilitas, di mana account mungkin belum memiliki MIT kompatibel kunci. Umumnya, sandi perubahan harus terjadi untuk tombol MIT-kompatibel akan tersedia.

0x18 (KDC_ERR_PREAUTH_FAILED) "informasi Pre-authentication tidak sah"

Ini menunjukkan kegagalan untuk mendapatkan tiket, mungkin karena klien yang menyediakan sandi salah.

0x19 (KDC_ERR_PREAUTH_REQUIRED) "Otentikasi awal tambahan"

Klien tidak mengirim pre-authorization, atau tidak mengirim sesuai jenis ada pra-otorisasi, menerima tiket. Klien akan coba lagi dengan jenis ada pra-otorisasi yang tepat (KDC kembali Pre-Authentication ketik kesalahan). Banyak Kerberos implementasi akan mulai off tanpa preauthenticated data dan hanya menambahkannya di berikutnya meminta ketika melihat kesalahan ini. Dalam kasus ini, kesalahan ini dapat dengan aman diabaikan.

0x25 (KRB_AP_ERR_SKEW) "Jam condong terlalu besar"

Ada saat perbedaan antara klien dan server atau klien dan KDC.

0x26 (KRB_AP_ERR_BADADDR) "" salah bersih alamat"

Tiket sesi termasuk alamat dari mana mereka sah. Kesalahan ini dapat terjadi jika alamat komputer mengirim tiket berbeda dari alamat yang valid dalam tiket. Penyebab yang mungkin ini bisa menjadi perubahan alamat Internet Protocol (IP). Lain kemungkinan penyebab adalah ketika tiket adalah melewati proxy server atau NAT. Klien menyadari skema alamat yang digunakan oleh proxy server, jadi kecuali program disebabkan klien untuk meminta tiket server proxy dengan proxy server alamat sumber, tiket bisa tidak sah.

0x29 (KRB_AP_ERR_MODIFIED) "Pesan aliran diubah"

Hal ini menunjukkan bahwa server tidak mampu mendekripsi tiket Dikirim oleh seorang klien yang berarti bahwa server tidak tahu kunci rahasia yang digunakan untuk mengenkripsi tiket, atau klien mendapat tiket dari KDC yang tidak tahu server kunci. Ini dapat diuji dengan menentukan jika server dapat memperoleh tiket untuk itu sendiri, atau jika orang lain dapat mencari server. Saluran aman digunakan oleh NTLM juga merupakan indikator validitas password pada lokal mesin account.

0x3C (KRB_ERR_GENERIC) "Generik Error"

Sebuah kesalahan umum yang mungkin kegagalan alokasi memori. The log peristiwa dapat berguna jika terjadi kesalahan ini.

Properti

ID Artikel: 230476 - Kajian Terakhir: 19 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbenv kberrmsg kbinfo kbnetwork kbmt KB230476 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:230476

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com