Descrição de erros comuns relacionadas com Kerberos no Windows 2000

O Windows 2000 fornece suporte para a autenticação do MIT Kerberos versão 5, conforme definido no IETF RFC Request For Comment () 1510. Kerberos protocolo é composto por três sub-protocols. O subprotocolo através do qual o cliente pre-sends a permissão para admissão para um serviço é chamado o Application (AP) do Exchange. Subprotocolo através do qual o KDC distribui uma chave de sessão do serviço e uma permissão para o serviço é denominado Exchange Service conceder permissão (TGS). O subprotocolo através do qual o cliente pre-sends a permissão para admissão para um serviço é designado por cliente/servidor (CS) Exchange.

Este artigo descreve Kerberos versão 5 relacionados com erros comuns e inclui causas que podem ser associadas com os erros. Note que estes erros são associados com Kerberos especificamente, não a conectividade de rede.

Comuns Kerberos versão 5 erros relacionados com em hexadecimal:

0 x 6 "Cliente não encontrado na base de dados de Kerberos" (KRB_ERR_C_PRINCIPAL_UNKNOWN)

O KDC não foi possível traduzir o nome principal do cliente do pedido de KDC para uma conta no Active Directory. Geralmente, verificar se a conta de cliente existe e tem propagadas para o controlador de domínio que gerou o erro. Verificar o Active Directory replicação pode fornecer uma indicação da porque ocorreu o erro. Também pode ser um problema onde o nome especificado não é um utilizador principal nome reconhecido presente no atributo userPrincipalName da conta.

0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) "Servidor não encontrado na base de dados de Kerberos"

O KDC não foi possível traduzir o nome principal do servidor do pedido de KDC para uma conta no Active Directory. Geralmente, verificar se a conta do servidor existe e tem propagadas para o controlador de domínio que gerou o erro. Verificar a replicação do Active Directory pode fornece uma indicação da porque ocorreu o erro. Também se o servidor não estiver, pelo menos, Windows 2000, não existirá qualquer serviço de nomes principais registados porque esse servidor não é capaz de autenticar com Kerberos. Neste caso, este erro pode ser ignorado porque o cliente irá, em seguida, mudar para NTLM para autenticação.

0x9 (KDC_ERR_NULL_KEY) "O cliente ou servidor tem uma chave nulo"

Chaves nunca deve ser nulo (vazio). Palavras-passe nulas mesmo geram chaves porque a palavra-passe é concatenada com outros elementos para formar a chave. Se um cliente vê este erro, o administrador deve repor a palavra-passe da conta.

0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC tem sem suporte para o tipo de encriptação"

O cliente tentou utilizar um tipo de encriptação que o KDC não suporta, para qualquer um dos seguintes motivos:

• Conta do cliente não tem uma chave do tipo de encriptação apropriadas.
• A conta KDC (fidedignidade de realm cruzada) não tem uma chave do tipo de encriptação apropriadas.
• A conta de servidor pedido não tem uma chave do tipo de encriptação apropriadas.
• O tipo poderá não ser reconhecido de todo, por exemplo, se for introduzido um novo tipo. Isto acontece mais frequentemente com compatibilidade MIT, onde uma conta não ainda tenha uma chave compatível MIT. Geralmente, uma alteração de palavra-passe tem de ocorrer para a chave MIT compatível estar disponível.

0 x 18 (KDC_ERR_PREAUTH_FAILED) "Pre-authentication informações foi inválidas"

Isto indica falha ao obter permissão, possivelmente devido ao cliente fornecer a palavra-passe errada.

0x19 (KDC_ERR_PREAUTH_REQUIRED) "Pré-autenticação adicional"

O cliente não enviou pre-authorization ou não enviou o tipo adequado de pre-authorization para receber uma permissão. O cliente irá tentar novamente com o tipo adequado de pre-authorization (o KDC devolve o tipo de pré-autenticação no erro). Muitas implementações de Kerberos irão iniciar sem dados preauthenticated e apenas adicioná-lo num pedido subsequente quando ele vê este erro. Neste caso, este erro pode ser ignorado com segurança.

0x25 (KRB_AP_ERR_SKEW) "Relógio dissimetrias demasiado óptimo"

Existe tempo discrepância entre cliente e o servidor ou o cliente e o KDC.

0 x 26 "" Incorrect net endereço"(KRB_AP_ERR_BADADDR)

Permissões de sessão incluem os endereços a partir do qual são válidos. Este erro pode ocorrer se o endereço do computador enviar o convite for diferente do endereço válido no "ticket". Uma causa possível desta situação seria uma alteração de endereço IP (protocolo Internet). Outra causa possível é quando uma permissão é transmitida através de um servidor proxy ou NAT. O cliente não tem conhecimento de esquema de endereço utilizado pelo servidor proxy, por isso, a menos que o programa causou o cliente para pedir um proxy permissão do servidor com o endereço de origem do servidor proxy, o "ticket" poderia ser inválido.

0x29 (KRB_AP_ERR_MODIFIED) "Sequência de mensagem modificada"

Isto indica que o servidor não conseguiu desencriptar o "ticket" enviado por um cliente que significa que o servidor não sabe a chave secreta utilizada para encriptar a permissão ou o cliente obteve a permissão de um KDC não sabia a chave do servidor. Isto pode ser testado determinando se o servidor pode obter uma permissão a próprio ou se anybody pessoa pode localizar o servidor. O canal seguro utilizado por NTLM também é um indicador de validade da palavra-passe em contas de computador local.

0x3C (KRB_ERR_GENERIC) "Erro genérico"

Um erro genérico que pode ser uma falha de atribuição de memória. Os registos de eventos pode ser útil se este erro ocorre.