Descrição de erros comuns relacionados ao Kerberos no Windows 2000

Windows 2000 fornece suporte para autenticação do MIT Kerberos versão 5, conforme definido em IETF Request For Comment (RFC) 1510. Kerberos protocolo é composto de três sub-protocols. Sub-protocol através do qual o cliente pre-sends o tíquete de admissão para um serviço é chamado Exchange Application (AP). Sub-protocol através do qual o KDC distribui uma chave de sessão de serviço e um tíquete para o serviço é chamado Exchange concessão Service (TGS). Sub-protocol através do qual o cliente pre-sends o tíquete para admissão para um serviço é chamado Client/Server (CS) Exchange.

Este artigo descreve comuns Kerberos versão 5 relacionados erros e inclui as causas podem ser associadas com os erros. Observe que esses erros são associados com Kerberos especificamente, não na conectividade de rede.

Comuns Kerberos versão 5 erros relacionados no hexadecimal:

0 x 6 "Cliente não encontrado no banco de dados de Kerberos" (KRB_ERR_C_PRINCIPAL_UNKNOWN)

O KDC não pôde traduzir o nome principal do cliente de solicitação KDC em uma conta no Active Directory. Geralmente, verificando se a conta de cliente existe e tem propagadas para o controlador de domínio que gerou o erro. Verificando o Active Directory replicação pode fornecer uma indicação de por que ocorreu o erro. Ele também pode ser um problema onde o nome especificado não é um reconhecido principal nome de usuário presente no atributo userPrincipalName da conta.

0 x 7 "Servidor não encontrado no banco de dados de Kerberos" (KRB_ERR_S_PRINCIPAL_UNKNOWN)

O KDC não pôde traduzir o nome principal do servidor de solicitação KDC em uma conta no Active Directory. Geralmente, verificando se a conta do servidor existe e tem propagadas para o controlador de domínio que gerou o erro. Verificar replicação do Active Directory pode fornece uma indicação de por que ocorreu o erro. Também se o servidor não é pelo menos Windows 2000, não haverá qualquer serviço de nomes principais registrados porque esse servidor não é capaz de autenticar com Kerberos. Nesse caso, este erro pode ser ignorado porque o cliente irá alternar para NTLM para autenticação.

0 x 9 (KDC_ERR_NULL_KEY) "O cliente ou servidor tem uma chave nula"

As chaves nunca deve ser nulo (vazio). Senhas mesmo nulas geram chaves porque a senha é concatenada com outros elementos para formar a chave. Se um cliente vê esse erro, o administrador deve redefinir a senha na conta.

0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC tem não há suporte para o tipo de criptografia"

O cliente tentou usar um tipo de criptografia que o KDC não oferece suporte, para qualquer um dos seguintes motivos:

• Conta do cliente não tem uma chave do tipo de criptografia apropriados.
• Conta KDC (confiança de território cruzada) não tem uma chave do tipo de criptografia apropriados.
• A conta do servidor solicitado não tem uma chave do tipo de criptografia apropriados.
• O tipo pode não ser reconhecido, por exemplo, se um novo tipo é introduzido. Isso acontece mais freqüentemente com compatibilidade MIT, onde uma conta não ainda tenha uma chave compatível MIT. Geralmente, deve ocorrer uma alteração de senha para chave MIT compatível estar disponível.

0 x 18 (KDC_ERR_PREAUTH_FAILED) "Pre-authentication informações eram inválidas"

Isso indica falha ao obter permissão, possivelmente devido a cliente fornecendo a senha errada.

0 x 19 "Adicional pré-autenticação" (KDC_ERR_PREAUTH_REQUIRED)

O cliente não enviou pre-authorization ou não enviou o tipo apropriado de pre-authorization para receber um tíquete. O cliente tentará novamente com o tipo apropriado de pre-authorization (o KDC retorna o tipo de pré-autenticação no erro). Muitas implementações do Kerberos irão iniciar sem dados preauthenticated e apenas adicioná-lo em uma solicitação subseqüente quando vê esse erro. Nesse caso, este erro pode ser ignorado.

0x25 (KRB_AP_ERR_SKEW) "Relógio distorção muito grande"

Há tempo discrepância entre cliente e servidor ou cliente e KDC.

0 x 26 "" incorreto net endereço"(KRB_AP_ERR_BADADDR)

Tíquetes de sessão incluem endereços da qual são válidos. Este erro pode ocorrer se o endereço do computador enviando o tíquete for diferente do endereço válido no tíquete. Uma causa possível poderia ser uma alteração de endereço de Internet (IP). Outra causa possível é quando um tíquete é passado através de um servidor proxy ou NAT. O cliente desconhece o esquema de endereço usado pelo servidor proxy, portanto, a menos que o programa causou o cliente para solicitar um proxy tíquete do servidor com endereço de origem do servidor proxy, o tíquete pode ser inválido.

0x29 "Message fluxo modificado" (KRB_AP_ERR_MODIFIED)

Isso indica que o servidor não pôde descriptografar o tíquete enviado por um cliente que significa que o servidor não sabe a chave secreta usada para criptografar o tíquete, ou o cliente obteve a permissão de um KDC não sabia a chave do servidor. Isso pode ser testado determinando se o servidor pode obter um tíquete para si mesmo ou se qualquer outra pessoa pode localizar o servidor. O canal seguro usado pelo NTLM também é um indicador de validade da senha nas contas de máquina local.

0x3C "Erro genérico" (KRB_ERR_GENERIC)

Erro genérico que pode ser uma falha de alocação de memória. Os logs de eventos pode ser útil se este erro ocorre.