通用与 Kerberos 相关的错误,Windows 2000 中的说明

文章翻译 文章翻译
文章编号: 230476 - 查看本文应用于的产品
注意
本文适用于 Windows 2000。Windows 2000 支持的结束,到 2010 7 月 13Windows 2000 End-of-Support Solution Center 是进行规划迁移策略从 Windows 2000 的起始位置。有关详细信息,请参阅 Microsoft Support Lifecycle Policy
展开全部 | 关闭全部

本文内容

概要

Windows 2000 提供了定义在 IETF 征求意见 (RFC) 1510年对 MIT Kerberos 版本 5 的身份验证的支持。在 Kerberos 协议由三个 sub-protocols 组成。调用应用程序 (AP) Exchange 客户端通过该 pre-sends 的许可服务票证,sub-protocol。通过该 KDC 分发服务的会话密钥和一个票证,服务在 sub-protocol 称为票据授权服务 (TGS) Exchange。通过该客户端 pre-sends 票证到服务的许可称为客户端/服务器 (CS) 在 sub-protocol Exchange。

本文描述与公共 Kerberos 版本 5 相关的错误,并包含将可能与错误相关联的原因。请注意这些错误与 Kerberos 相关联具体而言,没有网络连接。

更多信息

与公共 Kerberos 版本 5 相关的错误在 $ 十六进制中:

0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) 在 Kerberos 数据库中找不到客户端"

KDC 不可能将客户端主要名称,从 KDC 请求转换成在 ds 中的帐户。通常,验证客户端帐户是否存在并且已传播到域控制器生成错误。检查 Active Directory 复制可能会提供一个对二者的相对值的指示发生错误的原因。也可以是一个问题指定该名称不是一个被识别的用户主要名称存在于该帐户的 userPrincipalName 属性上。

0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN)"服务器在 Kerberos 数据库中找不到"

KDC 不可能转换服务器主体名称,从 KDC 请求在 ds 中的帐户。通常,正在验证服务器帐户是否存在并且已传播到域控制器生成错误。检查 Active Directory 复制可能提供了一个对二者的相对值的指示发生错误的原因。此外如果服务器不是至少 Windows 2000 将不会有任何服务主体名称注册,因为该服务器不能使用 Kerberos 身份验证。在这种情况下可以忽略此错误,因为客户端将再切换 NTLM 身份验证。

0x9 (KDC_ERR_NULL_KEY) 的客户端或服务器有一个空键"

(空白),密钥应永远不为空。因为密码加上其他窗体键的元素,甚至空密码生成密钥。 如果客户端可以看到此错误,管理员应该重置帐户密码。

0xE (KDC_ERR_ETYPE_NOTSUPP)"KDC 有加密类型不支持"

客户端试图使用一种加密类型,KDC 不支持,请为下列情况之一:
  • 客户端的帐户不具有适当的加密类型的密钥。
  • KDC (跨领域信任) 帐户不具有适当的加密类型的密钥。
  • 请求的服务器帐户不具有适当的加密类型的密钥。
  • 该类型可能无法识别根本,例如对于如果引入新的类型。就会发生这种情况最常使用的帐户不还具有一个 MIT 兼容密钥的 MIT 兼容性。通常,更改密码必须为可兼容麻省理工学院的键会发生。

0x18 (KDC_ERR_PREAUTH_FAILED) Pre-authentication 信息无效"

这表示未能获取票证,可能是由于向客户端提供了错误的密码。

0x19 KDC_ERR_PREAUTH_REQUIRED"附加预身份验证"

客户端未发送 pre-authorization,或未发送相应 pre-authorization,接收到票证的类型。使用适当的一种 pre-authorization (KDC 返回错误中的预身份验证的类型),客户端将重试。许多 Kerberos 实现将启动时不 preauthenticated 数据,并只将其添加后续请求中,当它看到此错误。在这种情况下可以安全地忽略此错误。

0x25 (KRB_AP_ERR_SKEW)"时钟偏差太大"

没有客户端和服务器或客户端与 KDC 之间的时间差别。

0x26 KRB_AP_ERR_BADADDR""不正确网络地址"

会话票证包括从中它们是有效地址。 如果计算机发送该票证的地址是在票证中有效的地址不同,则会发生此错误。可能的原因可能是一个 Internet 协议 (IP) 地址发生了更改。另一个可能的原因是当票证传递通过代理服务器或 nat。客户端未使用的代理服务器地址方案的除非该程序引起代理服务器的源地址与客户端能够请求的代理服务器票证,票证可能无效。

0x29 (KRB_AP_ERR_MODIFIED)"消息流修改"

这表明,服务器无法解密表示该服务器不知道机密密钥用于加密票证,或 KDC 不知道服务器的项的从客户处获得的票证的客户端发送的票证。这可以通过确定如果服务器可以获取其自身,票证,或者如果其他人可以找到该服务器进行测试。安全通道所使用的 NTLM 也是有效性的在本地计算机帐户密码的指示符。

0x3C (KRB_ERR_GENERIC)"通用错误"

一般性错误,错误可能是内存分配失败。事件日志可能会发生此错误的情况下非常有用。

属性

文章编号: 230476 - 最后修改: 2007年2月27日 - 修订: 5.4
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbmt kbenv kberrmsg kbinfo kbnetwork KB230476 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 230476
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com