Kerberos 相關的常見錯誤,在 Windows 2000 中的描述

文章翻譯 文章翻譯
文章編號: 230476 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

結論

Windows 2000 為 MIT Kerberos 版本 5 驗證提供支援,如同定義在 IETF 要求的註解 (RFC) 1510年。Kerberos 通訊協定由三個 sub-protocols 所組成。透過此用戶端 pre-sends 門票到服務的票證 sub-protocol 稱為應用程式 (AP) Exchange。透過此 KDC 散佈服務工作階段索引鍵] 和 [服務票證 sub-protocol 稱為票證授與服務 (TGS) Exchange。透過此用戶端 pre-sends 票證的許可服務稱為用戶端/伺服器 (CS) sub-protocol Exchange。

本文將說明一般 Kerberos 版本 5 相關錯誤,並包含可能會與錯誤相關聯的原因。請注意這些錯誤與 Kerberos 相關聯特別、 網路連線能力。

其他相關資訊

常見 Kerberos 版本 5 相關的錯誤在十六進位:

0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) 用戶端 Kerberos 資料庫中找不到

KDC 無法將用戶端主體名稱從 KDC 要求譯成在 Active Directory 中的帳戶。通常,正在驗證用戶端帳戶是否存在,並已傳播到網域控制站產生錯誤。檢查 Active Directory 複寫可能會提供錯誤的發生原因的指示。它也可以是一個問題位置指定的名稱不是可辨識的使用者主體名稱存在於帳戶的 userPrincipalName 屬性上。

0x7 Kerberos 資料庫中找不到的伺服器 」 KRB_ERR_S_PRINCIPAL_UNKNOWN

KDC 無法將伺服器主體名稱從 KDC 要求譯成在 Active Directory 中的帳戶。通常,正在驗證伺服器帳戶是否存在,並已傳播到網域控制站產生錯誤。檢查 Active Directory 複寫可能會提供指示的錯誤發生的原因。也如果伺服器是不至少 Windows 2000 不會有任何服務主要名稱登錄,因為該伺服器不能使用 Kerberos 驗證。在這種情況下因為然後用戶端會切換至 NTLM 驗證,可以忽略此錯誤。

0x9 (KDC_ERR_NULL_KEY) 」 的用戶端或伺服器有 Null 索引鍵 」

索引鍵永遠不應該 null 是 (空白) 的。甚至 Null 密碼產生金鑰,因為密碼串連與其他元素來形成索引鍵。 如果用戶端會看到此錯誤,系統管理員應該重設帳戶密碼。

0xE (KDC_ERR_ETYPE_NOTSUPP) 「 KDC 有沒有支援的加密類型"

用戶端嘗試使用 KDC 不支援,原因可能是下列任何一種加密型別:
  • 用戶端的帳戶沒有適當的加密類型的索引鍵。
  • KDC (十字形領域信任) 帳戶沒有適當的加密類型的索引鍵。
  • 要求的伺服器帳戶沒有適當的加密類型的索引鍵。
  • 型別可能無法辨識在所有,例如如果引入新的型別。就會發生這種情況最常與 MIT 相容位置的帳戶可能還沒有為 MIT 相容索引鍵。通常,變更密碼必須發生 MIT 相容機碼,才能使用。

0x18 (KDC_ERR_PREAUTH_FAILED) Pre-authentication 資訊不正確 」

這表示失敗,以取得可能是因為要提供錯誤的密碼用戶端的票證。

「 其他預先驗證"KDC_ERR_PREAUTH_REQUIRED 0x19

用戶端並未傳送 pre-authorization,或並未傳送適當的接收票證的 pre-authorization 類型。用戶端將會重試與最適當的一種 pre-authorization (KDC 會傳回錯誤中預先驗證的型別)。許多 Kerberos 實作將開始時不含 preauthenticated 資料並僅新增在後續的要求中時看到此錯誤。在這種情況下可以安全地被忽略此錯誤。

0x25 (KRB_AP_ERR_SKEW) 」 設定時鐘扭曲太很好"

沒有用戶端和伺服器或用戶端和 KDC 之間的時間不一致。

0x26 (KRB_AP_ERR_BADADDR)""不正確網路位址"

工作階段票證包含從中是有效的位址。 如果傳送票證之電腦的位址不同於在票證中有效的位址,會發生此錯誤。可能的原因,可能是網際網路通訊協定 (IP) 位址變更。另一個可能的原因是當票證傳遞透過 Proxy 伺服器或 NAT。在用戶端就是不知道的 Proxy] 伺服器所使用的位址配置所以除非程式造成用戶端要求 Proxy 伺服器票證使用 Proxy 伺服器的來源位址,票證可能會不正確。

0x29 (KRB_AP_ERR_MODIFIED) 」 訊息流修改"

這表示伺服器無法解密這表示伺服器並不知道用來加密該票證之秘密金鑰,或用戶端不知道伺服器的機碼的 KDC 從取得票證的用戶端傳送的票證。這可以藉由判斷如果伺服器可以取得本身,票證,或任何其他人可以找出伺服器測試。NTLM 所使用的安全通道也是有效性的在本機電腦帳戶密碼的指示器。

0x3C 一般性的錯誤 」 KRB_ERR_GENERIC

泛用錯誤,可能是記憶體配置失敗。事件記錄檔可能會很有用,如果發生這個錯誤。

屬性

文章編號: 230476 - 上次校閱: 2007年2月27日 - 版次: 5.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbenv kberrmsg kbinfo kbnetwork KB230476 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:230476
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com