KRB_AP_ERR_BAD_INTEGRITY ошибка при попытке сервера делегировать в смешанной среде контроллера Домена только для чтения и контроллеров Домена Windows Server 2003

Переводы статьи Переводы статьи
Закрыть Закрыть
Код статьи: 2360265 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

В случае, когда вы пытаетесь делегирования Kerberos от среднего уровня сервера на внутреннем сервере, в среде, где существуют контроллеры домена только для чтения (RODC) контроллеры домена Windows Server 2003 возможен сбой делегирования.

Рассмотрим описанную ниже ситуацию.:

  1. Развертывания Windows Server 2008 или более поздних версий контроллеры домена только для чтения (RODC).
  2. У вас есть контроллеры домена Windows Server 2003 в домене, на RODC.
  3. После настройки делегирования Kerberos от среднего уровня сервера на внутреннем сервере.

В этом сценарии делегирования Kerberos могут неудачно с ошибкой KRB_AP_ERR_BAD_INTEGRITY.

Причина

В вышеприведенном сценарии если клиент получает билет для среднего уровня сервера от RODC, билет будет защищен с помощью учетной записи krbtgt для филиала, контроллер RODC является членом. Учетная запись krbtgt конкретной ветви была введена в Windows Server 2008 для использования RODC. Клиент предоставляет этот билет на сервер среднего уровня для проверки подлинности. Когда сервер среднего уровня решает, он должен олицетворять клиента, чтобы получить доступ к внутреннему серверу, выполнит запрос билета для конечного сервера, предоставление перенаправленных билет, предоставленные клиентом. При запросе сервера среднего уровня билет из Windows Server 2003 Kerberos центр распространения ключей (KDC), Windows Server 2003 KDC не удастся расшифровать билет. Это обусловлено тем, что Windows Server 2003 KDC пытается использовать учетную запись krbtgt стандартных для расшифровки билетов на то, что билет, защищенная с использованием учетной записи krbtgt конкретного подразделения. Так как Windows Server 2003 не знает о использование учетной записи krbtgt определенного подразделения его произойдет сбой запроса.

Windows Server 2008 или более поздней версии поддержка контроллеров домена, обнаружение учетную запись krbtgt был использован и расшифровать билет, используя соответствующие ключи.

Решение

Чтобы устранить эту проблему, выберите один из следующих параметров:

  • Обновление контроллеров Windows Server 2003 доменов Windows Server 2008 или более поздней версии
  • Настройте среду для сервера, который будет выполнять делегирование будет использовать Windows Server 2008 или более поздних версий контроллеры домена при поиске KDC. Это можно выполнить с помощью топология сайтов Active Directory и затраты, общие сведения О из Active Directory — сайты и службы (см..aspx HTTP://TechNet.Microsoft.com/en-us/library/cc731907 (WS.10))

Дополнительная информация

Для получения дополнительных сведений о RODC контроллер домена только для чтения (RODC) планирование и руководство по развертыванию (см.http://go.Microsoft.com/fwlink/?LinkID=135993).
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2360265 - Последний отзыв: 1 декабря 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbmt KB2360265 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:2360265

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com