Событие с кодом 11 в системном журнале контроллеров домена

Переводы статьи Переводы статьи
Код статьи: 321044 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

В системный журнал на один или несколько контроллеров домена регистрируются следующие события:

Тип события: ошибка
Источник события: KDC
Категория события: нет
КОД события: 11
Дата: 1/4/2002
Время: 1:40:14 PM
Пользователь: н/Д
Компьютер:Имя_компьютера
Описание: Существует несколько учетных записей с именем host/mycomputer.mydomain.com типа 10.

Тип события: ошибка
Источник события: KDC
Категория события: нет
КОД события: 11
Дата: 8/17/2004
Время: 15.10.2009 PM
Пользователь: н/Д
Компьютер:Имя_компьютера
Описание: Существует несколько учетных записей с именем HOST/имя_компьютера типа DS_SERVICE_PRINCIPAL_NAME.

Тип события: ошибка
Источник события: Kerberos
Категория события: нет
КОД события: 4
Дата: 8/17/2004
Время: 15.10.2009 PM
Пользователь: н/Д
Компьютер:Имя_компьютера
Описание: Клиент kerberos получил ошибку KRB_AP_ERR_MODIFIED сервера host/machinename.childdomain.rootdomain.com. Имя целевого был cifs/machinename.domain.com. Это означает, что пароль, используемый для шифрования билета службы kerberos отличается на целевом сервере. Как правило это обусловлено учетных записей компьютеров с одинаковыми именами в целевой сферы (childdomain.rootdomain.COM) и клиентская сфера. Обратитесь к системному администратору.

Это событие также могут относиться к другим имен участников-служб. Например, это событие также могут относиться к host /NetBIOSComputerName.

Причина

Эта проблема возникает, если два или несколько учетных записей компьютера у того же имени участника службы (SPN) зарегистрированы. Центр распространения ключей (KDC) получает запрос на билет и связанных SPN существует только один раз, когда он возвращается в глобальном каталоге (GC) для проверки forestwide записывается событие с кодом 11.

Решение

Чтобы устранить эту проблему, найдите учетные записи компьютеров, имеющих повторяющиеся имена SPN. После нахождения компьютеров, имеющих повторяющиеся имена SPN, можно удалить учетную запись компьютера из домена, отсоединяется и снова включите компьютер в домен или исправить имя участника-службы на компьютере с помощью ADSIEdit, имеет неправильное имя участника-службы.

Поиск учетных записей компьютеров, имеющих повторяющиеся имена SPN, используйте один из следующих способов.

Метод 1: С помощью средства LDP поддержки

Примечание Если у вас установлены средства поддержки Windows 2000, установите их с компакт-диска Windows 2000 перед продолжением. Исполняемый файл программы установки средств поддержки находится на компакт-диске в папке Support\Tools. Установка не требует перезагрузки компьютера. Тем не менее необходимо перезагрузить компьютер, чтобы обновить переменные среды.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип LDP, а затем нажмите кнопку ОК.
  2. Нажмите кнопку Подключение, а затем нажмите кнопку Подключение.
  3. Оставьте настройки по умолчанию и нажмите кнопку ОК.

    Примечание Если вы не получите ожидаемый результат, попробуйте другой поиск, используя порт каталога Global (3268) вместо значения по умолчанию (389).
  4. Нажмите кнопку Подключение, а затем нажмите кнопку Привязка.
  5. Оставьте настройки по умолчанию и нажмите кнопку ОК.
  6. Нажмите кнопку Представление, а затем нажмите кнопку Дерево.
  7. В Представление дерева диалоговое окно, тип DC =Имя_доменаDC = com В диалоговом окне BaseDN поле, где Имя_домена Это ваш домен.
  8. Нажмите кнопку Обзор, а затем нажмите кнопку Поиск.
  9. В Поиск диалоговое окно, введите DC =Имя_доменаDC = com в BaseDN поле.
  10. В Поиск диалоговое окно, тип (Имя servicePrincipalName (SPN= РАЗМЕЩЕНИЯ /MyComputer.MyDomain.com)В диалоговом окне Фильтр поле. Если имя участника-службы, упоминается в описании ошибки в журнале системы отличается от этого примера, введите имя участника службы, на которую ссылается ошибка.

    Примечание Если ожидаемый результат не появляется, попробуйте выполнить поиск» узла /» в отличие от по искать только точное имя участника-службы в случае идентификатор.
  11. В группе Область действия, нажмите кнопку Поддерево.
  12. Нажмите кнопку Запустить.

Способ 2: Используйте служебную программу Ldifde

Программа Ldifde для дампа SPN для леса:
  1. Из контроллера домена откройте командную строку и введите следующую строку:
    LDIFDE -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName - r» (servicePrincipalName = узел/mycomputer *) "поддерево -p
    (Примечание Так как указать, что в запросе используется сервер глобального каталога (GC) и не используйте параметр -d для указания явной различающееся имя (DN) с помощью параметра -t 3268 различающееся имя корня леса используется с УЗЛОМ / mycomputer * параметр. Таким образом можно произвести поиск всех имен SPN, которые содержатся в данной строке.
  2. Откройте в блокноте файл check_SPN.txt и выполните поиск по имени участника-службы, которые зарегистрированы в журнале событий.
  3. Следует иметь в виду, учетные записи пользователей и учетные записи компьютеров, в которых находится имя SPN.

Способ 3:

Используете сценарий querySpn.vbs в следующей статье Microsoft TechNet. Чтобы использовать сценарий, скопируйте код, вставьте его в Блокнот и сохраните сценарий в виде querySpn.vbs.
http://www.Microsoft.com/technet/scriptcenter/Solutions/spnquery.mspx
Запустите сценарий, используя следующую команду:
Cscript spnquery.vbs HOST / mycomputer * > check_SPN.txt
Примечание Check_SPN.txt полученного выходной файл из сценария в 3 метода может использоваться так же как описано в способе 2.

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Microsoft, перечисленных в разделе «Относится к».

Свойства

Код статьи: 321044 - Последний отзыв: 15 июня 2011 г. - Revision: 12.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Ключевые слова: 
kbenv kberrmsg kbprb kbmt KB321044 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:321044

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com