域控制器的系统日志中的事件 ID 11

文章翻译 文章翻译
文章编号: 321044 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

一个或多个域控制器上的系统日志中可能会记录下列事件:

事件类型: 错误
事件源: KDC
事件类别: 无
事件 ID:11
日期: 4/1/2002
时间: 1:40: 14 下午
用户: 不适用
计算机:计算机名
描述: 有多个帐户使用名称 host/mycomputer.mydomain.com 的 type10。

事件类型: 错误
事件源: KDC
事件类别: 无
事件 ID:11
日期: 8/17/2004
时间: 1:30: 00 PM
用户: 不适用
计算机:计算机名
描述: 有多个帐户使用名称 DS_SERVICE_PRINCIPAL_NAME 类型的主机/计算机名。

事件类型: 错误
事件源: Kerberos
事件类别: 无
事件 ID:4
日期: 8/17/2004
时间: 1:30: 00 PM
用户: 不适用
计算机:计算机名
说明: kerberos 客户端收到来自服务器 host/machinename.childdomain.rootdomain.com KRB_AP_ERR_MODIFIED 错误。使用目标名称是 cifs/machinename.domain.com。这表明不同于目标服务器上的密码用于加密的 kerberos 服务票证。通常,这是因为目标领域 (childdomain.rootdomain.COM) 和客户端领域中具有相同名称的计算机帐户。请与系统管理员联系。

此事件还可应用于其他服务主体名称。例如,此事件还可能应用于主机 /NetBIOSComputerName.

原因

因为两个或多个计算机帐户具有相同服务主体名称 (SPN) 注册,则会出现此问题。记录了事件 ID 11 时密钥分发中心 (KDC) 收到票证请求,并且相关的 SPN 存在 forestwide 验证全局编录 (GC) 检时的一次。

解决方案

若要解决此问题,请找到具有重复的 Spn 的计算机帐户。当找到具有重复的 Spn 的计算机,您可以从域中删除该计算机帐户、 disjoin,重新将计算机加入域,也可以使用 ADSIEdit 解决计算机上的 SPN 时,其不正确的 SPN。

若要查找计算机帐户具有重复的 Spn,请使用下列方法之一。

方法 1: 使用 LDP 支持工具

注意如果您没有 Windows 2000 支持工具安装,将它们安装从 Windows 2000 安装光盘,然后再继续。支持工具安装程序可执行文件位于 Support\Tools 文件夹中安装光盘上。安装不需要重新启动计算机。但是,您可能必须重新启动计算机以更新这些环境变量。
  1. 单击开始,然后单击运行,类型 LDP然后单击确定
  2. 单击连接,然后单击连接
  3. 保留默认设置,然后再单击确定

    注意如果您没有收到预期的结果,而不是默认的设置 (389) 通过使用全局编录端口 (3268) 尝试其他搜索。
  4. 单击连接,然后单击绑定
  5. 保留默认设置,然后再单击确定
  6. 单击视图,然后单击
  7. 树视图对话框中,键入 DC =YourDomain特区 = comBaseDN中,其中 YourDomain 为您的域。
  8. 单击浏览,然后单击搜索
  9. 搜索对话框中,键入 DC =YourDomain特区 = com 在BaseDN中。
  10. 搜索对话框中,键入 (serviceprincipalname= 主机 /mycomputer.mydomain).com筛选器框中。如果系统日志中的错误中所指的服务主体名称不同于此示例中,键入错误引用的服务主体名称。

    注意如果您没有收到预期的结果,请尝试搜索"主机 /"而不是只搜索确切的 SPN 在事件 id。
  11. 范围下单击子树
  12. 单击运行

方法 2: 使用 Ldifde 实用程序

使用 Ldifde 实用工具转储目录林的 SPN:
  1. 从域控制器中,打开命令提示符下,然后键入下面的字符串:
    ldifde-f check_SPN.txt-t 3268 d""-l servicePrincipalName-r"(servicePrincipalName = 主机/电脑 *)"-p 子树
    注意-t 3268 参数用于指定的全局编录 (GC) 服务器使用在查询中,并且不使用-d 参数来指定显式的可分辨的名称 (DN),因为目录林根 DN 用于主机 / 电脑 * 参数。因此,您可以查找所有包含该字符串的 Spn。
  2. 在记事本中打开 check_SPN.txt 文件,然后搜索事件日志中报告的 SPN。
  3. 请注意,用户帐户和计算机帐户的 SPN 所在。

方法 3:

在下面的 Microsoft TechNet 文章中使用的 querySpn.vbs 脚本。要使用该脚本,请复制代码,将其粘贴到记事本中,然后将脚本另存为 querySpn.vbs。
http://www.microsoft.com/technet/scriptcenter/solutions/spnquery.mspx
通过使用以下命令运行该脚本:
cscript spnquery.vbs 主机 / 电脑 * 1> check_SPN.txt
注意获取的输出文件 check_SPN.txt,从方法 3 中的脚本可以相同的方式使用方法 2 中所述。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

属性

文章编号: 321044 - 最后修改: 2013年9月3日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
关键字:?
kbenv kberrmsg kbprb kbmt KB321044 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 321044
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com