��ng nh?p

Select the product you need help with

L�m th? n�o �? kh?c ph?c c�c v?n �? li�n quan �?n Kerberos trong IIS

ID c?a b�i: 326985

Th�ng b�o: b�i vi?t n�y l� b�i ��?c d?ch b?i M�y d?ch

Nh?p chu?t v�o ��y �? hi?n th? b?n g?c Ti?ng anh v� b?n d?ch m�y theo ch? �? so s�nh.

Kh��c t�� N��i dung trong C� s�� Ki��n th��c Kh�ng co�n ��c h�� tr��

Bung t?t c? | Thu g?n t?t c?

B�i vi?t n�y m� t? c�ch g? r?i Kerberos x�c th?c tr�n c�c m�y ch? Internet Information Services (IIS). ��y kh�ng ph?i l� m?t h�?ng d?n ho�n ch?nh, nh�ng c� nhi?u t�i li?u tham kh?o c� th? gi�p b?n g? r?i c�c h?u h?t Kerberos v?n �? m� b?n c� th? g?p.

Theo m?c �?nh, khi b?n c�i �?t IIS tr�n m?t m�y ch? Microsoft Windows 2000, c�c NTAuthenticationProviders then ch?t trong metabase ��?c thi?t l?p �? Th��ng l�?ng, NTLM. �i?u n�y c� ngh?a l� khi m?t Microsoft Internet Explorer 5.0 tr? l�n kh�ch h�ng k?t n?i �?n c�c trang Web, IIS tr? v? c�c gi� tr? hai trong c�c WWW-x�c nh?n ti�u �?. Khi �i?u n�y x?y ra, kh�ch h�ng s? x�c �?nh m� ph��ng th?c x�c th?c n� c� th? k?t n?i v?i. N?u kh�ch h�ng quy?t �?nh �? k?t n?i c?a b?ng c�ch s? d?ng c�c ��m ph�n ph��ng ph�p, kh�ch h�ng th?a thu?n v?i m�y ch? �? x�c �?nh cho d� s? d?ng Kerberos ho?c NTLM cho x�c th?c. N?u kh�ch h�ng kh�ng h? tr? c�c ��m ph�n ph��ng ph�p, c�c kh�ch h�ng s? d?ng NTLM cho x�c th?c.

Chu� y� r?ng ��y l� m?t m� t? r?t chung chung v? c�ch th?c ho?t �?ng c?a qu� tr?nh n�y. Nhi?u ng�?i kh�c nh?ng �i?u m� b?n c� th? kh�ng nh?n th?y c?ng c� m?t khi Kerberos l� c� li�n quan.

N?u m�y s? d?ng Internet Explorer c� th? k?t n?i b?ng c�ch s? d?ng giao th?c Kerberos, m?t s? ki?m tra an ninh b? sung ��?c th?c hi?n. V� d?, kh�ch h�ng c� th? c� ��?c m?t v� t? v� c?p d?ch v? (TGS), v� sau �� s? d?ng m� v� �? x�c th?c.

�? bi?t th�m v? c�ch ��y x? l? c�c c�ng tr?nh, h?y b?m s? b�i vi?t sau ��y �? xem c�c b�i vi?t trong c�c C� s? ki?n th?c Microsoft:

217098

(http://support.microsoft.com/kb/217098/ )

C� b?n t?ng quan v? Kerberos x�c th?c trong Windows 2000

�? bi?t th�m chi ti?t, h?y truy c?p Microsoft sau ��y Web site:

Xa�c th��chttp://www.Microsoft.com/technet/prodtechnol/windows2000serv/reskit/Default.mspx?MFR=True

(http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true)

B?n ph?i l� quen thu?c v?i nh?ng t�i li?u tham kh?o �? g? r?i Kerberos.

Chu� y� N?u b?n c� g?n ��y �? n�ng c?p l�n Internet Explorer 6.0, b?n c� th? g?p v?n �? Kerberos v? c�c K�ch ho?t t�nh n�ng t�ch h?p Windows Xa�c th��c ki?m tra h?p kh�ng ��?c ch?n m?c �?nh. Cho bi?t th�m th�ng tin v? l�m th? n�o �? �?m b?o r?ng �i?u n�y t�y ch?n l� �?t ��ng, b?m s? b�i vi?t sau ��y �? xem b�i vi?t trong Microsoft Knowledge Base:

299838

(http://support.microsoft.com/kb/299838/ )

Kh�ng th? �? th��ng l�?ng Kerberos x�c th?c sau khi n�ng c?p l�n Internet Explorer 6

Ki?m ch?ng ph��ng ph�p x�c th?c

H?y ch?c ch?n r?ng ph��ng ph�p ch�nh x�c x�c th?c ��?c li?t k� trong metabase cho IIS m�y ch? ho?c trang Web c? th?. N?u m�y ch? c?a b?n �? n�ng c?p t? Microsoft Windows NT 4.0 sang Windows 2000, c�c ��m ph�n ph��ng th?c x�c th?c kh�ng ph?i l� c� s?n, v� b?n ph?i th�m n� theo c�ch th? c�ng. N?u b?n ch�a n�ng c?p t? Windows NT 4.0 �? Windows 2000, �?m b?o r?ng ph��ng ph�p th�ch h?p x�c th?c l� c� s?n. �? bi?t th�m th�ng tin v? l�m th? n�o �? x�c minh r?ng Negotiate ph��ng th?c x�c th?c l� c� s?n v� th�m c�c ph��ng ph�p n?u n� l� m?t t�ch, h?y nh?p v�o s? b�i vi?t sau ��y �? xem b�i vi?t trong c�c ki?n th?c Microsoft C� s?:

248350

(http://support.microsoft.com/kb/248350/ )

Kerberos x�c th?c kh�ng sau khi n�ng c?p t? IIS 4,0 �?n 5,0 IIS

L�u ? r?ng b?n c� th? thi?t l?p n�y ph��ng th?c x�c th?c l�c c�c trang Web tr?nh �? v� kh�ng cho c�c m�y ch? IIS to�n b?. �? th?c hi?n vi?c n�y, s? d?ng c�c Adsutil.VBS k?ch b?n �? th�m s? l�?ng c�c trang Web. V� d?, �? thi?t l?p c�c ph��ng th?c x�c th?c cho ch? m?c �?nh trang Web, s? d?ng sau ��y l?nh:

cscript adsutil.vbs set 1-w3svc-NTAuthenticationProviders "��m ph�n, NTLM"

1 Sau khi "w3svc" l� c�c trang Web �ang ��?c li?t k� trong c�c Qu?n l? d?ch v? Internet (ISM).

X�c �?nh t�n m�y ch?

Sau ��, x�c �?nh cho d� b?n �ang k?t n?i �?n trang Web c?a b?ng c�ch s? d?ng t�n NetBIOS th?c t? c?a c�c m�y ch? ho?c m?t b� danh t�n, v� d? nh� m?t DNS t�n (v� d?, www.microsoft.com). N?u b?n �ang truy c?p v�o m�y ch? Web b?ng b?ng c�ch s? d?ng m?t t�n kh�c v?i t�n m�y ch?, m?t d?ch v? m?i ch�nh, th?c t? t�n (SPN) n�y ph?i c� ��ng k? b?ng c�ch s? d?ng c�c c�ng c? Setspn t? c�c c?a s? 2000 Server Resource Kit. B?i v? th� m?c ho?t �?ng kh�ng bi?t d?ch v? n�y t�n, TGS kh�ng cung c?p cho b?n m?t v� �? x�c th?c ng�?i d�ng. L?c l�?ng n�y kh�ch h�ng s? d?ng ph��ng ph�p th?m �?nh s?n ti?p theo, l� NTLM, �?n renegotiate. N?u c�c m�y ch? Web l� ��p ?ng m?t t�n h? th?ng t�n mi?n (DNS) www.microsoft.com nh�ng c�c m�y ch? ho?c m�y ch? ��?c �?t t�n webserver1.Development.Microsoft.com, b?n ph?i ��ng k? www.microsoft.com trong Th� m?c ho?t �?ng tr�n m?i m�y ch? IIS. �? th?c hi?n vi?c n�y, b?n ph?i t?i v? Setspn Ti?n �ch v� c�i �?t n� tr�n m�y ch? IIS.

�� bi��t th�m th�ng tin v�� l�m th? n�o �? t?i v? c�c ti?n �ch Setspn, gh� th�m Web site sau c?a Microsoft:

Setspn.exehttp://www.Microsoft.com/downloads/details.aspx?FamilyID = 5fd831fd-ab77-46a3-9cfe-ff01d29e5c46 & DisplayLang = en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)

�? x�c �?nh xem b?n �ang k?t n?i b?ng c�ch s? d?ng t�n th?c t?, c? g?ng k?t n?i t?i h? ph?c v? b?ng c�ch s? d?ng t�n th?c t? c?a n� thay v? c?a t�n DNS. N?u b?n kh�ng th? k?t n?i �?n m�y ch?, �i �?n c�c Ki?m ch?ng m�y t�nh l� ��ng tin c?y cho �o�n �?i bi?u ke� tie�p. N?u b?n c� th? k?t n?i �?n m�y ch?, h?y l�m theo c�c b�?c sau �? thi?t l?p m?t SPN cho t�n DNS m� b?n �ang b?ng c�ch s? d?ng �? k?t n?i t?i h? ph?c v?:

C�i �?t c�c ti?n �ch Setspn.
Tr�n m�y ph?c v? IIS, m? m?t d?u nh?c l?nh, v� sau �� thay �?i v�o th� m?c c: Program Files Files\Resource Kit.
Ch?y l?nh sau �? th�m n�y SPN m?i (www.microsoft.com) v�o th� m?c ho?t �?ng cho m�y ch?, n�i webserver1 T�n NetBIOS c?a m�y ch? l�:
Setspn - m?t HTTP/www.microsoft.com webserver1
B?n nh?n ��?c �?u ra t��ng t? nh� sau ��y:
```
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
							
```
�? xem m?t danh s�ch c?a SPNs tr�n m�y ch? �? xem n�y m?i gi� tr?, lo?i sau ��y tr�n h? ph?c v? IIS: Setspn -L webservername

L�u ? r?ng b?n kh�ng c?n ph?i ��ng k? d?ch v?. Nhi?u ph?c v? c�c lo?i, ch?ng h?n nh� HTTP, W3SVC, WWW, RPC, CIFS (truy c?p file), th?ng, v� cung c?p n�ng l�?ng uninterruptible (UPS), s? �nh x? cho m?t lo?i d?ch v? m?c �?nh �?t t�n M�Y CH? L�U TR?. V� d?, n?u ph?n m?m kh�ch h�ng c?a b?n s? d?ng m?t SPN c?a HTTP/webserver1.microsoft.com �? th?c hi?n m?t k?t n?i HTTP �?n m�y ch? Web ng�y webserver1.microsoft.com m�y ch?, nh�ng SPN n�y kh�ng ��?c ��ng k? v�o c�c h? ph?c v?, ki?m so�t mi?n Windows 2000 s? t? �?ng �? n� �? HOST/webserver1.microsoft.com. L?p b?n �? n�y �p d?ng n?u d?ch v? Web ch?y theo tr��ng m?c h? th?ng �?a ph��ng.

Quan tr?ng N?u SPN m� b?n mu?n ��ng k? cho tr��ng m?c m�y t�nh (trang Web �ang ch?y d�?i t�i kho?n LocalSystem ho?c NetworkService), b?n kh�ng ph?i thay �?i SPNs hi?n t?i c?a m�y t�nh. Thay v�o ��, ch? th�m m?i HTTP SPN. N?u t�n c?a trang Web ph� h?p v?i t�n m�y ch?, kh�ng c� thay �?i �? c�c SPNs ��?c y�u c?u. N?u c�c ti�u chu?n t�n m�y ch? l�u tr? /Ma�y chu�v� HOST /ServerFQDN �ang m?t t�ch, b?n ph?i �i?u tra nh?ng v?n �? m� c�c d?ch v? Netlogon tr�n m�y ch? c� khi n� ��ng k? y�u c?u SPNs. B?n s? nh?n ��?c th�ng b�o l?i trong t?p tin ��ng nh?p khi b?n cho ph�p ghi s? c?a d?ch v?. �? bi?t th�m chi ti?t, b?m v�o b�i vi?t sau ��y s? �? xem b�i vi?t trong c� s? ki?n th?c Microsoft:

109626

(http://support.microsoft.com/kb/109626/ )

Cho ph�p ghi s? g? l?i cho d?ch v? ��ng nh?p m?ng

B?n c?ng s? nh?n ��?c c�c s? ki?n c?a Netlogon trong c�c H? th?ng c�c v? ��ng k? l?i.

Ki?m ch?ng r?ng m�y t�nh tin c?y cho �o�n �?i bi?u

N?u m�y ch? IIS n�y l� th�nh vi�n c?a t�n mi?n, nh�ng kh�ng ph?i l� m?t t�n mi?n b? �i?u khi?n, m�y t�nh ph?i ��?c tin c?y cho �o�n �?i bi?u cho Kerberos �? l�m vi?c ��ng c�ch. �? l�m �i?u n�y, h?y l�m theo c�c b�?c sau:

Tr�n b? �i?u khi?n v�ng, b?m B?t �?u, �i?m �?n Thi��t ��t, sau �� b?m B?ng �i?u khi?n.
B?m ��p v�o c�c C�ng c? qu?n tr? th� m?c, v� sau �� double-click Ng�?i d�ng th� m?c ho?t �?ng v� m�y t�nh.
Trong t�n mi?n c?a b?n, nh?p v�o c�c M�y vi t�nh th� m?c.
Trong danh s�ch, �?nh v? h? ph?c v? IIS. Nh?p chu?t ph?i v�o h? ph?c v? t�n, v� sau �� nh?p v�o Thu?c t�nh.
B?m v�o c�c T?ng qu�t tab, nh?n v�o ��y �? ch?n c�c Tin t�?ng cho �o�n �?i bi?u ki?m tra h?p v� b?m Ok.

S? d?ng Kerbtray

M?t ti?n �ch r?t h?u �ch �? g? r?i c�c v?n �? Kerberos l� Kerbtray.exe, l� m?t ph?n c?a b? t�i nguy�n Windows 2000. B?ng c�ch s? d?ng Kerbtray, b?n c� th? xem v� Kerberos ��?c c?p ra kh?i c�c �?a ph��ng b? nh? cache. �? t?i v? ti?n �ch n�y, gh� th�m Web site sau c?a Microsoft:

Kerbtray.exe: Kerberos khayhttp://www.Microsoft.com/downloads/details.aspx?FamilyID = 4e3a58be-29f6-49f6-85be-e866af8e7a88 & displaylang = en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)

�? bi?t th�m v? c�ng c? n�y v� l?i khuy�n v? gi?i ��p th?c m?c Kerberos, gh� th�m Web site sau c?a Microsoft:

http://www.Microsoft.com/technet/prodtechnol/WindowsServer2003/Technologies/Security/tkerberr.mspx

(http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx)

Cho ph�p ghi nh?t k? s? ki?n an ninh

Ghi nh?t k? s? ki?n b?o m?t c� th? ��?c v� gi� khi b?n g? r?i Kerberos x�c th?c th?t b?i. V?i �i?u n�y ��?c k�ch ho?t, b?n c� th? th?y ��ng nh?p th?t b?i khi ng�?i d�ng c? g?ng x�c th?c th�ng qua IIS. �i?u n�y cung c?p m?t l?i gi?i th�ch c?a nh?ng g? c� th? x?y ra trong qu� tr?nh x�c th?c v� l? do t?i sao vi?c x�c th?c qu� tr?nh l� kh�ng th�nh c�ng.

Ph?n c?n l?i c?a th�ng tin trong ph?n n�y tr�ch d?n tr?c ti?p t?Desiging Web an to�n D?a tr�n c�c ?ng d?ng cho Windows 2000 b?i Michael Howard. B?i v? c�c k?t n?i trong Windows 2000 ��?c ch?ng th?c, b?n c?n ph?i hi?u l�m th? n�o �? �?c c�c s? ki?n ��ng nh?p. M?c ��ch c?a ph?n n�y l� gi?i th�ch c�c bi?n kh�c nhau t?o n�n m?t s? ki?n ��ng nh?p.

Thi?t �?t ki?m �?nh ��ng nh?p/��ng xu?t

Microsoft Windows NT bao g?m ch? m?t ki?m to�n danh m?c cho ��ng nh?p v� ��ng xu?t. Windows 2000 gi?i thi?u m?t l?n th? hai. Hai lo?i-- ��ng nh?p/��ng xu?t v� ��ng nh?p t�i kho?n--��?c gi?i th�ch trong c�c ph?n sau.

Ki?m to�n c�c s? ki?n ��ng nh?p t�i kho?n (��ng nh?p/��ng xu?t lo?i)

Th? lo?i s? ki?n n�y, c� s?n trong t?t c? c�c phi�n b?n c?a Windows NT v� Windows 2000, ch? ra r?ng m?t t�i kho?n ��ng nh?p ho?c t?t ho?c th?c hi?n m?t m?ng k?t n?i t?i m�y t�nh. N�i c�ch kh�c, s? ki?n ki?m to�n ��?c k�ch ho?t tr�n c�c m�y t�nh n�i ��ng nh?p x?y ra. M?c ��ng nh?p/��ng xu?t l� quan tr?ng b?i v? n� cung c?p th�ng tin nh?t khi s? d?ng IIS, SQL Server, v� COM +.

S? ki?n quan tr?ng nh?t trong th? lo?i ��ng nh?p/��ng xu?t

��ng nh?p/��ng xu?t s? ki?n 529 (��ng nh?p th?t b?i)
��ng nh?p/��ng xu?t s? ki?n 528 (��ng nh?p th�nh c�ng)
��ng nh?p/��ng xu?t s? ki?n 540 (m?ng ��ng nh?p th�nh c�ng)

Hi?n th? nh?ng ph?n sau nh?ng s? ki?n n�y, v� B?ng 1 gi?i th�ch m?i ng�?i trong c�c l?nh v?c trong s? ki?n n�y.

��ng nh?p/��ng xu?t s? ki?n 529 (��ng nh?p th?t b?i)

Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           9/3/1999
Time:           8:57:21 PM
User:           NT AUTHORITY\SYSTEM
Computer:       CHERYL-LAPTOP
Description:
Logon Failure:
   Reason:           Unknown user name or bad password
   User Name:        Administrator
   Domain:           CHERYL-LAPTOP
   Logon Type:       2
   Logon Process:    seclogon
   Authentication Package: Negotiate
   Workstation Name: CHERYL-LAPTOP

��ng nh?p/��ng xu?t s? ki?n 528 (��ng nh?p th�nh c�ng) v� s? ki?n ��ng nh?p/��ng xu?t 540 (m?ng ��ng nh?p th�nh c�ng)

Event Type:     Success Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       540
Date:           1/23/2000
Time:           5:41:39 PM
User:           EXAIR\Cheryl
Computer:       CHERYL-LAPTOP
Description:
Successful Network Logon:
   User Name:        cheryl
   Domain:           EXAIR
   Logon ID:         (0x0,0x17872A8)
   Logon Type:       3
   Logon Process:    Kerberos
   Authentication Package: Kerberos
   Workstation Name:

Thu g?n b?ng n�yBung r?ng b?ng n�y

L?nh v?c	? ki?n
S? ki?n lo?i, ngu?n, th? lo?i, ID, nay, v� Gi��	t? gi?i th�ch
Ng�?i s? d?ng	Tr��ng m?c ng�?i d�ng th?c hi?n ��ng nh?p. Cho V� d?, �i?u n�y c� th? NT AUTHORITY\SYSTEM, n?m tr�n m?t t�i kho?n LocalSystem ��?c s? d?ng �? b?t �?u nhi?u d?ch v? Windows 2000.
M�y t�nh	M�y t�nh m� tr�n �� c�c s? ki?n �? x?y ra
L? do	�p d?ng cho ��ng nh?p th?t b?i ch?; �� l� c�c l? do c�c t�i kho?n kh�ng ��ng nh?p.
T�n ng�?i d�ng	T�n c?a ng�?i d�ng t�i kho?n c? g?ng ��ng nh?p
Mi��n	T�n mi?n c?a ng�?i d�ng t�i kho?n c? g?ng ��ng nh?p v�o.
��ng nh?p lo?i	M?t gi� tr? s? ch? ra lo?i ��ng nh?p �? c? g?ng. Gi� tr? c� th? l�: 2 - T��ng t�c (t��ng t�c ��ng nh?p v�o) 3 - M?ng (h? th?ng truy c?p th�ng qua m?ng) 4 - L� (b?t �?u nh� l� m?t c�ng vi?c th?c thi) 5 - D?ch v? (m?t d?ch v? Windows b?t �?u b?i d?ch v? b? �i?u khi?n) 6 - Proxy (proxy ��ng nh?p; kh�ng ��?c s? d?ng trong Windows NT ho?c Windows� n�m 2000) 7 - M? kh�a (m? kh�a m�y tr?m) 8 - NetworkCleartext (m?ng ��ng nh?p v?i ch?ng cleartext) 9 - NewCredentials (��?c s? d?ng b?i RunAs khi t�y ch?n /netonly ��?c s? d?ng)
Ti?n tr?nh ��ng nh?p	Qu� tr?nh th?c hi?n ��ng nh?p. C�c sau ��y l� m?t s? quy tr?nh ��ng nh?p v� d?: -Advapi (��?c k�ch ho?t b?i m?t cu?c g?i �? LogonUser; LogonUser c�c cu?c g?i LsaLogonUser, v� l� m?t trong c�c �?i s? LsaLogonUser, OriginName, x�c �?nh ngu?n g?c c?a s? c? g?ng ��ng nh?p) - User32 (b?nh th�?ng Windows 2000 ��ng nh?p b?ng c�ch s? d?ng tr?nh) -SCMgr (ki?m so�t d?ch v? Qu?n l? b?t �?u m?t d?ch v?) -KsecDD (k?t n?i m?ng �? SMB m�y ch?-v� d?, khi b?n s? d?ng m?t l?nh NET s? d?ng) -Kerberos (c�c Nh� cung c?p h? tr? an ninh Kerberos [SSP]) -NtlmSsp (NTLM SSP) - Seclogon (trung h?c ��ng nh?p-c� ngh?a l�, c�c l?nh RunAs) -IIS (IIS th?c hi?n ��ng nh?p; ��?c t?o ra khi ��ng nh?p v�o t�i kho?n IUSR_machinename ho?c khi s? d?ng Ti�u h�a ho?c Basic x�c th?c)
X�c th?c g�i	G�i b?o m?t ��?c g?i l� c? g?ng ��ng nh?p v�o t�i kho?n. M?t g�i x�c th?c l� m?t n�ng �?ng li�n k?t th� vi?n (DLL) m� ph�n t�ch d? li?u ��ng nh?p v� x�c �?nh hay kh�ng �? x�c th?c m?t t�i kho?n. V� d? ph? bi?n nh?t l� Kerberos, Negotiate, NTLM, v� MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 (c?ng ��?c g?i l� MSV1_0; authenticates ng�?i s? d?ng t?i c� s? c?a SAM, d? li?u h? tr? x�c th?c pass-through t�i kho?n trong tin t�?ng t�n mi?n, v� h? tr? subauthentication g�i) m�y tr?m t�n Tr?m l�m vi?c t�n, n?u ��?c bi?t �?n, ��?c s? d?ng b?i hi?u tr�?ng trong th?i gian ��ng nh?p.

Ki?m to�n c�c s? ki?n ��ng nh?p t�i kho?n (��ng nh?p t�i kho?n m?c)

Chuy�n m?c s? ki?n n�y ch? ra r?ng m?t t�i kho?n ��ng nh?p ho?c t?t v� c�c m�y t�nh ��?c s? d?ng �? x�c nh?n t�i kho?n. Trong tr�?ng h?p n�y, ki?m to�n s? ki?n ��?c k�ch ho?t tr�n m�y t�nh n�i c� tr� c?a c�c t�i kho?n. Nhi?u Kerberos li�n quan �?n c�c s? ki?n, ch?ng h?n nh� v� ph�t h�nh, �ang ��ng nh?p khi n�y ki?m to�n th? lo?i ��?c k�ch ho?t.

C�c �o?n hi?n th? hai th�?ng ��?c xem t�i kho?n ��ng nh?p th?t b?i c�c s? ki?n.

S? ki?n ��ng nh?p t�i kho?n 676 (��ng nh?p th?t b?i): x�c th?c v� y�u c?u th?t b?i

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       676
Date:           5/11/2000
Time:           8:47:01 PM
User:           NT AUTHORITY\SYSTEM
Computer:       DBSERVER
Description:
Authentication Ticket Request Failed:
   User Name:  Major
   Supplied Realm Name:    EXPLORATIONAIR.COM
   Service Name:     krbtgt/EXPLORATIONAIR.COM
   Ticket Options:   0x40810010
   Failure Code:     6
   Client Address:   172.100.100.12

Chu� y� T�i kho?n NT AUTHORITY\SYSTEM l� g?? Tr��ng m?c n�y th�?ng l� ��?c g?i l� LocalSystem; n� l� t�i kho?n d�?i m� d?ch v? h?u h?t ch?y. B?n s? th?y nhi?u d?n chi?u t?i tr��ng m?c n�y trong s? ghi s? ki?n b?o m?t.

S? ki?n 676 ng�?i c� ngh?a l� thi?u kh�ng th? nh?n ��?c m?t v� ban �?u c?p v� (TGT) t? trung t�m ph�n ph?i kh�a (KDC). M?t ph?n quan tr?ng nh?t c?a c�c s? ki?n l� c�c m? l?i. C�c m? s? l� gi?ng nh� m? s? MIT Kerberos. B?ng 2 m� t? m?t s? t?i �a ph? bi?n s? th?t b?i m?; danh s�ch �?y �? c� th? ��?c t?m th?y trong ch�nh http://www.IETF.org/RFC/rfc1510.txt

(http://www.ietf.org/rfc/rfc1510.txt)

.

B?ng 2 - m?t s? m? s? th?t b?i Kerberos ph? bi?n

Thu g?n b?ng n�yBung r?ng b?ng n�y

Kh�ng m?	? ki?n
6	Kh�ch h�ng kh�ng t?m th?y trong c� s? d? li?u Kerberos.
7	H? ph?c v? kh�ng t?m th?y trong c� s? d? li?u Kerberos. �i?u n�y n�i chung ch? ra m?t d?ch v? ch�nh t�n (SPN) �? kh�ng ��?c ��ng k? c�c d?ch v?.
23	M?t kh?u �? h?t h?n.
32	V� �? h?t h?n.
33	V� kh�ng ��?c h?p l?.
34	Y�u c?u l� m?t ph�t l?i. Ai �� ang c? g?ng �? ch�i Quay l?i ph?n ?ng c?a m?t kh�ch h�ng Kerberos; b?n c� th? �ang b? t?n c�ng.
37	�?ng h? skew qu� l?n. Kerberos l� th?i gian quan tr?ng; �?m b?o r?ng t?t c? �?ng h? ��?c �?ng b? h�a

T�i kho?n ��ng nh?p t? ch?c s? ki?n 681 (��ng nh?p th?t b?i) v?i m?t s? l�?ng l?n cho m? l?i

��i khi, b?n c� th? th?y m?t l?i nh� sau. V?n �? l� m? l?i l� h?u nh� v� d?ng.

Event Type:     Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:       681
Date:           5/11/2000
Time:           8:47:01 PM
User:           NT AUTHORITY\SYSTEM
Computer:       DBSERVER
Description:
The logon to account: Major
 by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 from workstation: WEBSERVER
 failed. The error code was: 3221225572

B?ng 3 - v� d? t�i kho?n ��ng nh?p m? l?i.

Thu g?n b?ng n�yBung r?ng b?ng n�y

L?i Code(Decimal)	L?i Code(Hex)	? ki?n
3221225572	0xC0000064	Ng�?i d�ng �? ch? �?nh kh�ng t?n t?i.
3221225570	0xC0000062	T�n ��?c cung c?p l� kh�ng m?t t�n tr��ng m?c ��?c h?nh th�nh ��ng c�ch.
3221225569	0xC0000061	M?t quy?n c?n thi?t l� kh�ng ��?c t? ch?c b?i c�c kh�ch h�ng.
3221225578	0xC000006A	Khi c? g?ng �? c?p nh?t m?t m?t kh?u, tr?ng th�i tr? l?i n�y ch? ra gi� tr? ��?c cung c?p nh� hi?n t?i m?t kh?u l� kh�ng ��ng.
3221225580	0xC000006C	M?t kh?u kh�ng ph?i l� C?p Nh?t ng�y. Khi c? g?ng �? c?p nh?t m?t kh?u, t?nh tr?ng n�y ch? ra r?ng m?t s? quy t?c C?p Nh?t m?t kh?u �? b? vi ph?m.V� d?, m?t kh?u c� th? kh�ng ��p ?ng Chi?u d�i ti�u ch�.
3221225585	0xC0000071	Tr��ng m?c ng�?i d�ng m?t kh?u �? h?t h?n.
3221225586	0xC0000072	T�i kho?n tham chi?u b? hi?n �ang t?t.

N?u b?n t��ng quan s? ki?n tr�?c �� suy hai an ninh --Ch�nh y�u c?u m?t th?t b?i TGT ban �?u v?i l?i 6 (kh�ch h�ng kh�ng t?m th?y trong c� s? d? li?u Kerberos) khi �ng �? c? g?ng ��ng nh?p v�o v� m?t chung ��ng nh?p th?t b?i x?y ra v?i l?i 3221225572 (ng�?i d�ng �? ch? r? kh�ng t?n t?i)--n� c� �?ng b?ng �? xem c�i g? l?i: thi?u kh�ng ph?i l� m?t t�i kho?n h?p l?!

Quay l?i �?u trang | Cung c��p Pha�n h��i

THAM KH?O

�? bi?t th�m th�ng tin v? Kerberos, nh?p v�o s? b�i vi?t sau �? xem c�c b�i vi?t trong c� s? ki?n th?c Microsoft:

266080

(http://support.microsoft.com/kb/266080/ )

C�u tr? l?i cho c�u h?i th�?ng g?p Kerberos

244474

(http://support.microsoft.com/kb/244474/ )

L�m th? n�o �? bu?c Kerberos s? d?ng TCP thay v? UDP trong Windows Server 2003, Windows XP, v� trong Windows 2000

262177

(http://support.microsoft.com/kb/262177/ )

L�m th? n�o �? cho ph�p ghi nh?t k? s? ki?n Kerberos

287537

(http://support.microsoft.com/kb/287537/ )

S? d?ng x�c th?c c� b?n �? t?o ra Kerberos th?

277741

(http://support.microsoft.com/kb/277741/ )

Internet Explorer ��ng nh?p kh�ng th�nh c�ng nh? m?t v�ng �?m kh�ng �? cho Kerberos

269643

(http://support.microsoft.com/kb/269643/ )

Internet Explorer Kerberos x�c th?c kh�ng ho?t �?ng v? c?a m?t v�ng �?m kh�ng �? �ang k?t n?i t?i IIS

264921

(http://support.microsoft.com/kb/264921/ )

L�m th? n�o IIS authenticates tr?nh duy?t kh�ch h�ng

248350

(http://support.microsoft.com/kb/248350/ )

Kerberos x�c th?c kh�ng sau khi n�ng c?p t? IIS 4,0 �?n 5,0 IIS

294382

(http://support.microsoft.com/kb/294382/ )

X�c th?c c� th? th?t b?i v?i l?i "401.3" N?u trang Web "Host Header" kh�c v?i t�n NetBIOS c?a m�y ch?

217098

(http://support.microsoft.com/kb/217098/ )

C� b?n t?ng quan v? Kerberos x�c th?c trong Windows 2000

283201

(http://support.microsoft.com/kb/283201/ )

L�m th? n�o �? s? d?ng c�c �o�n �?i bi?u trong Windows 2000 v?i COM +

299838

(http://support.microsoft.com/kb/299838/ )

Kh�ng th? �? th��ng l�?ng Kerberos x�c th?c sau khi n�ng c?p l�n Internet Explorer 6

230476

(http://support.microsoft.com/kb/230476/ )

M� ta� l?i li�n quan �?n Kerberos ph? bi?n trong Windows 2000

320903

(http://support.microsoft.com/kb/320903/ )

Kh�ch h�ng kh�ng th? ��ng nh?p b?ng c�ch s? d?ng Kerberos qua TCP

235529

(http://support.microsoft.com/kb/235529/ )

Kerberos h? tr? tr�n Windows 2000 d?a tr�n m�y ch? c?m

929650

(http://support.microsoft.com/kb/929650/ )

L�m th? n�o �? s? d?ng d?ch v? ch�nh t�n khi b?n c?u h?nh ?ng d?ng Web ��?c l�u tr? v�o IIS 6

Kerberos FAQ ch?a th�ng tin b? sung v? giao th?c Kerberos:

http://www.faqs.org/faqs/Kerberos-FAQ/General/index.html

(http://www.faqs.org/faqs/kerberos-faq/general/index.html)

Quay l?i �?u trang | Cung c��p Pha�n h��i

Thu?c t�nh

ID c?a b�i: 326985 - L?n xem x�t sau c�ng: 28 Tha�ng Ta�m 2011 - Xem x�t l?i: 2.0

kbhowtomaster kbmt KB326985 KbMtvi

M�y d?ch

QUAN TRO�NG: B�i vi?t n�y ��?c d?ch b?ng ph?n m?m d?ch m�y c?a Microsoft ch? kh�ng ph?i do con ng�?i d?ch. Microsoft cung c?p c�c b�i vi?t do con ng�?i d?ch v� c? c�c b�i vi?t do m�y d?ch �? b?n c� th? truy c?p v�o t?t c? c�c b�i vi?t trong C� s? Ki?n th?c c?a ch�ng t�i b?ng ng�n ng? c?a b?n. Tuy nhi�n, b�i vi?t do m�y d?ch kh�ng ph?i l�c n�o c?ng ho�n h?o. Lo?i b�i vi?t n�y c� th? ch?a c�c sai s�t v? t? v?ng, c� ph�p ho?c ng? ph�p, gi?ng nh� m?t ng�?i n�?c ngo�i c� th? m?c sai s�t khi n�i ng�n ng? c?a b?n. Microsoft kh�ng ch?u tr�ch nhi?m v? b?t k? s? thi?u ch�nh x�c, sai s�t ho?c thi?t h?i n�o do vi?c d?ch sai n?i dung ho?c do ho?t �?ng s? d?ng c?a kh�ch h�ng g�y ra. Microsoft c?ng th�?ng xuy�n c?p nh?t ph?n m?m d?ch m�y n�y.

Nh?p chu?t v�o ��y �? xem b?n ti?ng Anh c?a b�i vi?t n�y:326985

(http://support.microsoft.com/kb/326985/en-us/ )

Kh��c t�� N��i dung trong C� s�� Ki��n th��c Kh�ng co�n ��c h�� tr��

B�i vi?t n�y n�i v? c�c s?n ph?m m� Microsoft kh�ng c?n h? tr? n?a. Do ��, b�i vi?t n�y ��?c cung c?p "nguy�n b?n" v� s? kh�ng ��?c c?p nh?t.

Quay l?i �?u trang | Cung c��p Pha�n h��i