Mô tả về lỗi liên quan đến Kerberos phổ biến trong Windows 2000

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:230476
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp kết thúc hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Windows 2000 cung cấp hỗ trợ cho MIT Kerberos Phiên bản 5 xác thực, như được định nghĩa trong IETF yêu cầu cho bình luận (RFC) 1510. Các Kerberos giao thức gồm có ba sub-protocols. Sub-protocol mà qua đó các khách hàng pre-sends vé cho nhập học vào một dịch vụ được gọi là các Trao đổi ứng dụng (AP). Sub-protocol mà qua đó KDC phân phối một dịch vụ phiên làm việc chính và một vé cho dịch vụ gọi là cấp vé Trao đổi dịch vụ (TGS). Sub-protocol qua đó khách hàng pre-sends các vé cho nhập học vào một dịch vụ được gọi là khách hàng/máy chủ (CS) Trao đổi.

Bài viết này mô tả phổ biến Kerberos Phiên bản 5 liên quan lỗi, và bao gồm các nguyên nhân có thể được liên kết với các lỗi. Löu yù raèng các lỗi này được liên kết với Kerberos cụ thể, không mạng kết nối.
THÔNG TIN THÊM
Kerberos Phiên bản 5 liên quan đến lỗi phổ biến trong hệ thập lục phân:

0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) "Khách hàng không tìm thấy trong cơ sở dữ liệu Kerberos"

KDC không thể dịch tên chính khách hàng từ các KDC yêu cầu vào tài khoản trong Active Directory. Nói chung, xác minh cho dù tài khoản khách hàng tồn tại và đã tuyên truyền để điều khiển vùng mà tạo ra lỗi. Kiểm tra Active Directory nhân rộng có thể cung cấp một dấu hiệu của lý do tại sao lỗi. Nó cũng có thể là một vấn đề mà tên được chỉ định không được công nhận chính tên người dùng hiện tại trên các thuộc tính userPrincipalName của tài khoản.

0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) "Server không tìm thấy trong cơ sở dữ liệu Kerberos"

KDC có thể không dịch tên hệ phục vụ chủ yếu từ các KDC yêu cầu vào tài khoản trong Active Directory. Nói chung, xác minh cho dù tài khoản chủ tồn tại và đã tuyên truyền để điều khiển vùng mà tạo ra lỗi. Kiểm tra Active Directory nhân rộng có thể cung cấp một dấu hiệu của lý do tại sao lỗi. Còn nếu máy chủ không phải là ít Windows 2000, sẽ không có bất kỳ dịch vụ chính tên đăng ký bởi vì máy chủ đó không phải là có khả năng chứng thực với Kerberos. Trong trường hợp này, điều này lỗi có thể được bỏ qua bởi vì khách hàng sau đó sẽ chuyển sang NTLM cho xác thực.

0x9 (KDC_ERR_NULL_KEY) "khách hàng hoặc máy chủ có một phím null"

Phím nên không bao giờ null (trống). Mật khẩu thậm chí không tạo ra phím vì mật khẩu nối với các thành phần khác để tạo thành chìa khóa. Nếu một khách hàng thấy lỗi này, các quản trị viên nên đặt lại mật khẩu vào các tài khoản.

0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC đã không hỗ trợ kiểu mật mã"

Máy sử dụng cố gắng sử dụng một loại mã hóa KDC nào không hỗ trợ, cho bất kỳ lý do sau đây:
  • Tài khoản của khách hàng không có một chính của các thích hợp loại mật mã hoá.
  • Tài khoản KDC (cross-lĩnh vực tin tưởng) không có một phím số loại mật mã thích hợp.
  • Tài khoản yêu cầu máy chủ không có một chính của các loại mật mã thích hợp.
  • Loại có thể không được công nhận ở tất cả, ví dụ, nếu một kiểu mới được giới thiệu. Điều này xảy ra thường xuyên nhất với khả năng tương thích MIT, nơi một tài khoản có thể không được có một khóa tương thích MIT. Nói chung, một mật khẩu thay đổi phải xảy ra cho các khóa MIT tương thích để có sẵn.

0x18 (KDC_ERR_PREAUTH_FAILED) "Pre-authentication thông tin được không hợp lệ"

Điều này cho thấy sự thất bại để có được vé, có thể do các khách hàng cung cấp mật khẩu sai.

0x19 (KDC_ERR_PREAUTH_REQUIRED) "Bổ sung pre-authentication"

Các khách hàng đã không gửi pre-authorization, hoặc đã không gửi các loại thích hợp của pre-authorization, để nhận được một vé. Khách hàng sẽ thử lại với các loại thích hợp của pre-authorization (KDC trả về các Pre-Authentication gõ sai). Nhiều Kerberos hiện thực sẽ bắt đầu ra mà không có preauthenticated dữ liệu và chỉ thêm nó vào một tiếp theo yêu cầu khi nó thấy lỗi này. Trong trường hợp này, lỗi này có thể một cách an toàn bị bỏ qua.

0x25 (KRB_AP_ERR_SKEW) "Clock skew quá lớn"

Đó là thời gian sự khác biệt giữa máy khách và máy chủ hoặc khách hàng và KDC.

0x26 (KRB_AP_ERR_BADADDR) "" không chính xác địa ròng chỉ"

Phiên giao dịch vé bao gồm các địa chỉ mà từ đó họ là hợp lệ. Lỗi này có thể xảy ra nếu địa chỉ của máy tính gửi vé là khác nhau từ địa chỉ hợp lệ trong vé. Một nguyên nhân có thể này có thể là một thay đổi địa chỉ giao thức Internet (IP). Một nguyên nhân có thể là khi một vé được truyền qua một máy chủ proxy hoặc NAT. Khách hàng là không ý thức của các Lược đồ địa chỉ được sử dụng bởi các máy chủ proxy, vì vậy, trừ khi chương trình do các khách hàng để yêu cầu một máy chủ proxy vé với máy chủ proxy nguồn địa chỉ, vé có thể là không hợp lệ.

0x29 (KRB_AP_ERR_MODIFIED) "Thông báo dòng lần"

Điều này chỉ ra rằng các máy chủ đã không thể giải mã vé được gửi bởi một khách hàng có nghĩa là máy chủ không biết chìa khóa bí mật được sử dụng để mật mã hóa vé, hoặc khách hàng đã nhận vé từ một KDC không biết chìa khóa của máy chủ. Điều này có thể được kiểm tra bằng cách xác định nếu hệ phục vụ có thể có được một vé cho chính nó, hoặc nếu bất cứ ai khác có thể định vị hệ phục vụ. Kênh bảo mật được sử dụng bởi NTLM cũng là một chỉ báo về tính hợp lệ của mật khẩu trên local tài khoản máy.

0x3C (KRB_ERR_GENERIC) "Chung loại lỗi"

Một lỗi chung chung mà có thể là cấp phát bộ nhớ thất bại. Các bản ghi sự kiện có thể hữu ích nếu xảy ra lỗi này.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 230476 - Xem lại Lần cuối: 12/05/2015 14:21:31 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kberrmsg kbinfo kbnetwork kbmt KB230476 KbMtvi
Phản hồi