Kerberos 身份验证策略会导致请求失败的状态为 Windows Server 2012 R2 中的 KDC_ERR_POLICY

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3162159
症状
Kerberos 客户端请求门票只允许访问特定组的成员设备是否关联的身份验证策略的资源。在此情况下,请求将失败并状态为 KDC_ERR_POLICY (0xc) 和 STATUS_AUTHENTICATION_FIREWALL_FAILED (0xc0000413) 的扩展的状态。

此问题仅发生在客户端使用 Kerberos TGS 请求延长票据发放票据 (TGT)。
原因
因为密钥分发中心 (KDC) 没有设置 KERB_EXTENDED_POLICY_COMPOUND_ID_CAPABLE 位在票证,这使它能用于显式 armouring 在 TGT 续订期间出现此问题。

状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题.
参考
了解有关 术语 Microsoft 用于描述软件更新。

属性

文章 ID:3162159 - 上次审阅时间:06/21/2016 16:28:00 - 修订版本: 1.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation

  • kbqfe kbsurveynew kbfix kbexpertiseadvanced kbmt KB3162159 KbMtzh
反馈