Kerberos -Authentifizierung ist ein Sicherheitsprotokoll, das das Recht eines Benutzers , um Dienste auf einem Netzwerk zugreifen überprüft . Um die Anforderung des Benutzers zu verarbeiten, muss jede Komponente der Domäne und Kerberos -Server richtig funktionieren. Zum Beispiel, wenn die Uhr auf dem Kerberos -Server ist nicht synchron mit der Uhr auf dem Domain-Server , wird die Authentifizierung nicht statt. Darüber hinaus, wenn ein Dienst mehr als einen Service Principal Name ( SPN ) zugeordnet ist, wird Kerberos nicht in der Lage sein , um den Service auf Wunsch des Benutzers zu identifizieren , und die Authentifizierung zu beenden. Anleitung
Synchronisieren der Server Uhren
1
Klicken Sie auf die Schaltfläche "Start" . Klicken Sie auf " Ausführen ", geben Sie "regedit " in Feld und drücken Sie " Enter". Der " Registry Editor" -Fenster erscheint. Klicken Sie auf " HKEY_LOCAL_MACHINE " , um den Baum zu erweitern. Klicken Sie auf " CurrentControlSet ", "Services ", " Win32Time ", " Config " und dann " AnnounceFlags . "
2
rechten Maustaste auf " AnnounceFlags " auf der rechten Seite des Fensters . Wählen Sie im Drop -down-Menü , klicken Sie auf " Ändern ". Typ "A" in dem Feld neben "Wert " und klicken Sie dann auf "OK". Schließen Sie den Registrierungs-Editor.
3
Klicken Sie auf die Schaltfläche "Start" . Klicken Sie auf " Run" und geben Sie " cmd" ein , und drücken Sie "Enter " starten Sie die Eingabeaufforderung. Geben Sie " net time /domain /set" in das leere Feld ein , und klicken Sie auf "OK". Dieser Befehl re - synchronisiert der Kerberos-Server -Uhr mit der Uhr auf Domain-Server , wenn es neu gestartet wird .
4
Klicken Sie auf die Schaltfläche "Start" . Klicken Sie auf " Run" und geben Sie " cmd" ein , und drücken Sie "Enter " starten Sie die Eingabeaufforderung. Geben Sie " net stop w32time && net start w32time " Windows Time Service neu zu starten.
Identifizieren und Entfernen von doppelten Service Principal Names ( SPN)
5
Klicken Sie auf " Start" Taste. Klicken Sie auf " Run" und geben Sie " LDP " in das leere Feld ein . Klicken Sie auf " OK". Die " Ldp " erscheint auf dem Bildschirm. Klicken Sie auf " Connection" in der oberen Navigationsleiste , und aus der Drop -down-Menü , klicken Sie auf " Connect".
6
Typ der Domänencontroller Namen in der "Server" Textfeld . Klicken Sie auf " Schließen " in der oberen Navigationsleiste , und aus dem Dropdown-Menü klicken Sie auf " Bind ". Geben Sie Ihren Benutzernamen , Passwort und die Domäne in die entsprechenden Felder ein . Klicken Sie auf " OK".
7
Klicken Sie auf " View" in der oberen Navigationsleiste , und aus der Drop -down-Menü , klicken Sie auf "Baum . " Klicken Sie auf das Basis - Distinguished Name aus dem " BaseDN " Pull-Down -Box auf der " Tree View "-Menü. Klicken Sie auf " OK".
8
Klicken Sie auf " Durchsuchen" und klicken Sie dann auf "Suchen". In der Suche Dialogfeld auf die gleiche Basis - Distinguished Name aus Schritt 3 in dem Pull -Down-Menü . Type " servicePrincipalName = SPN /FQDN " mit SPN ist der Service Principal Name der Gegend, wo der Fehler auftritt - . "HOST " für Computer-Accounts und "HTTP" für Web Services im Feld "Filter"
9
Klicken Sie auf " Teilbaum " in der " Scope "-Abschnitt der Suche Dialogbox . Klicken Sie auf " Ausführen". Von der Liste erzeugt , prüfen und notieren doppelte SPN . Klicken Sie auf " Start", dann auf " Ausführen". Geben Sie "cmd " in das leere vorgesehen , und klicken Sie auf " OK", um eine Eingabeaufforderung zu öffnen
10
Type " setspn -D ServiceClass /Host : Port AccountName " . Mit " ServiceClass /Host : Port AccountName "ist der doppelte SPN . Drücken Sie " Enter", um zu löschen. Wiederholen Sie diesen Vorgang für jedes Duplikat in Schritt 5 gefunden. Schließen Sie das Fenster, wenn abzuschließen.
