Nome dell'entità servizio Kerberos per un account errato
Questo articolo fornisce assistenza per risolvere un problema a causa del quale gli utenti non riescono ad accedere a una risorsa e un registro eventi di sistema mostra l'evento Kerberos 4.
Si applica a: Windows Server 2008 R2 Service Pack 1
Numero KB originale: 2706695
Sintomi
Un registro eventi di sistema ha visualizzato almeno un evento Kerberos 4. Si tratta di un evento in un server che indica che un client ha assegnato al server un ticket per l'accesso a una risorsa che il server non può decrittografare.
Il vero sintomo è che un utente non è riuscito a ottenere l'accesso a una risorsa. L'errore più probabile che hanno ricevuto è stato un accesso negato o un errore 5.
Causa
I ticket di servizio Kerberos vengono ottenuti da un client e passati a un server per ottenere l'accesso alle risorse in tale server. Vengono firmati usando un segreto che solo il server con la risorsa richiesta può decrittografare. Quando l'SPN si trova nell'account errato in Active Directory, il segreto usato è quello degli account su cui si trova l'SPN anziché su uno dei server.
Di conseguenza, il server non può decrittografare il ticket e restituisce un errore al client.
Risoluzione
Per risolvere questo problema, è necessario cercare e rimuovere il nome dell'entità servizio dall'account alternativo e quindi aggiungerlo all'account corretto in Active Directory. A tale scopo, seguire questa procedura:
- Al prompt dei comandi con privilegi elevati e usando le credenziali di amministratore dell'organizzazione, eseguire il comando
setspn -Q <SPN>. Verrà restituito un nome di computer. SetSPN.exe viene installato con il ruolo Servizi Active Directory o con Controllo della sicurezza di Azure. - Rimuovere il nome SPN registrato in modo non corretto passando al prompt dei comandi ed eseguendo il comando
setspn -D <SPN> <computername>. - Aggiungere il nome SPN all'account corretto al prompt dei comandi eseguendo il comando
setspn -A <SPN> <computername of computer which had the System event 4>.
Ulteriori informazioni
Quando un client richiede un ticket di servizio che può passare lungo il controller di dominio, lo rilascia. Il client lo invia quindi all'host remoto in cui sta tentando di eseguire l'autenticazione.
Questo problema può essere visualizzato in una traccia di rete con una risposta di errore dal server di risorse che mostra l'errore KRB_AP_ERR_MODIFIED.
In questo scenario, il server remoto non può decrittografare il ticket inviato dal client perché la password usata per crittografarlo non è quella corretta. Questo, a sua volta, è il risultato del nome SPN per il servizio e il ticket presenti nell'oggetto non corretto in AD. In alternativa, viene usata la password di altri oggetti. In questo scenario, il server che non riesce a decrittografare il ticket risponde al client. Il client inserisce quindi l'evento Kerberos 4 (esempio seguente) nel registro eventi di sistema. Meno comunemente questo problema è causato da problemi di rete tra client e server in cui il ticket viene troncato.
ID evento KERBEROS 4
Tipo evento: Errore
Origine evento: Kerberos
Categoria di eventi: Nessuna
ID evento: 4
Date: <DateTime>
Ora: <DateTime>
Utente: N/D
Computer: MACHINENAMEDescription:
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_MODIFIED dall'host/machinename.childdomain.rootdomain.com del server. Il nome di destinazione usato è cifs/machinename.domain.com. Ciò indica che la password usata per crittografare il ticket di servizio Kerberos è diversa da quella nel server di destinazione. In genere, ciò è dovuto agli account computer con nome identico nell'area di autenticazione di destinazione (childdomain.rootdomain.COM) e all'area di autenticazione del client. Contattare l'amministratore del sistema.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per