active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322

前端之家收集整理的这篇文章主要介绍了active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在设置 Windows实验室环境.它有一个Win2012R2域控制器(srv001),我想将另一个Win2012R2服务器添加到域(srv003).实际上,一切顺利.我给新服务器一个与DC在同一子网中的静态IP地址,指向正确的DNS服务器并将服务器添加到域中.

但是,当我将新服务器添加到服务器管理器时,我收到Kerberos错误:0x80090322.我有一个很长的错误消息,我将在下面发布.我做了一些测试,发现我实际上能够使用Kerberos身份验证设置到服务器的远程Powershell会话:

$s = New-PSSession -ComputerName srv003 -Authentication Kerberos
$s | Enter-PSSession

这里没问题.我在远程服务器上运行Enable-PSRemoting,也没有问题.

为什么服务器管理器不像我的新服务器?特别是因为可以使用服务器管理器抱怨的相同协议来设置远程Powershell.

属于错误代码0x80090322的错误消息:

配置刷新失败,并显示以下错误:由于以下错误,无法从服务器检索元数据:WinRM无法处理请求.使用Kerberos身份验证时出现以下错误,错误代码为0x80090322:发生未知的安全错误.可能的原因是:

>指定的用户名或密码无效.
>如果未指定身份验证方法用户名,则使用Kerberos.
> Kerberos接受域用户名,但不接受本地用户名.
>远程计算机名称和端口的服务主体名称(SPN)不存在.
>客户端和远程计算机位于不同的域中,两个域之间没有信任.

检查上述问题后,请尝试以下操作:

>检查事件查看器以查找与身份验证相关的事件.
>更改身份验证方法;将目标计算机添加到WinRM TrustedHosts配置设置或使用HTTPS传输.请注意,TrustedHosts列表中的计算机可能未经过身份验证.
>有关WinRM配置的更多信息,请运行以下命令:winrm help config.

要返回错误消息中的编号项目:

>我使用域管理员帐户执行此操作.
>不确定如何在服务器管理器中更改此设置,因此我认为默认情况下应该这样做.
>我在域内运行,启动服务器管理器作为域管理员.
>服务器实际上有以下SPN,我还没有触及:

> Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04 / srv003.rwwilden01.local
> TERMSRV / SRV003
> TERMSRV / srv003.rwwilden01.local
> WSMAN / srv003
> WSMAN / srv003.rwwilden01.local
> RestrictedKrbHost / SRV003
> HOST / SRV003
> RestrictedKrbHost / srv003.rwwilden01.local
> HOST / srv003.rwwilden01.local

>两台计算机都在同一个域中.
>客户端计算机上没有事件.
>没有必要这样做.

好吧,我终于明白了.我再看一下远程服务器的事件日志.它包含以下错误文本的错误

Kerberos客户端从服务器srv003收到KRB_AP_ERR_MODIFIED错误.使用的目标名称是HTTP / srv003.rwwilden01.local.这表示目标服务器无法解密客户端提供的票证.当目标服务器主体名称(SPN)在目标服务正在使用的帐户以外的帐户上注册时,可能会发生这种情况.确保目标SPN仅在服务器使用的帐户上注册.如果目标服务帐户密码与Kerberos密钥分发中心上为该目标服务配置的密码不同,也会发生此错误.确保服务器和KDC上的服务都配置为使用相同的密码.如果服务器名称不是完全限定的,并且目标域(RWWILDEN01.LOCAL)与客户端域(RWWILDEN01.LOCAL)不同,请检查这两个域中是否存在具有相同名称的服务器帐户,或使用完全限定名称识别服务器.

我似乎在一周前使用SPN HTTP / srv003.rwwilden.local添加了一个托管服务帐户.我不确定为什么服务器管理器首先尝试此目标名称,但显然这不起作用.这是有道理的,因为这个SPN与实际的服务器没什么关系.

删除服务帐户后,一切都按照我的意图开始工作.

猜你在找的Windows相关文章