- Remove From My Forums
-
Общие обсуждения
-
Приветствую.
Имеется хост-система Windows 10 и установленная на VMware Windows Server 2008 r2 Core. Серверной версии присвоен ip-адрес. С помощью Диспетчера серверов Windows 10 пытаюсь подключиться по ip для удаленного управления, но выдается «Ошибка
проверки подлинности Kerberos». Какие действия предпринять?
Все ответы
-
Сразу оговорюсь, что в делах администрирования я совсем новичок.
Расхождения во времени нет, везде стоит правильное. winrm включен на Windows Server. Какие логи нужно посмотреть? Спасибо.
Не знаю, насколько это связано, но еще не могу зайти ни в одну службу Active Directory — будь то домены и доверие, сайты и службы и т.д. Отовсюду сыпятся ошибки вроде «указанный домен не существует или к нему невозможно подключиться».
-
Изменено
ianbramv
18 марта 2017 г. 11:39
-
Изменено
-
В RSAT ведь и входит Диспетчер серверов, насколько я понимаю? Проблема была изначально, у меня просто появилась задача подключиться к серверу через этот диспетчер.
Через Управление компьютером > Подключиться к другому компьютеру возникает «Ошибка (5). Отказано в доступе».
Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?
-
Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?
Добрый День.
Эти команды необходимо выполнить на DC а не на рядовом сервере, зайдите на DC локально и выполните и выложите вывод команд
Я не волшебник, я только учусь
MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных
взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий.
Блог IT Инженера,
Twitter.-
Изменено
Alexander Rusinov
18 марта 2017 г. 13:31
Дополнил
-
Изменено
-
Хм, команды dcdiag и repadmin /showrepl не проходят на сервере. Видимо, нужно что-то доустанавливать?
Как не проходят? Пишут, что команда не найдена, или как?
Слава России!
-
Какие действия предпринять?
Я бы для диагностики включил
протколирование событий Kerberos на Windows 10 и на сервере. И смотрел бы в журналах событий Системы ошибки Kerberos на них и на контроллерах домена.
Слава России!
-
Эти команды необходимо выполнить на DC а не на рядовом сервере, зайдите на DC локально и выполните и выложите вывод команд
Это Режим восстановления службы каталогов, так? Там такая же ситуация…
-
Да, пишет, что команды такие не найдены.
-
Результаты:
Doing initial required tests Testing server: Default-First-Site-NameMY-PC Starting test: Connectivity ......................... MY-PC passed test Connectivity Doing primary tests Testing server: Default-First-Site-NameMY-PC Starting test: Advertising ......................... MY-PC passed test Advertising Starting test: FrsEvent ......................... MY-PC passed test FrsEvent Starting test: DFSREvent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... MY-PC failed test DFSREvent Starting test: SysVolCheck ......................... MY-PC passed test SysVolCheck Starting test: KccEvent A warning event occurred. EventID: 0x80000734 Time Generated: 03/18/2017 19:27:21 Event String: The local domain controller could not connect with the following domain contro ller hosting the following directory partition to resolve distinguished names. A warning event occurred. EventID: 0x80000734 Time Generated: 03/18/2017 19:28:49 Event String: The local domain controller could not connect with the following domain contro ller hosting the following directory partition to resolve distinguished names. A warning event occurred. EventID: 0x80000734 Time Generated: 03/18/2017 19:31:51 Event String: The local domain controller could not connect with the following domain contro ller hosting the following directory partition to resolve distinguished names. ......................... MY-PC passed test KccEvent Starting test: KnowsOfRoleHolders ......................... MY-PC passed test KnowsOfRoleHolders Starting test: MachineAccount ......................... MY-PC passed test MachineAccount Starting test: NCSecDesc ......................... MY-PC passed test NCSecDesc Starting test: NetLogons ......................... MY-PC passed test NetLogons Starting test: ObjectsReplicated ......................... MY-PC passed test ObjectsReplicated Starting test: Replications ......................... MY-PC passed test Replications Starting test: RidManager ......................... MY-PC passed test RidManager Starting test: Services Invalid service startup type: NtFrs on MY-PC, current value DISABLED, expected value AUTO_START NtFrs Service is stopped on [MY-PC] ......................... MY-PC failed test Services Starting test: SystemLog A warning event occurred. EventID: 0x80080002 Time Generated: 03/18/2017 18:47:46 Event String: VMCI: Not supported in Safe Boot Mode. A warning event occurred. EventID: 0x80080002 Time Generated: 03/18/2017 18:47:46 Event String: VMCI: Not supported in Safe Boot Mode. An error event occurred. EventID: 0xC0001B58 Time Generated: 03/18/2017 18:48:09 Event String: The Link-Layer Topology Discovery Mapper I/O Driver service failed to start du e to the following error: An error event occurred. EventID: 0xC0001B58 Time Generated: 03/18/2017 18:48:09 Event String: The Link-Layer Topology Discovery Responder service failed to start due to the following error: An error event occurred. EventID: 0xC0001B72 Time Generated: 03/18/2017 18:48:18 Event String: The following boot-start or system-start driver(s) failed to load: An error event occurred. EventID: 0xC0001B6F Time Generated: 03/18/2017 18:50:19 Event String: The Software Protection service terminated with the following error: A warning event occurred. EventID: 0x80080002 Time Generated: 03/18/2017 19:00:31 Event String: VMCI: Not supported in Safe Boot Mode. A warning event occurred. EventID: 0x80080002 Time Generated: 03/18/2017 19:00:31 Event String: VMCI: Not supported in Safe Boot Mode. An error event occurred. EventID: 0xC0001B58 Time Generated: 03/18/2017 19:00:55 Event String: The Link-Layer Topology Discovery Mapper I/O Driver service failed to start du e to the following error: An error event occurred. EventID: 0xC0001B58 Time Generated: 03/18/2017 19:00:55 Event String: The Link-Layer Topology Discovery Responder service failed to start due to the following error: An error event occurred. EventID: 0xC0001B72 Time Generated: 03/18/2017 19:01:04 Event String: The following boot-start or system-start driver(s) failed to load: An error event occurred. EventID: 0xC0001B6F Time Generated: 03/18/2017 19:03:05 Event String: The Software Protection service terminated with the following error: A warning event occurred. EventID: 0x80040033 Time Generated: 03/18/2017 19:20:25 Event String: An error was detected on device DeviceHarddisk1DR1 during a paging operatio n. An error event occurred. EventID: 0x0000002E Time Generated: 03/18/2017 19:25:18 Event String: The time service encountered an error and was forced to shut down. The error w as: 0x80070700: An attempt was made to logon, but the network logon service was not starte d. An error event occurred. EventID: 0xC0001B6F Time Generated: 03/18/2017 19:25:18 Event String: The Windows Time service terminated with the following error: An error event occurred. EventID: 0x0000002E Time Generated: 03/18/2017 19:25:33 Event String: The time service encountered an error and was forced to shut down. The error w as: 0x80070005: Access is denied. An error event occurred. EventID: 0xC0001B6F Time Generated: 03/18/2017 19:25:33 Event String: The Windows Time service terminated with the following error: A warning event occurred. EventID: 0x8000001D Time Generated: 03/18/2017 19:26:45 Event String: The Key Distribution Center (KDC) cannot find a suitable certificate to use fo r smart card logons, or the KDC certificate could not be verified. Smart card logon may no t function correctly if this problem is not resolved. To correct this problem, either veri fy the existing KDC certificate using certutil.exe or enroll for a new KDC certificate. A warning event occurred. EventID: 0x000003F6 Time Generated: 03/18/2017 19:27:13 Event String: Name resolution for the name _ldap._tcp.Default-First-Site-Name._sites.dc._msd cs.EXITYRWED.COM timed out after none of the configured DNS servers responded. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:27:16 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. A warning event occurred. EventID: 0x0000000C Time Generated: 03/18/2017 19:27:16 Event String: Time Provider NtpClient: This machine is configured to use the domain hierarch y to determine its time source, but it is the AD PDC emulator for the domain at the root o f the forest, so there is no machine above it in the domain hierarchy to use as a time sou rce. It is recommended that you either configure a reliable time service in the root domai n, or manually configure the AD PDC to synchronize with an external time source. Otherwise , this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to dis able the NtpClient. A warning event occurred. EventID: 0x0000A001 Time Generated: 03/18/2017 19:27:19 Event String: The Security System could not establish a secured connection with the server l dap/EXITYRWED.COM/EXITYRWED.COM@EXITYRWED.COM. No authentication protocol was available. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:27:31 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:27:46 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:28:01 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:28:16 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:28:31 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:28:46 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:29:01 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:29:16 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. A warning event occurred. EventID: 0x000727AA Time Generated: 03/18/2017 19:29:17 Event String: The WinRM service failed to create the following SPNs: WSMAN/MY-PC.EXITYRWE D.COM; WSMAN/MY-PC. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:29:31 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0xC00038D6 Time Generated: 03/18/2017 19:29:46 Event String: The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code i s in the record data. An error event occurred. EventID: 0x00000469 Time Generated: 03/18/2017 19:32:02 Event String: The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be gene rated once the machine gets connected to the domain controller and Group Policy has succes fully processed. If you do not see a success message for several hours, then contact your administrator. An error event occurred. EventID: 0xC0001B63 Time Generated: 03/18/2017 19:32:32 Event String: A timeout (30000 milliseconds) was reached while waiting for a transaction res ponse from the VMTools service. An error event occurred. EventID: 0x00000422 Time Generated: 03/18/2017 19:32:50 Event String: The processing of Group Policy failed. Windows attempted to read the file \EX ITYRWED.COMsysvolEXITYRWED.COMPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}gpt.ini f rom a domain controller and was not successful. Group Policy settings may not be applied u ntil this event is resolved. This issue may be transient and could be caused by one or mor e of the following: An error event occurred. EventID: 0xC0001B63 Time Generated: 03/18/2017 19:33:20 Event String: A timeout (30000 milliseconds) was reached while waiting for a transaction res ponse from the VMTools service. A warning event occurred. EventID: 0x80040033 Time Generated: 03/18/2017 19:35:09 Event String: An error was detected on device DeviceHarddisk1DR1 during a paging operatio n. ......................... MY-PC failed test SystemLog Starting test: VerifyReferences ......................... MY-PC passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Running partition tests on : DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Running partition tests on : Schema Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Running partition tests on : Configuration Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Running partition tests on : EXITYRWED Starting test: CheckSDRefDom ......................... EXITYRWED passed test CheckSDRefDom Starting test: CrossRefValidation ......................... EXITYRWED passed test CrossRefValidation Running enterprise tests on : EXITYRWED.COM Starting test: LocatorCheck ......................... EXITYRWED.COM passed test LocatorCheck Starting test: Intersite ......................... EXITYRWED.COM passed test Intersite C:UsersAdministrator>C:UsersAdministrator>repadmin /showrepl Repadmin: running command /showrepl against full DC localhost Default-First-Site-NameMY-PC DSA Options: IS_GC Site Options: (none) DSA object GUID: d2a920f2-0aba-4558-8bbf-bafae0a6f75c DSA invocationID: d2a920f2-0aba-4558-8bbf-bafae0a6f75c
-
У вас dc виртуальный или физический сервер?
Как и написал в шапке — WinServer 2008 r2 в редакции core, установленный на VMware.
-
Результаты:
A warning event occurred. EventID: 0x000727AA Time Generated: 03/18/2017 19:29:17 Event String: The WinRM service failed to create the following SPNs: WSMAN/MY-PC.EXITYRWE D.COM; WSMAN/MY-PC.Как я понимаю, пойти предложенным мной путём — включить протоколирование Kerberos, чтобы увидеть конкретные события с его ошибками — вы не решились.
Тогда будем пытаться делать вывод из имеющейся информации. Из того, что приведено, подозрительны две вещи:
1. То событие, которое я оставил в цитате — оно может служить причиной проблем с аутентификацией по Kerberos. Проверьте, зарегистрированы ли указанные в нём SPN, а если зарегистрированы — то на кого:
setspn -Q WSMAN/MY-PC.EXITYRWED.COM
setspn -Q WSMAN/MY-PC
Они должны быть зарегистрированы на MY-PC
2. Как настроен DNS (вопрос — потому что был ряд сообщений, заставляющих подозревать неверную настройку)? Поскольку ваш домен неизвестен интернету, то в качестве серверов DNS для всех компьютеров-членов домена, включая сам контроллер
домена, в качестве сервера DNS должен быть указан только контроллер домена. Проверяется настройка DNS командой ipconfig /allPS Вообще, насколько я помню, для подключения с помощью Диспетчера серверов из старших версий Windows к Win2K8 R2 на последней требовалось устанавливать обновлённый Windows Management Framework (какой именно — нужно смотреть в документации
по Диспетчеру серверов для старшей версии). Надеюсь, вы это проделали?
Слава России!
-
У вас dc сейчас в Safe Mode загружен?
Проверьте диск на ошибки chkdsk том /F
Выложите ipconfig /All с dc
Нет, не в Safe mode. Ошибок проверка не выявила.
-
Изменено
ianbramv
18 марта 2017 г. 16:18
-
Изменено
-
setspn -Q WSMAN/MY-PC.EXITYRWED.COM
setspn -Q WSMAN/MY-PC
Пишет:
Checking domain DC=EXITYRWED,DC=COM No such SPN found.
-
2. Как настроен DNS (вопрос — потому что был ряд сообщений, заставляющих подозревать неверную настройку)? Поскольку ваш домен неизвестен интернету, то в качестве серверов DNS для всех компьютеров-членов домена, включая сам контроллер
домена, в качестве сервера DNS должен быть указан только контроллер домена. Проверяется настройка DNS командой ipconfig /allPS Вообще, насколько я помню, для подключения с помощью Диспетчера серверов из старших версий Windows к Win2K8 R2 на последней требовалось устанавливать обновлённый Windows Management Framework (какой именно — нужно смотреть в документации
по Диспетчеру серверов для старшей версии). Надеюсь, вы это проделали?
Для установки нужен доступ во внешний интернет, а с моего DC его нет. Получается, неправильная настройка?
-
PS C:UsersAdministrator> ipconfig /All Windows IP Configuration Host Name . . . . . . . . . . . . : MY-PC Primary Dns Suffix . . . . . . . : EXITYRWED.COM Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : EXITYRWED.COM Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection Physical Address. . . . . . . . . : 00-0C-29-9E-68-9C DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::d1db:efad:9595:d804%21(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.2.2(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : 352324649 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-20-32-A4-71-00-0C-29-9E-68-9C DNS Servers . . . . . . . . . . . : ::1 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.{27BAD0B8-B269-4C61-9544-CE5813DC921D}: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft ISATAP Adapter #20 Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes PS C:UsersAdministrator> -
Приветствую.
Имеется хост-система Windows 10 и установленная на VMware Windows Server 2008 r2 Core. Серверной версии присвоен ip-адрес. С помощью Диспетчера серверов Windows 10 пытаюсь подключиться по ip для удаленного управления, но выдается «Ошибка
проверки подлинности Kerberos». Какие действия предпринять?Вопрос хотел уточнить: у вас эта самая Windows 10 — она в том же домене, что и Windows Server 2K8 R2 Core?
Если нет, то расскажите, как настроены (и настроены ли) доверительные отношения между этими доменами, если Win10 вообще член домена?
Для установки нужен доступ во внешний интернет, а с моего DC его нет. Получается, неправильная настройка?
Не понял, зачем там доступ в интернет для установки — для активации, что ли?
Я про другое писал — про возможность найти ваш этот DC с машины под Win10, с которой вы к нему подключаетесь — для этого и нужен правильно настроенный DNS. Если они в одном домене, конечно. Но сначала расскажите про домены:
а то я не успел рассмотреть подробно ipconfig /all с Win10, но некие сомнения он у меня зародил
Слава России!
-
Изменено
M.V.V. _
18 марта 2017 г. 21:36
-
Изменено
-
Когда я включаю DC — да, я могу в Диспетчере серверов найти его и по имени, и по IP. Собственно, уже при подключении возникает ошибка.
Получается, DC находится в домене , это видно на экране авторизации при запуске системы. Win10 не находится в этом домене: при попытке в свойствах системы указать его возникает ошибка «домен не существует или к нему
невозможно подключиться». Хотя имя и пароль запрашивает для применения операции. -
Microsoft Windows [Version 10.0.14393] (c) Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. C:WINDOWSsystem32>set ALLUSERSPROFILE=C:ProgramData APPDATA=C:UsersianbramvAppDataRoaming AV_APPDATA=C:UsersianbramvAppDataRoaming CommonProgramFiles=C:Program FilesCommon Files CommonProgramFiles(x86)=C:Program Files (x86)Common Files CommonProgramW6432=C:Program FilesCommon Files COMPUTERNAME=Z510 ComSpec=C:WINDOWSsystem32cmd.exe HOMEDRIVE=C: HOMEPATH=Usersianbramv KMP_DUPLICATE_LIB_OK=TRUE LOCALAPPDATA=C:UsersianbramvAppDataLocal LOGONSERVER=\Z510 NUMBER_OF_PROCESSORS=8 OS=Windows_NT Path=C:ProgramDataOracleJavajavapath;C:Program Files (x86)InteliCLS Client;C:Program FilesInteliCLS Client;C:Windowssystem32;C:Windows;C:WindowsSystem32Wbem;C:WindowsSystem32WindowsPowerShellv1.0;C:Program FilesIntelIntel(R) Management Engine ComponentsDAL;C:Program FilesIntelIntel(R) Management Engine ComponentsIPT;C:Program Files (x86)IntelIntel(R) Management Engine ComponentsDAL;C:Program Files (x86)IntelIntel(R) Management Engine ComponentsIPT;C:WINDOWSsystem32;C:WINDOWS;C:WINDOWSSystem32Wbem;C:WINDOWSSystem32WindowsPowerShellv1.0;C:Program Files (x86)SkypePhone;C:Usersianbramv.dnxbin;C:Program FilesMicrosoft DNXDnvm;C:Program Files (x86)NVIDIA CorporationPhysXCommon;C:WINDOWSsystem32;C:WINDOWS;C:WINDOWSSystem32Wbem;C:WINDOWSSystem32WindowsPowerShellv1.0;C:UsersianbramvAppDataLocalMicrosoftWindowsApps PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC PROCESSOR_ARCHITECTURE=AMD64 PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 60 Stepping 3, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=3c03 ProgramData=C:ProgramData ProgramFiles=C:Program Files ProgramFiles(x86)=C:Program Files (x86) ProgramW6432=C:Program Files PROMPT=$P$G PSModulePath=C:WINDOWSsystem32WindowsPowerShellv1.0Modules PUBLIC=C:UsersPublic SystemDrive=C: SystemRoot=C:WINDOWS TEMP=C:UsersianbramvAppDataLocalTemp TMP=C:UsersianbramvAppDataLocalTemp USERDOMAIN=Z510 USERDOMAIN_ROAMINGPROFILE=Z510 USERNAME=ianbramv USERPROFILE=C:Usersianbramv VBOX_MSI_INSTALL_PATH=C:Program FilesOracleVirtualBox VS140COMNTOOLS=C:Program Files (x86)Microsoft Visual Studio 14.0Common7Tools windir=C:WINDOWS C:WINDOWSsystem32>
C:WINDOWSsystem32>hostname Z510 C:WINDOWSsystem32>
-
Вопрос хотел уточнить: у вас эта самая Windows 10 — она в том же домене, что и Windows Server 2K8 R2 Core?
Если нет, то расскажите, как настроены (и настроены ли) доверительные отношения между этими доменами, если Win10 вообще член домена?
Добрый День.
Судя по:
USERDOMAIN=Z510
USERDOMAIN_ROAMINGPROFILE=Z510
USERNAME=ianbramv
USERPROFILE=C:Usersianbramv
LOGONSERVER=\Z510ПК Z510 не член домена, если я не прав, поправьте меня коллеги
по сему ошибка керберос при попытке управления через winrm winrs это нормально.
Просто необходимо
выполнить настойку доверенного хоста и способа аутентификации
Я не волшебник, я только учусь
MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Предложить как ответ» или «Проголосовать за полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных
взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий.
Блог IT Инженера,
Twitter. -
Подскажите пожалуйста, если у меня на Windows Server 2008 r2 Core нет интернет-подключения во внешний мир (оно мне нужно чтобы обновить все компоненты для дальнейшей настройки), то это я его сломал своими действиями
или его в любом случае еще нужно настроить? -
Начните с того, что поясните что и собственно для чего вы хотите что либо сделать?
Настроить интернет-подключение для установки всех обновлений системы и компонент.
-
Пробую ввести все три команды, что Вы привели, и в ответ получаю, по очереди:
Invalid gateway parameter (Default). It should be a valid IPv4 address.
The object is already in the list.
C:UsersAdministrator>netsh dnsclient add dnsserver "Local Area Connection" Default Gatew ay IP 2 The syntax supplied for this command is not valid. Check help for the correct syntax. Usage: add dnsservers [name=]<string> [address=]<IP address> [[index=]<integer>] [[validate=]yes|no] Parameters: Tag Value name - The name or index of the interface where DNS servers are added. address - The IP address for the DNS server you are adding. index - Specifies the index (preference) for the specified DNS server address. validate - Specifies whether validation of the DNS server setting will be performed. The value is yes by default. Remarks: Adds a new DNS server IP address to the statically-configured list. By default, the DNS server is added to the end of the list. If an index is specified, the DNS server will be placed in that position in the list, with other servers being moved down to make room. If DNS servers were previously obtained through DHCP, the new address will replace the old list. If Validate switch is yes, then the newly added DNS server is validated. -
Так, кажется понял. Заменил Default Gateway на шлюз IP адреса подключения к интернету из Win10. На что заменить IP 2? Где взять второй шлюз? Запутался…
-
Изменено
ianbramv
20 марта 2017 г. 11:19
-
Изменено
-
Установил NET Framework и Windows Management Framework. При попытке ввести команду
%windir%system32Configure-SMRemoting.exe
Получаю:
'C:Windowssystem32Configure-SMRemoting.exe' is not recognized as an internal or external command,operable program or batch file.
Что делать?
Как и многие другие протоколы аутентификации, вы часто можете столкнуться с проблемами при настройке Linux для аутентификации с помощью Kerberos. Конечно, проблемы всегда различаются в зависимости от вашего этапа аутентификации.
В этой статье рассматриваются некоторые проблемы, которые могут возникнуть. Некоторые из вопросов, которые мы включаем здесь:
- Проблемы, возникающие при настройке системы
- Проблемы, возникающие из-за клиентских утилит и сбоев в использовании или управлении средой Kerberos
- Проблемы с шифрованием KDC
- Проблемы с клавиатурой
Примечательно, что проблемы, с которыми вы можете столкнуться при использовании Linux Kerberos, часто начинаются на этапе установки. И единственный способ свести к минимуму проблемы с настройкой и мониторингом — это выполнить следующие шаги:
Шаг 1: Убедитесь, что на обеих машинах правильно установлен работающий протокол Kerberos.
Шаг 2: Синхронизируйте время на обеих машинах, чтобы убедиться, что они работают в одинаковых временных рамках. В частности, используйте сетевую синхронизацию времени (NTS), чтобы компьютеры находились в пределах 5 минут друг от друга.
Шаг 3: Проверьте, все ли узлы в сетевой службе домена (DNS) имеют правильные записи. При этом убедитесь, что каждая запись в файле хоста имеет соответствующие IP-адреса, имена хостов и полные доменные имена (FQDN). Хорошая запись должна выглядеть так:
IP_address FQDN hostname
Устранение неполадок клиентской утилиты Linux Kerberos
Если вам сложно управлять клиентскими утилитами, вы всегда можете использовать следующие три метода для решения проблем:
Способ 1: использование команды Klist
Команда Klist поможет вам визуализировать все билеты в любом кэше учетных данных или ключи в файле вкладки ключей. Получив билеты, вы можете отправить данные для завершения процесса аутентификации. Вывод Klist для устранения неполадок клиентских утилит будет выглядеть следующим образом:
bash-2.05$ klist Ticket cache: /tmp/krb5cc_1002 Default principal: HTTP/sol8sunone.test.com @TEST.COM Valid starting Expires Service principal Tue Nov 22 16:14:03 2022 Tue Nov 22 22:46:03 2014 krbtgt/ www.MaxDestroyer@ANDREYEX.RU
Способ 2: использование команды Kinit для проверки проблем на клиенте KDC
Вы также можете использовать команду Kinit, чтобы подтвердить, есть ли у вас какие-либо проблемы с вашим хостом KDC и клиентом KDC. Утилита Kinit поможет вам получить и кэшировать билет на выдачу билетов для субъекта-службы и пользователя. Проблемы с клиентской утилитой всегда могут возникать из-за неправильного имени участника или неправильного имени пользователя.
Ниже приведен синтаксис Kinit для принципала пользователя:
kinit username
Вышеупомянутая команда запросит пароль, поскольку она создает участника-пользователя. При выполнении команды убедитесь, что вы заменили имя пользователя действительной записью из вашего каталога.
С другой стороны, синтаксис Kinit для субъекта-службы аналогичен деталям на снимке экрана ниже. Обратите внимание, что это может варьироваться от одного хоста к другому:
kinit -k[-t keytab_file] principal_name
Интересно, что команда Kinit для субъекта-службы не будет запрашивать никаких паролей, поскольку для проверки подлинности субъекта-службы используется файл вкладки ключа в квадратных скобках.
Способ 3: использование команды kinit для проверки проблем с SMP
Вы также можете запустить приведенную ниже команду независимо от того, сработала ли приведенная выше команда комплекта или нет. Это помогает определить, есть ли какие-либо проблемы с хостом SMP. Примечательно, что это более полезно при тестировании вашего сервера на mail.company.com.
Ваша команда kinit будет иметь следующую структуру:
kbd>kinit -S host/mail.company.com@SERVER01.COMPANY.COM
Способ 4: использование команды ktpass
Иногда проблема может быть связана с вашими паролями. Чтобы убедиться, что это не является причиной ваших проблем с Linux Kerberos, вы можете проверить версию утилиты ktpass.
Устранение проблем с поддержкой KDC
Kerberos часто может дать сбой из-за множества проблем. Но иногда проблемы могут быть связаны с поддержкой шифрования KDC. Примечательно, что такая проблема приведет к следующему сообщению:
kinit: KDC has no support for encryption type while getting initial credentials
Если вы получили указанное выше сообщение, выполните следующие действия:
- Убедитесь, что ваши настройки KDC блокируют или ограничивают какие-либо типы шифрования.
- Убедитесь, что в вашей учетной записи сервера проверены все типы шифрования.
Устранение неполадок с Keytab
Вы можете предпринять следующие шаги, если у вас возникнут какие-либо проблемы с ключевыми вкладками:
Шаг 1: Убедитесь, что расположение и имя файла вкладки ключа для хоста аналогичны данным в файле krb5.conf.
Шаг 2: Убедитесь, что хост и клиентские серверы имеют основные имена.
Шаг 3: Подтвердите тип шифрования перед созданием файла вкладки ключа.
Шаг 4: Проверьте правильность файла вкладки ключа, выполнив приведенную ниже команду kinit:
kinit -t C:LinuxMaxDestroyer.keytab HTTP/MaxDestroyer@ANDREYEX.RU kinit host/fqdn@ANDREYEX.COM
Приведенная выше команда не должна возвращать ошибку, если у вас есть действительный файл вкладки ключа. Но в случае ошибки вы можете проверить действительность имени участника-службы с помощью этой команды:
kinit -t C:LinuxMaxDestroyer.keytab HTTP/MaxDestroyer@ANDREYEX.RU kinit host/fqdn@ANDREYEX.COM
Вышеупомянутая утилита предложит вам ввести пароль. Отсутствие запроса пароля означает, что ваше имя участника-службы недействительно или его невозможно идентифицировать. Как только вы введете правильный пароль, команда не вернет никаких ошибок.
Выше приведены некоторые распространенные проблемы, с которыми вы можете столкнуться при настройке или аутентификации с помощью Linux Kerberos. Эта статья также содержит возможные решения для каждой из проблем, с которыми вы можете столкнуться.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Ошибка предварительной проверки подлинности Kerberos означает, что пользователь не может войти в Windows или любой другой сетевой ресурс. Эта ошибка возникает при возникновении проблемы с процессом предварительной проверки подлинности Kerberos.
Это может произойти, если вы используете неправильное имя пользователя или пароль, если ваш компьютер находится в автономном режиме или не подключен к сети, или если возникает ошибка при подключении к контроллеру домена.
Почему я получаю сообщение об ошибке Event ID 4771?
Эта ошибка означает, что вы пытались подключиться к серверу с использованием предварительной аутентификации Kerberos, но сервер не ответил на ваш запрос. В Windows предварительная аутентификация Kerberos проверяет учетные данные пользователя до того, как KDC аутентифицирует их.
Если предварительная аутентификация не удалась, пользователю будет предложено ввести пароль. Для некоторых пользователей код ошибки появился как Event ID 4771 Предварительная аутентификация Kerberos не удалась 0x18 на их ПК. Для этого кода проблема заключается в неправильном пароле. Однако для события с кодом 4771 это может произойти по нескольким причинам:
- Несоответствие часов сервера. Вероятная причина заключается в том, что часы вашего компьютера не синхронизированы с часами сервера. Это может произойти, если ваш компьютер долгое время находился в автономном режиме, а затем снова подключился к сети, но не смог синхронизировать свои часы.
- Неверный пароль. Большинство пользователей, столкнувшихся с ошибкой Event ID 4771, признались, что недавно изменили свои пароли. Однако для уникальных идентификаторов, таких как идентификатор события 4771 со статусом 0x12, это означает, что учетные данные пользователя были отозваны.
- Кэшированные учетные данные. Кэшированные учетные данные используются для сокращения времени входа в систему и повышения безопасности, поскольку они автоматически получаются с сервера каталогов. Однако когда вы меняете пароли, они могут вызывать конфликты.
- Неверный домен. Убедитесь, что вы входите в учетную запись из того же домена, что и компьютер, с которого вы подключаетесь; в противном случае Active Directory не сможет правильно проверить ваши учетные данные.
Как я могу решить ошибку Event ID 4771?
1. Включите аудит неудачных входов в систему
- Нажмите клавиши Windows + R, чтобы открыть команду «Выполнить».
- Введите secpol.msc в диалоговом окне и нажмите Enter .
- Перейдите в следующее место:
Security settings/Local Policy/Audit Policies/Audit Logon Events
- Дважды щелкните «Аудит событий входа в систему», выберите «Успешно/сбой», затем нажмите «Применить» и «ОК».
Это будет генерировать событие безопасности всякий раз, когда пользователь пытается войти на компьютер, присоединенный к домену, и терпит неудачу. Аудит неудачных входов в систему позволит вам увидеть, когда пользователи пытались войти в сеть безуспешно, и выявить любые дубликаты.
Затем вы можете переименовать учетные записи с повторяющимися именами на одном или нескольких серверах или создать для них новые учетные записи с уникальными именами.
2. Удалить кешированные пароли
- Нажмите Windows клавишу, введите cmd в строке поиска и нажмите «Открыть».
- Введите следующие команды и нажмите Enter после каждой:
psexec -i -s -d cmd.exerundll32 keyngr.dll KRShowKeyMgr - Появится список сохраненных имен пользователей и паролей. Удалите их с вашего сервера и перезагрузите компьютер.
Это происходит потому, что подсистема Kerberos кэширует старый пароль в памяти. Когда вы меняете пароль, он не удаляется из памяти, пока не истечет срок его действия.
Затем клиент Kerberos пытается использовать старый кэшированный пароль, который не работает, поскольку он был изменен на контроллере домена.
3. Включите аудит входа в систему
- Нажмите Windows клавишу, введите Powershell в строке поиска и нажмите «Запуск от имени администратора».
- Введите следующую команду и нажмите Enter:
auditpol /set /subcategory:”logon” /failure:enable
Когда вы включаете аудит входа в систему, это помогает вам определить, пытается ли кто-то получить несанкционированный доступ к вашим системам, угадывая пароли или предпринимая другие попытки грубой силы.
Надеюсь, вы обошли ошибку предварительной аутентификации Kerberos с кодом события 4771 с помощью одного из этих методов.
Сообщите нам, какое решение устранило эту ошибку для вас, в разделе комментариев ниже.