我最近添加了一些Windows 2008服务器到我的Windows 2003域。 现在我的域控制器会定期发布Windows 2008盒子的安全事件ID 675(仅适用于所有的Win2k8盒子):
Pre-authentication failed: User Name: MY2008SERVER$ User ID: MYDOMAIN\MY2008SERVER$ Service Name: krbtgt/MYDOMAIN.LOCAL Pre-Authentication Type: 0x0 Failure Code: 0x19 Client Address: 10.2.1.32 据微软称 ,该失败代码意味着“需要额外的预授权”。 正如nedm指出的那样, 实际的RFC表示0x19意味着“服务器凭证被吊销”。 login审计没有得到有用的信息。 时间正确同步。
我在网上发现了许多类似的报告,到目前为止唯一的答案是通过ADSIEdit设置“不要求Kerberos预授权标志” 。
这是一个很好的解决方法,但我不想为每个部署的2008服务器都这样做。 任何想法,这是从哪里来的? 如何解决它的真实?
0x19对应hex表示法中的19,十进制为25:“需要额外的预authentication*”
我认为在Windows 2008中,NTLM作为一种authentication方法被淘汰了。 这使得Kerberos成为唯一的select。 当我们在testing环境中使用2008年的机器时,我们遇到了类似的问题。 事实certificate,时钟与域时间足够不同步(即> 5分钟)。 2003年的机器运行良好,因为当Kerberos失败时,他们简直回到了NTLM。 确保机器都有一个通用的NTP源(通过GPO设置)解决了我们的问题。
Kerberos错误(0x)19实际上对应于“服务器的凭据已被撤销” – 请参阅RFC列出Kerberos错误代码 – 对于疑难解答非常有帮助。 额外的身份validation(0x25)意味着在错误types字段中有更多的特定错误数据(您可以参考RFC的5.9.1节),但是0x19表示服务器的证书没有正常工作。
虽然它通常会导致不同的错误,但我会首先检查2008年服务器的时间偏移。 接下来,我会尝试删除它们,然后重新join到域。
对于Kerberos消息,我总是检查服务器的SPN(服务主体名称)不重复。 Kerberos似乎使用SPN来附加到用户/计算机帐户,而不是名称/ CN / samaccountname。 ADSIEdit可以用来查看SPN,并search愚蠢。