我在Windows上使用Kerberos(非Windows软件生成令牌)并尝试debugging问题。 在networking跟踪中,我可以看到由IIS服务器返回KRB5KRB_ERR_GENERIC。 电子数据字段应该包含问题的描述,但只包含这些字节:
30 0d a1 03 02 01 01 a2 06 04 04 33 01 00 c0
其中大部分是不可打印的。 这可以解密或是具体实现?
我只能说Windows。 在电子数据中,您通常会看到由kerberos返回的扩展状态码。
我现在正在看的踪迹有一个来自KDC的回应,我可以看到一个像72 02 00 C0那样转换的块是c0000272。 并使用从http://www.microsoft.com/en-us/download/details.aspx?id=985 err.exe工具来转换这些Windows错误代码给出
# for hex 0xc0000272 / decimal -1073741198 STATUS_NO_MATCH ntstatus.h # There was no match for the specified key in the index. # as an HRESULT: Severity: FAILURE (1), FACILITY_NULL (0x0), Code 0x272 # for hex 0x272 / decimal 626 ERROR_NO_MORE_MATCHES winerror.h # There are no more matches for the current index # enumeration. # 2 matches found for "c0000272" 在这种情况下,因为SPN不在列表msds-allowedtodelegateto中,因此KDC返回此错误以查看其不在列表中。
我不确定您的电子数据是否完整。 但有什么看起来像一个Windows错误代码33 01 00 c0。
这下面是否适用于您或有意义?
# for hex 0xc0001033 / decimal -1073737677 MSG_CI_IISADMIN_NOT_AVAILABLE querymsg.h # The IISADMIN service is not available, so virtual roots # cannot be indexed.%1 # 1 matches found for "c0001033"
尝试通过registry首先启用Kerberos日志logging(HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters,创buildLogLevel值为0x1的新DWORD) – 查看您的KRB5KRB_ERR_GENERIC错误是否显示在eventvwr.exe的系统日志中
电子数据/电子文本字段似乎是针对具体实现的 – 获取译文的最佳方法是从事件日志中的马匹口中获取。