無法使用網域帳戶登入Server (Event id 4)Kerberos 用戶端從伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 錯誤

公司最近遇到一個問題,某天一台AD 含 5大角色突然有問題無法連線,強迫重開機後,看起來都OK,也可以正常和其他DC同步。

但是在這台DC重開後,公司的server 事件檢視器有看到如下圖event id 4 的錯誤訊息

2019-03-18_215400

後來陸續有些server 發生無法使用網域帳號登入的情況,必須使用本機帳戶登入

登入後要重開機才恢復正常。

找了一下相關解法 發現類似的問題

https://dotblogs.com.tw/dotjason/2014/08/05/146166

Kerberos 用戶端從伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 錯誤

解法:

重設定定KDC 密碼

netdom resetpwd /server:伺服器 /userd:網域名稱\administrator /passwordd:administrator的密碼

和同事依照此方式執行後觀察還是有些主機會發生無法登入,使用本機登入後查看log 發現輸入網域帳號密碼驗證OK,但是隨即後面就會出現ServerXXX$ 登入錯誤

在此紀錄一下,或許重設定後就可以OK,但是發生該情況的主機還是必須要重新開機才可以解決,如果有朋友遇到類似情況有更好解決方是再麻煩分享給我。

另一台主機的log

vs58



本篇瀏覽人數: 5479
分類: Directory Services, Windows Server 2016。這篇內容的永久連結

在〈無法使用網域帳戶登入Server (Event id 4)Kerberos 用戶端從伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 錯誤〉中有 4 則留言

  1. jason表示:

    我之前也有遇到此問題,下列幾個討論點讓您知道一下,我的環境是Win2003升級Win2016後就會出現此狀況,server、使用者的電腦都會出現此問題。ad也都有檢測過是健康的。
    最後我是先把電腦和ad密碼驗証日期先停用(預設是30天就會更新密碼一次,更新密碼後就會出現之狀況,但也不是每一台電腦都會這樣),停用後就沒在發現之狀況了。先提供給您參考。

    https://social.technet.microsoft.com/Forums/zh-TW/da5bcef6-1d7e-408b-bf11-e7c7741aa641/-domain-member-server-id-1097-id-4-dc?forum=winserver2012zhtw

    https://blogs.technet.microsoft.com/askds/2014/07/23/it-turns-out-that-weird-things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012-r2-domain-controllers/

    • 榮哥表示:

      您好

      大感謝您提供的方式~~請教一下~~您當時情況是所有windows 2003 DC 都降級了只剩下windows 2016 DC後server和用戶PC都有此情況出現嗎?

  2. AARON表示:

    我最近也遇到這個問題,但不是每一台DC都有同樣的錯誤訊息,也不會無法登入。
    最後發現問題是DNS的A紀錄資料不一致問題造成的。

    例如在DNS server的A紀錄中192.168.10.10對應A電腦名稱。
    當A電腦因故沒開,B電腦開機後也使用192.168.10.10這個IP時,
    AD認證抓dns紀錄,發現相同IP但電腦名稱不同,票證憑證也不同,於是DC就會報錯。
    也許DHCP環境配到別台IP時更容易有這個狀況….

    解法就是,把dns上的錯誤 A記錄刪掉即可(dns會自行記錄新的IP與電腦名稱。)
    不用重設密碼也不用重新開機….

    例如錯誤訊息:
    使用的目標名稱為 cifs/aaa.xxx.com。這指出用來加密 kerberos 服務票證的密碼 與目標伺服器上的不同。

    上面這個aaa.xxx就是dns需要清掉的舊的A電腦名稱。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *