Richtlijnen voor het oplossen van problemen met Kerberos-verificatie

In deze handleiding vindt u de basisconcepten die worden gebruikt bij het oplossen van kerberos-verificatieproblemen.

Controlelijst voor probleemoplossing

• Een kerberos-gerelateerde fout is een symptoom van een andere service die mislukt. Het Kerberos-protocol is afhankelijk van veel services die beschikbaar moeten zijn en goed moeten werken om verificatie te laten plaatsvinden.

• Als u wilt bepalen of er een probleem optreedt met Kerberos-verificatie, controleert u het gebeurtenislogboek van het systeem op fouten van services (zoals Kerberos, kdc, LsaSrv of Netlogon) op de client, doelserver of domeincontroller die verificatie bieden. Als dergelijke fouten bestaan, kunnen er ook fouten zijn gekoppeld aan het Kerberos-protocol.

• Foutcontroles op het gebeurtenislogboek Beveiliging van de doelserver kunnen laten zien dat het Kerberos-protocol werd gebruikt toen er een aanmeldingsfout optrad.

• Voordat u het Kerberos-protocol inspecteert, controleert u of de volgende services of voorwaarden goed werken:

  • De netwerkinfrastructuur werkt goed en alle computers en services kunnen communiceren.
  • De domeincontroller is toegankelijk. U kunt de opdracht nltest /dsgetdc:<Domain Name> /force /kdc (bijvoorbeeld nltest /dsgetdc:contoso.com /force /kdc) uitvoeren op de client of doelserver.
  • Domain Name System (DNS) is correct geconfigureerd en zet hostnamen en services op de juiste manier om.
  • De klokken worden gesynchroniseerd in het hele domein.
  • Alle essentiële updates en beveiligingsupdates voor Windows Server zijn geïnstalleerd.
  • Alle software, inclusief niet-Microsoft-software, wordt bijgewerkt.
  • De computer wordt opnieuw opgestart als u een serverbesturingssysteem gebruikt.
  • De vereiste services en server zijn beschikbaar. Het Kerberos-verificatieprotocol vereist een werkende domeincontroller, DNS-infrastructuur en netwerk om goed te werken. Controleer of u toegang hebt tot deze resources voordat u begint met het oplossen van problemen met het Kerberos-protocol.

Als u al deze voorwaarden hebt onderzocht en nog steeds verificatieproblemen of Kerberos-fouten ondervindt, moet u verder zoeken naar een oplossing. De problemen kunnen worden veroorzaakt door hoe het Kerberos-protocol is geconfigureerd of door de wijze waarop andere technologieën die met het Kerberos-protocol werken, zijn geconfigureerd.

Veelvoorkomende problemen en oplossingen

Problemen met Kerberos-delegering

In een typisch scenario is het imitatieaccount een serviceaccount dat is toegewezen aan een webtoepassing of het computeraccount van een webserver. Het geïmiteerde account is een gebruikersaccount waarvoor toegang tot resources via een webtoepassing is vereist.

Er zijn drie typen delegering met behulp van Kerberos:

• Volledige delegatie (niet-beperkte delegatie)

  Volledige delegatie moet zoveel mogelijk worden vermeden. De gebruiker (front-endgebruiker en back-endgebruiker) kan zich in verschillende domeinen en ook in verschillende forests bevinden.

• Beperkte delegering (alleen Kerberos en protocolovergang)

  De gebruiker kan afkomstig zijn uit elk domein of forest, maar de front-end- en back-endservices moeten in hetzelfde domein worden uitgevoerd.

• Beperkte delegering op basis van resources (RBCD)

  De gebruiker kan afkomstig zijn uit elk domein en front-end- en back-endresources kunnen afkomstig zijn uit elk domein of forest.

Meest voorkomende problemen met Kerberos-delegatie oplossen

• Service-principalnaam ontbreekt of is gedupliceerd
• Naamomzettingsfouten of onjuiste antwoorden (verkeerde IP-adressen opgegeven voor een server)
• Grote Kerberos-tickets (MaxTokenSize) en omgeving zijn niet correct ingesteld
• Poorten die worden geblokkeerd door firewalls of routers
• Serviceaccount heeft niet de juiste bevoegdheden gekregen (toewijzing van gebruikersrechten)
• Front-end- of back-endservices die zich niet in hetzelfde domein bevinden en beperkte delegering instellen

Zie voor meer informatie:

• Beperkte delegering voor CIFS mislukt met ACCESS_DENIED-fout
• Beperkte delegering configureren voor een aangepast serviceaccount
• Beperkte delegering configureren voor het NetworkService-account

Eenmalige aanmelding (SSO) is verbroken en er wordt eenmaal om verificatie gevraagd

Houd rekening met de volgende scenario's:

• Een client- en servertoepassing zoals Microsoft Edge en IIS-server (Internet Information Services). De IIS-server is geconfigureerd met Windows-verificatie (Onderhandelen).
• Een client- en servertoepassing zoals een SMB-client en SMB-server. De SMB-server is standaard geconfigureerd met Negotiate Security Support Provider Interface (SSPI).

Een gebruiker opent Microsoft Edge en bladert door een interne website http://webserver.contoso.com. De website is geconfigureerd met Negotiate en deze website vraagt om verificatie. Nadat de gebruiker de gebruikersnaam en het wachtwoord handmatig heeft ingevoerd, krijgt de gebruiker verificatie en werkt de website zoals verwacht.

Opmerking

Dit scenario is een voorbeeld van een client en server. De probleemoplossingstechniek is hetzelfde voor elke client en server die zijn geconfigureerd met geïntegreerde Windows-verificatie.

Geïntegreerde Windows-verificatie is verbroken op gebruikers- of computerniveau.

Methoden voor probleemoplossing

• Controleer de clientconfiguratie voor een geïntegreerde verificatie-instelling, die kan worden ingeschakeld op toepassings- of computerniveau. Alle HTTP-toepassingen zoeken bijvoorbeeld of de site zich in een vertrouwde zone bevindt bij het uitvoeren van geïntegreerde verificatie.

  Open inetcpl.cpl (Internetopties), die alle HTTP-toepassingen gebruiken voor Internet Explorer-configuraties en controleer of de website is geconfigureerd als Lokaal intranet.

• Toepassingen hebben ook een configuratie voor het uitvoeren van geïntegreerde Windows-verificatie.

  Microsoft Edge of Internet Explorer heeft de instelling Geïntegreerde Windows-verificatie inschakelen om in te schakelen.

• Controleer de toepassingsconfiguratie en de clientcomputer kan een Kerberos-ticket verkrijgen voor een bepaalde Service Principal Name (SPN). In dit voorbeeld is http/webserver.contoso.comde SPN .

  • Bericht geslaagd wanneer u de SPN kunt vinden:

    C:>klist get http/webserver.contoso.com
    Current LogonId is 0:0x9bd1f
    A ticket to http/webserver.contoso.com has been retrieved successfully.
    

  • Foutbericht wanneer u de SPN niet kunt vinden:

    C:>klist get http/webserver.contoso.com
    klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
    

  Identificeer en voeg de respectieve SPN's toe aan de juiste gebruikers-, service- of computeraccounts.

• Als u hebt vastgesteld dat de SPN's kunnen worden opgehaald, kunt u controleren of ze zijn geregistreerd in het juiste account met behulp van de volgende opdracht:

  setspn -F -Q */webserver.contoso.com
  

Problemen met verificatie-DC-detectie

Toepassingsservers die zijn geconfigureerd met geïntegreerde Windows-verificatie, hebben domeincontrollers (DC's) nodig om de gebruiker/computer en service te verifiëren.

Het onvermogen om contact op te maken met een domeincontroller tijdens het verificatieproces leidt tot fout 1355:

Het opgegeven domein bestaat niet of kan niet worden gecontacteerd

Kan geen toegang krijgen tot een resource die is geconfigureerd met geïntegreerde Windows-verificatie met fout 1355

Opmerking

Foutberichten kunnen afwijken van het standpunt van een toepassing, maar de betekenis van de fout is dat de client of server geen domeincontroller kan detecteren.

Hier volgen voorbeelden van dergelijke foutberichten:

• De volgende fout is opgetreden bij het toevoegen van het domein Contoso:
  Het opgegeven domein bestaat niet of kan niet worden gecontacteerd.

• De domeincontroller voor het domein contoso.com kan niet worden gevonden

• Kan geen contact opnemen met domeincontroller 1355

Belangrijkste oorzaken van het probleem

• Onjuiste DNS-configuratie op de client

  U kunt de ipconfig /all opdracht uitvoeren en de lijst met DNS-servers controleren.

• Onjuiste DNS-configuratie op de domeincontrollers in een vertrouwd domein of forest

• Netwerkpoorten geblokkeerd tussen de client en domeincontrollers

  DC Discovery-poorten: UDP 389 (UDP LDAP) en UDP 53 (DNS)

Stappen voor probleemoplossing

1. Voer de nslookup opdracht uit om onjuiste DNS-configuraties te identificeren.
2. Open de vereiste poorten tussen de client en de domeincontroller. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.

Testscenario voor logboekanalyse

Omgeving en configuratie

• Clientcomputer

  Client1.contoso.com(een Windows 11 machine) wordt lid van het domein Contoso.com.

• Gebruiker John

  De gebruiker hoort Contoso.com bij en meldt zich aan op de clientcomputer.

• Internetopties op de clientcomputer

  Alle websites maken deel uit van de zone lokaal intranet.

  

• Server

  IISServer.contoso.com (Windows Server 2019) wordt lid van het domein Contoso.com.

• Verificatieconfiguratie

  Windows-verificatie is ingeschakeld.

  

• Verificatieproviders: Onderhandelen

  Ingeschakelde providers worden als volgt ingesteld:

  

Verificatiestroom

1. Gebruiker John meldt zich aan bij Client1.contoso.com, opent een Microsoft Edge-browser en maakt verbinding met IISServer.contoso.com.
2. De clientcomputer voert de onderstaande stappen uit (stap 1 in het bovenstaande diagram):
   1. De DNS-resolver cachet IISServer.contoso.com om te controleren of deze informatie al in de cache is opgeslagen.
   2. De DNS-resolver controleert het HOSTS-bestand op een toewijzing van IISServer.contoso.com in C:\Windows\System32\drivers\etc\Hosts.
   3. Verzend een DNS-query naar de voorkeurs-DNS-server (geconfigureerd op de IP-configuratie-instellingen), die ook een domeincontroller in de omgeving is.
3. De DNS-service die op de domeincontroller wordt uitgevoerd, kijkt naar de geconfigureerde zones, lost de host A-record op en reageert terug met een IP-adres van IISServer.contoso.com (stap 2 in het bovenstaande diagram).
4. De clientcomputer voert een TCP-handshake in drie richtingen uit op TCP-poort 80 naar IISServer.contoso.com.
5. De clientcomputer verzendt een anonieme HTTP-aanvraag naar IISServer.contoso.com.
6. De IIS-server die luistert op poort 80, ontvangt de aanvraag van , bekijk de verificatieconfiguratie van Client1.contoso.comde IIS-servers en stuurt een HTTP 401-vraagantwoord terug naar de clientcomputer met Onderhandelen als verificatieconfiguratie (stap 3 in het bovenstaande diagram).
7. Het Microsoft Edge-proces dat wordt uitgevoerd op Client1.contoso.com , weet dat de IIS-server is geconfigureerd met Onderhandelen en controleert of de website deel uitmaakt van de lokale intranetzone. Als de website zich in de zone lokaal intranet bevindt, wordt het Microsoft Edge-proces LSASS.exe aangeroepen om een Kerberos-ticket met een SPN HTTP\IISServer.contoso.com op te halen (stap 5 in het bovenstaande diagram).
8. De domeincontroller (KDC-service) ontvangt de aanvraag van Client1.contoso.com, zoekt in de database naar de SPN HTTP\IISServer.contoso.com en zoek IISServer.contoso.com is geconfigureerd met deze SPN.
9. De domeincontroller reageert met een TGS-antwoord met het ticket voor de IIS-server (stap 6 in het bovenstaande diagram).
10. Het Microsoft Edge-proces op de clientcomputer verzendt een Kerberos Application Protocol (AP)-aanvraag naar de IIS-webserver met het Kerberos TGS-ticket dat is uitgegeven door de domeincontroller.
11. Het IIS-proces roept LSASS.exe op de webserver aan om het ticket te ontsleutelen en een token te maken met SessionID en Groepslidmaatschap van gebruikers voor autorisatie.
12. Het IIS-proces krijgt een ingang van LSASS.exe naar het token om autorisatiebeslissingen te nemen en de gebruiker toe te staan verbinding te maken met een AP-antwoord.

Netwerkmonitoranalyse van de werkstroom

Opmerking

U moet een gebruiker zijn van de lokale groep Administrators om de onderstaande activiteiten uit te voeren.

1. Installeer Microsoft Network Monitor op de clientcomputer (Client1.contoso.com).

2. Voer de volgende opdracht uit in een opdrachtpromptvenster met verhoogde bevoegdheid (cmd.exe):

   ipconfig /flushdns
   

3. Start de netwerkmonitor.

4. Open de Microsoft Edge-browser en typ http://iisserver.contoso.com.

5. Analyse van netwerktracering:

   1. DNS-query naar de domeincontroller voor een Host A-record: IISServer.contoso.com.

      3005    00:59:30.0738430    Client1.contoso.com    DCA.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Query  for iisserver.contoso.com of type Host Addr on class Internet
      

   2. DNS-antwoord van de DNS-service op de domeincontroller.

      3006    00:59:30.0743438    DCA.contoso.com    Client1.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104
      

   3. Het Microsoft Edge-proces op Client1.contoso.com maakt verbinding met de IIS-webserver IISServer.contoso.com (anonieme verbinding).

      3027    00:59:30.1609409    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /
      Host:  iisserver.contoso.com
      

   4. IIS-server reageert terug met HTTP-antwoord 401: Onderhandelen en NTLM (configuratie uitgevoerd op de IIS-server).

      3028    00:59:30.1633647    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details
      
      WWWAuthenticate: Negotiate
      WWWAuthenticate: NTLM
      

   5. Kerberos-aanvraag van Client1.contoso.com gaat naar de domeincontroller DCA.contoso.com met een SPN: HTTP/iisserver.contoso.com.

      3034    00:59:30.1834048    Client1.contoso.com    DCA.contoso.com    KerberosV5    KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com
      

   6. De domeincontroller DCA.contoso.com reageert terug met de Kerberos-aanvraag, die een TGS-antwoord met een Kerberos-ticket heeft.

      3036    00:59:30.1848687    DCA.contoso.com    Client1.contoso.com    KerberosV5    KerberosV5:TGS Response Cname: John 
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      Sname: HTTP/iisserver.contoso.com
      

   7. Het Microsoft Edge-proces gaat Client1.contoso.com nu naar de IIS-server met een Kerberos AP-aanvraag.

      3040    00:59:30.1853262    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /favicon.ico , Using GSS-API Authorization
      Authorization: Negotiate
      Authorization:  Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF
      SpnegoToken: 0x1
      NegTokenInit: 
      ApReq: KRB_AP_REQ (14)
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      

   8. IIS-server reageert terug met een antwoord dat de verificatie is voltooid.

      3044    00:59:30.1875763    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication
      WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy
      NegotiateAuthorization: 
      GssAPI: 0x1
      NegTokenResp: 
      ApRep: KRB_AP_REP (15)
      

6. Voer de klist tickets opdracht uit om het Kerberos-ticket te controleren in de opdrachtuitvoer op Client1.contoso.com.

   Client: John @ CONTOSO.COM
   Server: HTTP/iisserver.contoso.com @ CONTOSO.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/28/2022 0:59:30 (local)
   End Time:   11/28/2022 10:58:56 (local)
   Renew Time: 12/5/2022 0:58:56 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0
   Kdc Called: DCA.contoso.com
   

7. Controleer gebeurtenis-id 4624 op de IIS-server met de Success controle:

• De controle van of SuccessFailure is standaard ingeschakeld op alle serverbesturingssystemen van Windows. U kunt met de volgende opdracht controleren of de controle is ingeschakeld.

• Als u merkt dat controle niet is ingeschakeld, schakelt u de controle in. Controleer de aanmeldingscategorie in de onderstaande lijst. Zoals u kunt zien, is de subcategorie aanmelding ingeschakeld met Success and Failure.

  C:\>auditpol /get /Subcategory:"logon"
  System audit policy
  Category/Subcategory                      Setting
  Logon/Logoff
    Logon                                   Success and Failure
  

  Als u zich niet ziet aanmelden met Success and Failure, voert u de opdracht uit om deze in te schakelen:

  C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable
  The command was successfully executed.
  

Controleer de geslaagde beveiligings-gebeurtenis-id 4624 op IISServer.contoso.com

Bekijk de volgende velden:

• Logon type: 3 (netwerkaanmelding)
• Security ID in New Logon veld: Contoso\John
• Source Network Address: IP-adres van de clientcomputer
• Logon Process en Authentication Package: Kerberos

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/28/2022 12:59:30 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      IISServer.contoso.com
Description:
An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Information:
    Logon Type:        3
    Restricted Admin Mode:    -
    Virtual Account:        No
    Elevated Token:        No

Impersonation Level:        Impersonation

New Logon:
    Security ID:        CONTOSO\John
    Account Name:        John
    Account Domain:        CONTOSO.COM
    Logon ID:        0x1B64449
    Linked Logon ID:        0x0
    Network Account Name:    -
    Network Account Domain:    -
    Logon GUID:        {<GUID>}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    -
    Source Network Address:    192.168.2.101
    Source Port:        52655

Detailed Authentication Information:
    Logon Process:        Kerberos
    Authentication Package:    Kerberos

Problemen met verificatiewerkstroom oplossen

Gebruik een van de volgende methoden om het probleem op te lossen.

• Controleer of u de naam van de IIS-webserver (IISServer.contoso.com) kunt oplossen van Client1.contoso.com.

• Controleer met behulp van de volgende cmdlet of de DNS-server weer reageert op het juiste IP-adres van de IIS-server:

  PS C:\> Resolve-DnsName -Name IISServer.contoso.com
  
  Name                                           Type   TTL   Section    IPAddress
  ----                                           ----   ---   -------    ---------
  IISServer.contoso.com                          A      1200  Answer     192.168.2.104
  

• Controleer of de netwerkpoorten zijn geopend tussen de clientcomputer en de IIS-webserver (IISServer.contoso.com) met behulp van de volgende cmdlet:

  PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com                                                               
  
  ComputerName     : IISServer.contoso.com
  RemoteAddress    : 192.168.2.104
  RemotePort       : 80
  InterfaceAlias   : Ethernet 2
  SourceAddress    : 192.168.2.101
  TcpTestSucceeded : True
  

• Controleer of u een Kerberos-ticket krijgt van de domeincontroller.

  1. Open een normale opdrachtprompt (geen beheerdersopdrachtprompt) in de context van de gebruiker die toegang probeert te krijgen tot de website.

  2. Voer de opdracht klist purge uit.

  3. Voer de klist get http/iisserver.contoso.com opdracht als volgt uit:

     PS C:\> klist get http/iisserver.contoso.com
     
     Current LogonId is 0:0xa8a98b
     A ticket to http/iisserver.contoso.com has been retrieved successfully.
     
     Cached Tickets: (2)
     
     #0>     Client: John @ CONTOSO.COM
             Server: krbtgt/CONTOSO.COM @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0x1 -> PRIMARY
             Kdc Called: DCA.contoso.com
     
     #1>     Client: John @ CONTOSO.COM
             Server: http/iisserver.contoso.com @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0
             Kdc Called: DCA.contoso.com
     

     U ziet dat u een Kerberos-ticket voor de SPN http/IISServer.contoso.com in de Cached Ticket (2) kolom krijgt.

• Controleer of de IIS-webservice wordt uitgevoerd op de IIS-server met behulp van de standaardreferenties.

  Open een normale PowerShell-prompt (geen PowerShell-prompt voor beheerders) in de context van de gebruiker die toegang probeert te krijgen tot de website.

  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  
  
  StatusCode        : 200
  StatusDescription : OK
  Content           : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
                      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
                      <html xmlns="http://www.w3.org/1999/xhtml">
                      <head>
                      <meta http-equiv="Content-Type" cont...
  RawContent        : HTTP/1.1 200 OK
                      Persistent-Auth: true
                      Accept-Ranges: bytes
                      Content-Length: 703
                      Content-Type: text/html
                      Date: Mon, 28 Nov 2022 09:31:40 GMT
                      ETag: "3275ea8a1d91:0"
                      Last-Modified: Fri, 25 Nov 2022...
  

• Bekijk het beveiligingslogboek op de IIS-server:

  • Gebeurtenislogboek 4624 geslaagd
  • Foutlogboek 4625

• Isolatieproces: U kunt de onderstaande stappen voor probleemoplossing gebruiken om te controleren of andere services op de IIS-server Kerberos-verificatie kunnen verwerken.

  Vereisten:

  • Op de IIS-server moet een serverversie van Windows worden uitgevoerd.

  • Op de IIS-server moet een poort zijn geopend voor services zoals SMB (poort 445).

  • Maak een nieuwe share of geef de gebruiker John machtigingen om te lezen op een van de mappen (bijvoorbeeld Software$) die al op de computer is gedeeld.

    1. Meld u aan bij Client1.contoso.com.

    2. Open Windows Verkenner.

    3. Typ \IISServer.contoso.com \Software$.

    4. Open Beveiligingsevenementen op IISServer.contoso.com en controleer of u gebeurtenis-id 4624 observeert.

    5. Open een normale opdrachtprompt op Client1.contoso.com als de gebruiker John. Voer de klist tickets opdracht uit en controleer voor het ticket CIFS/IISServer.contoso.com.

       #1>     Client: John @ CONTOSO.COM
               Server: cifs/iisserver.contoso.com @ CONTOSO.COM
               KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
               Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
               Start Time: 11/28/2022 1:40:22 (local)
               End Time:   11/28/2022 11:28:11 (local)
               Renew Time: 12/5/2022 1:28:11 (local)
               Session Key Type: AES-256-CTS-HMAC-SHA1-96
               Cache Flags: 0
               Kdc Called: DCA.contoso.com
       

    6. Verzamel netwerktraceringen op Client1.contoso.com. Bekijk de netwerktraceringen om te zien welke stap mislukt, zodat u de stappen verder kunt verfijnen en het probleem kunt oplossen.