Richtlijnen voor het oplossen van problemen met Kerberos-verificatie
In deze handleiding vindt u de basisconcepten die worden gebruikt bij het oplossen van kerberos-verificatieproblemen.
Controlelijst voor probleemoplossing
Een kerberos-gerelateerde fout is een symptoom van een andere service die mislukt. Het Kerberos-protocol is afhankelijk van veel services die beschikbaar moeten zijn en goed moeten werken om verificatie te laten plaatsvinden.
Als u wilt bepalen of er een probleem optreedt met Kerberos-verificatie, controleert u het gebeurtenislogboek van het systeem op fouten van services (zoals Kerberos, kdc, LsaSrv of Netlogon) op de client, doelserver of domeincontroller die verificatie bieden. Als dergelijke fouten bestaan, kunnen er ook fouten zijn gekoppeld aan het Kerberos-protocol.
Foutcontroles op het gebeurtenislogboek Beveiliging van de doelserver kunnen laten zien dat het Kerberos-protocol werd gebruikt toen er een aanmeldingsfout optrad.
Voordat u het Kerberos-protocol inspecteert, controleert u of de volgende services of voorwaarden goed werken:
- De netwerkinfrastructuur werkt goed en alle computers en services kunnen communiceren.
- De domeincontroller is toegankelijk. U kunt de opdracht
nltest /dsgetdc:<Domain Name> /force /kdc
(bijvoorbeeldnltest /dsgetdc:contoso.com /force /kdc
) uitvoeren op de client of doelserver. - Domain Name System (DNS) is correct geconfigureerd en zet hostnamen en services op de juiste manier om.
- De klokken worden gesynchroniseerd in het hele domein.
- Alle essentiële updates en beveiligingsupdates voor Windows Server zijn geïnstalleerd.
- Alle software, inclusief niet-Microsoft-software, wordt bijgewerkt.
- De computer wordt opnieuw opgestart als u een serverbesturingssysteem gebruikt.
- De vereiste services en server zijn beschikbaar. Het Kerberos-verificatieprotocol vereist een werkende domeincontroller, DNS-infrastructuur en netwerk om goed te werken. Controleer of u toegang hebt tot deze resources voordat u begint met het oplossen van problemen met het Kerberos-protocol.
Als u al deze voorwaarden hebt onderzocht en nog steeds verificatieproblemen of Kerberos-fouten ondervindt, moet u verder zoeken naar een oplossing. De problemen kunnen worden veroorzaakt door hoe het Kerberos-protocol is geconfigureerd of door de wijze waarop andere technologieën die met het Kerberos-protocol werken, zijn geconfigureerd.
Veelvoorkomende problemen en oplossingen
Problemen met Kerberos-delegering
In een typisch scenario is het imitatieaccount een serviceaccount dat is toegewezen aan een webtoepassing of het computeraccount van een webserver. Het geïmiteerde account is een gebruikersaccount waarvoor toegang tot resources via een webtoepassing is vereist.
Er zijn drie typen delegering met behulp van Kerberos:
Volledige delegatie (niet-beperkte delegatie)
Volledige delegatie moet zoveel mogelijk worden vermeden. De gebruiker (front-endgebruiker en back-endgebruiker) kan zich in verschillende domeinen en ook in verschillende forests bevinden.
Beperkte delegering (alleen Kerberos en protocolovergang)
De gebruiker kan afkomstig zijn uit elk domein of forest, maar de front-end- en back-endservices moeten in hetzelfde domein worden uitgevoerd.
Beperkte delegering op basis van resources (RBCD)
De gebruiker kan afkomstig zijn uit elk domein en front-end- en back-endresources kunnen afkomstig zijn uit elk domein of forest.
Meest voorkomende problemen met Kerberos-delegatie oplossen
- Service-principalnaam ontbreekt of is gedupliceerd
- Naamomzettingsfouten of onjuiste antwoorden (verkeerde IP-adressen opgegeven voor een server)
- Grote Kerberos-tickets (MaxTokenSize) en omgeving zijn niet correct ingesteld
- Poorten die worden geblokkeerd door firewalls of routers
- Serviceaccount heeft niet de juiste bevoegdheden gekregen (toewijzing van gebruikersrechten)
- Front-end- of back-endservices die zich niet in hetzelfde domein bevinden en beperkte delegering instellen
Zie voor meer informatie:
- Beperkte delegering voor CIFS mislukt met ACCESS_DENIED-fout
- Beperkte delegering configureren voor een aangepast serviceaccount
- Beperkte delegering configureren voor het NetworkService-account
Eenmalige aanmelding (SSO) is verbroken en er wordt eenmaal om verificatie gevraagd
Houd rekening met de volgende scenario's:
- Een client- en servertoepassing zoals Microsoft Edge en IIS-server (Internet Information Services). De IIS-server is geconfigureerd met Windows-verificatie (Onderhandelen).
- Een client- en servertoepassing zoals een SMB-client en SMB-server. De SMB-server is standaard geconfigureerd met Negotiate Security Support Provider Interface (SSPI).
Een gebruiker opent Microsoft Edge en bladert door een interne website http://webserver.contoso.com
. De website is geconfigureerd met Negotiate en deze website vraagt om verificatie. Nadat de gebruiker de gebruikersnaam en het wachtwoord handmatig heeft ingevoerd, krijgt de gebruiker verificatie en werkt de website zoals verwacht.
Opmerking
Dit scenario is een voorbeeld van een client en server. De probleemoplossingstechniek is hetzelfde voor elke client en server die zijn geconfigureerd met geïntegreerde Windows-verificatie.
Geïntegreerde Windows-verificatie is verbroken op gebruikers- of computerniveau.
Methoden voor probleemoplossing
Controleer de clientconfiguratie voor een geïntegreerde verificatie-instelling, die kan worden ingeschakeld op toepassings- of computerniveau. Alle HTTP-toepassingen zoeken bijvoorbeeld of de site zich in een vertrouwde zone bevindt bij het uitvoeren van geïntegreerde verificatie.
Open inetcpl.cpl (Internetopties), die alle HTTP-toepassingen gebruiken voor Internet Explorer-configuraties en controleer of de website is geconfigureerd als Lokaal intranet.
Toepassingen hebben ook een configuratie voor het uitvoeren van geïntegreerde Windows-verificatie.
Microsoft Edge of Internet Explorer heeft de instelling Geïntegreerde Windows-verificatie inschakelen om in te schakelen.
Controleer de toepassingsconfiguratie en de clientcomputer kan een Kerberos-ticket verkrijgen voor een bepaalde Service Principal Name (SPN). In dit voorbeeld is
http/webserver.contoso.com
de SPN .Bericht geslaagd wanneer u de SPN kunt vinden:
C:>klist get http/webserver.contoso.com Current LogonId is 0:0x9bd1f A ticket to http/webserver.contoso.com has been retrieved successfully.
Foutbericht wanneer u de SPN niet kunt vinden:
C:>klist get http/webserver.contoso.com klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
Identificeer en voeg de respectieve SPN's toe aan de juiste gebruikers-, service- of computeraccounts.
Als u hebt vastgesteld dat de SPN's kunnen worden opgehaald, kunt u controleren of ze zijn geregistreerd in het juiste account met behulp van de volgende opdracht:
setspn -F -Q */webserver.contoso.com
Problemen met verificatie-DC-detectie
Toepassingsservers die zijn geconfigureerd met geïntegreerde Windows-verificatie, hebben domeincontrollers (DC's) nodig om de gebruiker/computer en service te verifiëren.
Het onvermogen om contact op te maken met een domeincontroller tijdens het verificatieproces leidt tot fout 1355:
Het opgegeven domein bestaat niet of kan niet worden gecontacteerd
Kan geen toegang krijgen tot een resource die is geconfigureerd met geïntegreerde Windows-verificatie met fout 1355
Opmerking
Foutberichten kunnen afwijken van het standpunt van een toepassing, maar de betekenis van de fout is dat de client of server geen domeincontroller kan detecteren.
Hier volgen voorbeelden van dergelijke foutberichten:
-
De volgende fout is opgetreden bij het toevoegen van het domein Contoso:
Het opgegeven domein bestaat niet of kan niet worden gecontacteerd. -
De domeincontroller voor het domein contoso.com kan niet worden gevonden
-
Kan geen contact opnemen met domeincontroller 1355
Belangrijkste oorzaken van het probleem
Onjuiste DNS-configuratie op de client
U kunt de
ipconfig /all
opdracht uitvoeren en de lijst met DNS-servers controleren.Onjuiste DNS-configuratie op de domeincontrollers in een vertrouwd domein of forest
Netwerkpoorten geblokkeerd tussen de client en domeincontrollers
DC Discovery-poorten: UDP 389 (UDP LDAP) en UDP 53 (DNS)
Stappen voor probleemoplossing
- Voer de
nslookup
opdracht uit om onjuiste DNS-configuraties te identificeren. - Open de vereiste poorten tussen de client en de domeincontroller. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.
Testscenario voor logboekanalyse
Omgeving en configuratie
Clientcomputer
Client1.contoso.com
(een Windows 11 machine) wordt lid van het domeinContoso.com
.Gebruiker
John
De gebruiker hoort
Contoso.com
bij en meldt zich aan op de clientcomputer.Internetopties op de clientcomputer
Alle websites maken deel uit van de zone lokaal intranet.
Server
IISServer.contoso.com
(Windows Server 2019) wordt lid van het domeinContoso.com
.Verificatieconfiguratie
Windows-verificatie is ingeschakeld.
Verificatieproviders: Onderhandelen
Ingeschakelde providers worden als volgt ingesteld:
Verificatiestroom
- Gebruiker
John
meldt zich aan bijClient1.contoso.com
, opent een Microsoft Edge-browser en maakt verbinding metIISServer.contoso.com
. - De clientcomputer voert de onderstaande stappen uit (stap 1 in het bovenstaande diagram):
- De DNS-resolver cachet
IISServer.contoso.com
om te controleren of deze informatie al in de cache is opgeslagen. - De DNS-resolver controleert het HOSTS-bestand op een toewijzing van
IISServer.contoso.com
in C:\Windows\System32\drivers\etc\Hosts. - Verzend een DNS-query naar de voorkeurs-DNS-server (geconfigureerd op de IP-configuratie-instellingen), die ook een domeincontroller in de omgeving is.
- De DNS-resolver cachet
- De DNS-service die op de domeincontroller wordt uitgevoerd, kijkt naar de geconfigureerde zones, lost de host A-record op en reageert terug met een IP-adres van
IISServer.contoso.com
(stap 2 in het bovenstaande diagram). - De clientcomputer voert een TCP-handshake in drie richtingen uit op TCP-poort 80 naar
IISServer.contoso.com
. - De clientcomputer verzendt een anonieme HTTP-aanvraag naar
IISServer.contoso.com
. - De IIS-server die luistert op poort 80, ontvangt de aanvraag van , bekijk de verificatieconfiguratie van
Client1.contoso.com
de IIS-servers en stuurt een HTTP 401-vraagantwoord terug naar de clientcomputer met Onderhandelen als verificatieconfiguratie (stap 3 in het bovenstaande diagram). - Het Microsoft Edge-proces dat wordt uitgevoerd op
Client1.contoso.com
, weet dat de IIS-server is geconfigureerd met Onderhandelen en controleert of de website deel uitmaakt van de lokale intranetzone. Als de website zich in de zone lokaal intranet bevindt, wordt het Microsoft Edge-proces LSASS.exe aangeroepen om een Kerberos-ticket met een SPNHTTP\IISServer.contoso.com
op te halen (stap 5 in het bovenstaande diagram). - De domeincontroller (KDC-service) ontvangt de aanvraag van
Client1.contoso.com
, zoekt in de database naar de SPNHTTP\IISServer.contoso.com
en zoekIISServer.contoso.com
is geconfigureerd met deze SPN. - De domeincontroller reageert met een TGS-antwoord met het ticket voor de IIS-server (stap 6 in het bovenstaande diagram).
- Het Microsoft Edge-proces op de clientcomputer verzendt een Kerberos Application Protocol (AP)-aanvraag naar de IIS-webserver met het Kerberos TGS-ticket dat is uitgegeven door de domeincontroller.
- Het IIS-proces roept LSASS.exe op de webserver aan om het ticket te ontsleutelen en een token te maken met SessionID en Groepslidmaatschap van gebruikers voor autorisatie.
- Het IIS-proces krijgt een ingang van LSASS.exe naar het token om autorisatiebeslissingen te nemen en de gebruiker toe te staan verbinding te maken met een AP-antwoord.
Netwerkmonitoranalyse van de werkstroom
Opmerking
U moet een gebruiker zijn van de lokale groep Administrators om de onderstaande activiteiten uit te voeren.
Installeer Microsoft Network Monitor op de clientcomputer (
Client1.contoso.com
).Voer de volgende opdracht uit in een opdrachtpromptvenster met verhoogde bevoegdheid (cmd.exe):
ipconfig /flushdns
Start de netwerkmonitor.
Open de Microsoft Edge-browser en typ
http://iisserver.contoso.com
.Analyse van netwerktracering:
DNS-query naar de domeincontroller voor een Host A-record:
IISServer.contoso.com
.3005 00:59:30.0738430 Client1.contoso.com DCA.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Query for iisserver.contoso.com of type Host Addr on class Internet
DNS-antwoord van de DNS-service op de domeincontroller.
3006 00:59:30.0743438 DCA.contoso.com Client1.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104
Het Microsoft Edge-proces op
Client1.contoso.com
maakt verbinding met de IIS-webserverIISServer.contoso.com
(anonieme verbinding).3027 00:59:30.1609409 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET / Host: iisserver.contoso.com
IIS-server reageert terug met HTTP-antwoord 401: Onderhandelen en NTLM (configuratie uitgevoerd op de IIS-server).
3028 00:59:30.1633647 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details WWWAuthenticate: Negotiate WWWAuthenticate: NTLM
Kerberos-aanvraag van
Client1.contoso.com
gaat naar de domeincontrollerDCA.contoso.com
met een SPN:HTTP/iisserver.contoso.com
.3034 00:59:30.1834048 Client1.contoso.com DCA.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com
De domeincontroller
DCA.contoso.com
reageert terug met de Kerberos-aanvraag, die een TGS-antwoord met een Kerberos-ticket heeft.3036 00:59:30.1848687 DCA.contoso.com Client1.contoso.com KerberosV5 KerberosV5:TGS Response Cname: John Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com Sname: HTTP/iisserver.contoso.com
Het Microsoft Edge-proces gaat
Client1.contoso.com
nu naar de IIS-server met een Kerberos AP-aanvraag.3040 00:59:30.1853262 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET /favicon.ico , Using GSS-API Authorization Authorization: Negotiate Authorization: Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF SpnegoToken: 0x1 NegTokenInit: ApReq: KRB_AP_REQ (14) Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
IIS-server reageert terug met een antwoord dat de verificatie is voltooid.
3044 00:59:30.1875763 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy NegotiateAuthorization: GssAPI: 0x1 NegTokenResp: ApRep: KRB_AP_REP (15)
Voer de
klist tickets
opdracht uit om het Kerberos-ticket te controleren in de opdrachtuitvoer opClient1.contoso.com
.Client: John @ CONTOSO.COM Server: HTTP/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 0:59:30 (local) End Time: 11/28/2022 10:58:56 (local) Renew Time: 12/5/2022 0:58:56 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
Controleer gebeurtenis-id 4624 op de IIS-server met de
Success
controle:
De controle van of
Success
Failure
is standaard ingeschakeld op alle serverbesturingssystemen van Windows. U kunt met de volgende opdracht controleren of de controle is ingeschakeld.Als u merkt dat controle niet is ingeschakeld, schakelt u de controle in. Controleer de aanmeldingscategorie in de onderstaande lijst. Zoals u kunt zien, is de subcategorie aanmelding ingeschakeld met
Success and Failure
.C:\>auditpol /get /Subcategory:"logon" System audit policy Category/Subcategory Setting Logon/Logoff Logon Success and Failure
Als u zich niet ziet aanmelden met
Success and Failure
, voert u de opdracht uit om deze in te schakelen:C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable The command was successfully executed.
Controleer de geslaagde beveiligings-gebeurtenis-id 4624 op IISServer.contoso.com
Bekijk de volgende velden:
Logon type
: 3 (netwerkaanmelding)Security ID
inNew Logon
veld:Contoso\John
Source Network Address
: IP-adres van de clientcomputerLogon Process
enAuthentication Package
:Kerberos
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/28/2022 12:59:30 AM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: IISServer.contoso.com
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
Impersonation Level: Impersonation
New Logon:
Security ID: CONTOSO\John
Account Name: John
Account Domain: CONTOSO.COM
Logon ID: 0x1B64449
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {<GUID>}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: -
Source Network Address: 192.168.2.101
Source Port: 52655
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Problemen met verificatiewerkstroom oplossen
Gebruik een van de volgende methoden om het probleem op te lossen.
Controleer of u de naam van de IIS-webserver (
IISServer.contoso.com
) kunt oplossen vanClient1.contoso.com
.Controleer met behulp van de volgende cmdlet of de DNS-server weer reageert op het juiste IP-adres van de IIS-server:
PS C:\> Resolve-DnsName -Name IISServer.contoso.com Name Type TTL Section IPAddress ---- ---- --- ------- --------- IISServer.contoso.com A 1200 Answer 192.168.2.104
Controleer of de netwerkpoorten zijn geopend tussen de clientcomputer en de IIS-webserver (
IISServer.contoso.com
) met behulp van de volgende cmdlet:PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com ComputerName : IISServer.contoso.com RemoteAddress : 192.168.2.104 RemotePort : 80 InterfaceAlias : Ethernet 2 SourceAddress : 192.168.2.101 TcpTestSucceeded : True
Controleer of u een Kerberos-ticket krijgt van de domeincontroller.
Open een normale opdrachtprompt (geen beheerdersopdrachtprompt) in de context van de gebruiker die toegang probeert te krijgen tot de website.
Voer de opdracht
klist purge
uit.Voer de
klist get http/iisserver.contoso.com
opdracht als volgt uit:PS C:\> klist get http/iisserver.contoso.com Current LogonId is 0:0xa8a98b A ticket to http/iisserver.contoso.com has been retrieved successfully. Cached Tickets: (2) #0> Client: John @ CONTOSO.COM Server: krbtgt/CONTOSO.COM @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x1 -> PRIMARY Kdc Called: DCA.contoso.com #1> Client: John @ CONTOSO.COM Server: http/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
U ziet dat u een Kerberos-ticket voor de SPN
http/IISServer.contoso.com
in deCached Ticket (2)
kolom krijgt.
Controleer of de IIS-webservice wordt uitgevoerd op de IIS-server met behulp van de standaardreferenties.
Open een normale PowerShell-prompt (geen PowerShell-prompt voor beheerders) in de context van de gebruiker die toegang probeert te krijgen tot de website.
PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials StatusCode : 200 StatusDescription : OK Content : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" cont... RawContent : HTTP/1.1 200 OK Persistent-Auth: true Accept-Ranges: bytes Content-Length: 703 Content-Type: text/html Date: Mon, 28 Nov 2022 09:31:40 GMT ETag: "3275ea8a1d91:0" Last-Modified: Fri, 25 Nov 2022...
Bekijk het beveiligingslogboek op de IIS-server:
- Gebeurtenislogboek 4624 geslaagd
- Foutlogboek 4625
Isolatieproces: U kunt de onderstaande stappen voor probleemoplossing gebruiken om te controleren of andere services op de IIS-server Kerberos-verificatie kunnen verwerken.
Vereisten:
Op de IIS-server moet een serverversie van Windows worden uitgevoerd.
Op de IIS-server moet een poort zijn geopend voor services zoals SMB (poort 445).
Maak een nieuwe share of geef de gebruiker
John
machtigingen om te lezen op een van de mappen (bijvoorbeeld Software$) die al op de computer is gedeeld.Meld u aan bij
Client1.contoso.com
.Open Windows Verkenner.
Typ \IISServer.contoso.com \Software$.
Open Beveiligingsevenementen op
IISServer.contoso.com
en controleer of u gebeurtenis-id 4624 observeert.Open een normale opdrachtprompt op
Client1.contoso.com
als de gebruikerJohn
. Voer deklist tickets
opdracht uit en controleer voor het ticketCIFS/IISServer.contoso.com
.#1> Client: John @ CONTOSO.COM Server: cifs/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:40:22 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
Verzamel netwerktraceringen op
Client1.contoso.com
. Bekijk de netwerktraceringen om te zien welke stap mislukt, zodat u de stappen verder kunt verfijnen en het probleem kunt oplossen.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor