NTLM и Kerberos

monkkey · Отправлено: **10:12, 13-07-2005** | #2

Kerberos - для аутентификации в доменах не ниже 2000, NTLM, соответственно, для совместимости с клиентами 9х, МЕ, NT и т.п.

XPurple · Отправлено: **07:12, 14-07-2005** | #3

Применительно к доменам 2000-2003 можно ли так сказать, что в смешанном режиме используется аутентификация (слово дурацкое какое - прим.) NTLM, а в основном режиме -Kerberos ?

Примечание модератора:

Цитата:

аутентификация (слово дурацкое какое - прим.)

Есть практически официальная замена - проверка подлинности

SkyF · Отправлено: **09:33, 14-07-2005** | #4

XPurple

Цитата:

смешанном режиме ....

ни в коем случае так сказать нельзя. 2000, XP и 2003е умеют и аутентифицируются по Kerberos, а кто не умел, тот по прежнему будет по NTLM или вообще LM (9x к примеру).

Смешанный режим ограничивает только функции не совместимые с NT контроллерами домена (Универсальные группы, вложение грумм и еще по мелочи).

ntspider · Отправлено: **16:44, 20-10-2005** | #5

Всем доброго времени суток!
С некоторого времени на сервере Win2003 стали появлять сообщения в разделе Безопасность о сбое входа в систему от Kerberos. Причина:неизвестное имя пользователя или неправильный пароль
А у клиента при первой регистарции входа появляется сообщение по-английски (на русской XP)

Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 20.10.2005
Время: 8:58:10
Пользователь: Н/Д
Компьютер: 405
Описание:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/temp.mf.minfinro.rsu.ru. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (имя домена), and the client realm. Please contact your system administrator.
На контроллере Win 2000 всё ОК - там тока Kerberos, а на этом получается что с Kerberos ошибки, а пользователи регистрируются в домене через NTLM
На сайте Microsoft говорят, что трабл лечится установкой сервис пака 1 для английской версии, так он у меня стоит!
Кто что посоветует? Может сталкивались уже?

monkkey · Отправлено: **17:12, 20-10-2005** | #6

Здесь смотрели?

ntspider · Отправлено: **15:26, 21-10-2005** | #7

monkkey
смотрел...не мой случай рассматривается :-(
я заметил ещё, что на сервере, где появляются ошибки всё-таки есть регистрации Kerberos, т.е. не все регистрации ошибочные

SkyF · Отправлено: **09:56, 22-10-2005** | #8

Цитата:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/temp.mf.minfinro.rsu.ru. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (имя домена), and the client realm. Please contact your system administrator.

в Resource Kit Tools были утилиты для отслеживания работы билетов доступа (на память: kerbtray и еще что-то) - попробуйте.
попробуйте определить с каких клиентский станций - на кикие серверные идет запрос сервисного билета доступа и при этом возникает ошибка. попробуйте перерегистрировать их в домене.

кроме того возможная причина указана в сообщении - совпадение имен станций (точнее сервера) с именем домена - есть у вас такое?

ntspider · Отправлено: **10:52, 24-10-2005** | #9

SkyF

Цитата:

в Resource Kit Tools

к 2000 или к 2003? Для 2003 не слышал про такой

Цитата:

попробуйте перерегистрировать их в домене.

пробовал - рзультат нулевой

Цитата:

совпадение имен станций (точнее сервера) с именем домена - есть у вас такое?

нету! ни Божеш мой! :-)

ntspider · Отправлено: **12:44, 24-10-2005** | #10

SkyF
Взял эту утилиту, запустил на клиенте, запустил на сервере, очистил и там и тут билеты
Что дальше? :-) Ситуация пока осталась такой же