NTLM и Kerberos - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - NTLM и Kerberos (http://forum.oszone.net/showthread.php?t=51627)

NTLM и Kerberos

В каких случаях на контроллерах домена используется та или другая система проверки подлинности ?

Kerberos - для аутентификации в доменах не ниже 2000, NTLM, соответственно, для совместимости с клиентами 9х, МЕ, NT и т.п.

Применительно к доменам 2000-2003 можно ли так сказать, что в смешанном режиме используется аутентификация (слово дурацкое какое - прим.) NTLM, а в основном режиме -Kerberos ?

Примечание модератора:

Цитата:

аутентификация (слово дурацкое какое - прим.)

Есть практически официальная замена - проверка подлинности

XPurple

Цитата:

смешанном режиме ....

ни в коем случае так сказать нельзя. 2000, XP и 2003е умеют и аутентифицируются по Kerberos, а кто не умел, тот по прежнему будет по NTLM или вообще LM (9x к примеру).

Смешанный режим ограничивает только функции не совместимые с NT контроллерами домена (Универсальные группы, вложение грумм и еще по мелочи).

Всем доброго времени суток!
С некоторого времени на сервере Win2003 стали появлять сообщения в разделе Безопасность о сбое входа в систему от Kerberos. Причина:неизвестное имя пользователя или неправильный пароль
А у клиента при первой регистарции входа появляется сообщение по-английски (на русской XP)

Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 20.10.2005
Время: 8:58:10
Пользователь: Н/Д
Компьютер: 405
Описание:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/temp.mf.minfinro.rsu.ru. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (имя домена), and the client realm. Please contact your system administrator.
На контроллере Win 2000 всё ОК - там тока Kerberos, а на этом получается что с Kerberos ошибки, а пользователи регистрируются в домене через NTLM
На сайте Microsoft говорят, что трабл лечится установкой сервис пака 1 для английской версии, так он у меня стоит!
Кто что посоветует? Может сталкивались уже?

Здесь смотрели?

monkkey
смотрел...не мой случай рассматривается :-(
я заметил ещё, что на сервере, где появляются ошибки всё-таки есть регистрации Kerberos, т.е. не все регистрации ошибочные

Цитата:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/temp.mf.minfinro.rsu.ru. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (имя домена), and the client realm. Please contact your system administrator.

в Resource Kit Tools были утилиты для отслеживания работы билетов доступа (на память: kerbtray и еще что-то) - попробуйте.
попробуйте определить с каких клиентский станций - на кикие серверные идет запрос сервисного билета доступа и при этом возникает ошибка. попробуйте перерегистрировать их в домене.

кроме того возможная причина указана в сообщении - совпадение имен станций (точнее сервера) с именем домена - есть у вас такое?

SkyF

Цитата:

в Resource Kit Tools

к 2000 или к 2003? Для 2003 не слышал про такой

Цитата:

попробуйте перерегистрировать их в домене.

пробовал - рзультат нулевой

Цитата:

совпадение имен станций (точнее сервера) с именем домена - есть у вас такое?

нету! ни Божеш мой! :-)

SkyF
Взял эту утилиту, запустил на клиенте, запустил на сервере, очистил и там и тут билеты
Что дальше? :-) Ситуация пока осталась такой же

SkyF
Если у меня проблема с ключами Kerberos и я собрался переходить на режим Native не будет ли таких же проблем с Kerberos в новом режиме?