6741
07.10.2008, aktualisiert am 09.10.2008
7481
4
0
Kerberos Error Event ID3 was ist das
Hallo,
ich habe die o.g. FM auf einem W2k3 Server ( Print Server ) bekommen als ich von einem Client XP Pro aktuelle SP´s von den Server einen Drucker über die Freigabe mappen wollte.
Beim Mappen wurde angezeigt, der User hätte nicht die Berechtigung, obwohl es keine Beschänkung gibt. Der User kann sich an allen Servern anmelden, er ist nicht gesperrt.
Andere User können den Plotter ohne Problem mappen, ich als Admin auch. Gebe ich den User zeitweilig lokale Admin Rechte geht es auch nicht.
Die Hoffung stirbt zuletzt
Gruß
ich habe die o.g. FM auf einem W2k3 Server ( Print Server ) bekommen als ich von einem Client XP Pro aktuelle SP´s von den Server einen Drucker über die Freigabe mappen wollte.
Beim Mappen wurde angezeigt, der User hätte nicht die Berechtigung, obwohl es keine Beschänkung gibt. Der User kann sich an allen Servern anmelden, er ist nicht gesperrt.
Andere User können den Plotter ohne Problem mappen, ich als Admin auch. Gebe ich den User zeitweilig lokale Admin Rechte geht es auch nicht.
Die Hoffung stirbt zuletzt
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98669
Url: https://administrator.de/forum/kerberos-error-event-id3-was-ist-das-98669.html
Ausgedruckt am: 24.04.2025 um 23:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
kannst du bitte einmal den "richtigen" Kerberos-Fehler suchen? Der sollte in etwa so aussehen 0x00000020 KRB_AP_ERR_TKT_EXPIRED oder kurz zb. 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN. Uhrzeit stimmt aber auf dem System? Ich gehe mal davon aus.
Falls der Fehler nirgends stehen sollte, Wireshark anwerfen und den Kerberos-Chat genauer auswerten. Sollte sich sehr schnell zeigen wo das Problem liegt.
kannst du bitte einmal den "richtigen" Kerberos-Fehler suchen? Der sollte in etwa so aussehen 0x00000020 KRB_AP_ERR_TKT_EXPIRED oder kurz zb. 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN. Uhrzeit stimmt aber auf dem System? Ich gehe mal davon aus.
Falls der Fehler nirgends stehen sollte, Wireshark anwerfen und den Kerberos-Chat genauer auswerten. Sollte sich sehr schnell zeigen wo das Problem liegt.
Moin,
unser Zeitserver ist der DC und der Fehler liegt am Printserver.
Hier der Fehlercode:
Fehlercode: 0xd KDC_ERR_BADOPTION
Erweiterter Fehler: 0xc00000bb KLIN(0)
wäre sehr dankbar den Fehler zu finden, kann aber noch nicht sagt was er bewirkt.
Da man ja immer hört, das Netz seit zu langsam.
Gruß
unser Zeitserver ist der DC und der Fehler liegt am Printserver.
Hier der Fehlercode:
Fehlercode: 0xd KDC_ERR_BADOPTION
Erweiterter Fehler: 0xc00000bb KLIN(0)
wäre sehr dankbar den Fehler zu finden, kann aber noch nicht sagt was er bewirkt.
Da man ja immer hört, das Netz seit zu langsam.
Gruß
Dummerweise kann 0xd alles mögliche sein. Dein Client hat eine Option angefordert, die der Server nicht versteht. So etwas kenne ich nur in Verbindung mit älteren Windows-Versionen oder Linux-KRB5 Domänen.
Hier findest du Informationen zum Kerberos und seinen Konfigurations/Debuggingmöglichkeiten.Eventuell hilft es, auf dem Client und dem Server zu einer Zeit, in der nicht viele Anfragen am Server auflaufen, das Debugging auf 0x000002 zu setzen und eine Protokolldatei zu schreiben.
http://technet.microsoft.com/en-us/library/cc738673.aspx
Was sich auch immer als nützlich erwiesen hat, auf dem Client einen Netzwerksniffer installieren (wireshark) und direkt nach einem Neustart die erste Verbindung mitzuschneiden. Im Traffic zu Port 88 des Servers solltest du alle vom Client gesetzten Kerberos-Optionen und die Antworten des Servers sehen.
Zur Auswertung des Traffics hilft mir auch immer wieder dieser etwas ältere Technet Artikel zu Kerberos:
http://www.microsoft.com/msj/0899/kerberos/kerberos.aspx
[EDIT]
Probiere bitte auch mal, das Computerkonto neu zu erstellen (Probleme mit Computerkennwort usw..). Also, den PC aus der Domäne nehmen, das Konto im AD löschen und den PC neu der Domäne hinzufügen. Natürlich nur, wenn das Computerkonto nicht in zig Gruppen mitglied ist.
[/EDIT]
Hier findest du Informationen zum Kerberos und seinen Konfigurations/Debuggingmöglichkeiten.Eventuell hilft es, auf dem Client und dem Server zu einer Zeit, in der nicht viele Anfragen am Server auflaufen, das Debugging auf 0x000002 zu setzen und eine Protokolldatei zu schreiben.
http://technet.microsoft.com/en-us/library/cc738673.aspx
Was sich auch immer als nützlich erwiesen hat, auf dem Client einen Netzwerksniffer installieren (wireshark) und direkt nach einem Neustart die erste Verbindung mitzuschneiden. Im Traffic zu Port 88 des Servers solltest du alle vom Client gesetzten Kerberos-Optionen und die Antworten des Servers sehen.
Zur Auswertung des Traffics hilft mir auch immer wieder dieser etwas ältere Technet Artikel zu Kerberos:
http://www.microsoft.com/msj/0899/kerberos/kerberos.aspx
[EDIT]
Probiere bitte auch mal, das Computerkonto neu zu erstellen (Probleme mit Computerkennwort usw..). Also, den PC aus der Domäne nehmen, das Konto im AD löschen und den PC neu der Domäne hinzufügen. Natürlich nur, wenn das Computerkonto nicht in zig Gruppen mitglied ist.
[/EDIT]
Hi Datasearch,
im Netzwerk sind nur 2wk oder hörer Systeme, also keine NT´s oder Linux PC.
Wie kann ich erkennen welches Computerkonto den Fehler produziert? Meine es steht kein Hinweis im Event Mananger.
Ich könnte sicher ein Netzwerksniffer ansetzen, aber auswerten kann ich den nicht. Gibt es evtl Hinweise die etwas verständlicher sind?
Gruß und Danke
im Netzwerk sind nur 2wk oder hörer Systeme, also keine NT´s oder Linux PC.
Wie kann ich erkennen welches Computerkonto den Fehler produziert? Meine es steht kein Hinweis im Event Mananger.
Ich könnte sicher ein Netzwerksniffer ansetzen, aber auswerten kann ich den nicht. Gibt es evtl Hinweise die etwas verständlicher sind?
Gruß und Danke
