|
L'authentification Kerberos est un protocole de sécurité qui vérifie le droit d'un utilisateur à accéder à des services sur un réseau. Pour traiter la demande de l' utilisateur , chaque composante du domaine et les serveurs Kerberos doit fonctionner correctement . Par exemple, si l' horloge du serveur Kerberos n'est pas synchronisé avec l'horloge du serveur de domaine, authentification n'aura pas lieu . En outre, si un service est affecté plus d'un nom principal de service (SPN) , Kerberos ne sera pas en mesure d'identifier le service demandé par l'utilisateur, et mettra fin à l'authentification. Instructions
Synchroniser le serveur Horloges
1 Cliquez sur le bouton "Démarrer" . Cliquez sur " Exécuter", tapez "regedit" dans la boîte et appuyez sur "Entrée ". La fenêtre "Editeur du Registre " apparaît. Cliquez sur " HKEY_LOCAL_MACHINE" pour développer l'arborescence . Cliquez sur « CurrentControlSet », « services », « Win32Time », « Config », puis « AnnounceFlags . "
2 clic-droit " AnnounceFlags " sur le côté droit de la fenêtre. Dans le menu déroulant , cliquez sur " Modifier". Type «A» dans la case " Données de la valeur " puis cliquez sur "OK". Fermez la fenêtre de l'éditeur du Registre.
3 Cliquez sur le bouton "Démarrer" . Cliquez sur "Exécuter " et tapez " cmd" et appuyer sur « Entrée» pour lancer l'invite de commande . Tapez " net time /domain /set" dans le champ vide , puis cliquez sur "OK". Cette commande re- synchronise l'horloge du serveur Kerberos avec l'horloge sur le serveur de domaine quand il est redémarré.
4 Cliquez sur le bouton "Démarrer" . Cliquez sur "Exécuter " et tapez " cmd" et appuyer sur « Entrée» pour lancer l'invite de commande . Tapez " net && de w32time d'arrêt w32time net start " pour redémarrer le service de temps Windows.
Identifier et supprimer les doublons de noms principaux de service (SPN )
5 Cliquez sur "Démarrer" bouton . Cliquez sur "Exécuter " et tapez " LDP " dans le champ vide . Cliquez sur « OK ». La fenêtre " LDP " apparaît sur l' écran . Cliquez sur "Connexion" à partir de la barre de navigation supérieure , puis dans le menu déroulant , cliquez sur " Connect".
6 Tapez le nom du contrôleur de domaine dans la zone de texte "Serveur" . Cliquez sur " Connect" de la barre de navigation supérieure , puis dans le menu déroulant cliquez « Bind ». Tapez votre nom d' utilisateur , mot de passe et le domaine dans les cases correspondantes . Cliquez sur « OK ».
7 Cliquez sur " Affichage" dans la barre de navigation supérieure , puis dans le menu déroulant , cliquez sur " Arbre ". Cliquez sur le nom de base distingué du " BaseDN " boîte déroulant le menu " Tree View" . Cliquez sur « OK ».
8 Cliquez sur «Parcourir» et cliquez sur «Rechercher». Dans la boîte de dialogue de recherche , cliquez sur le même nom de base distingué de l'étape 3 dans le menu déroulant. Tapez " servicePrincipalName = SPN /nom de domaine complet " avec SPN étant le principal service Nom de la zone où l'erreur se produit - . «Hôte» pour les comptes d'ordinateur et "HTTP" pour les services Web dans la zone "Filtre"
9 Cliquez sur " Subtree » dans la section « Champ d'application» de la boîte de dialogue de recherche . Cliquez sur " Exécuter". Dans la liste produite , vérifiez et notez SPN en double. Cliquez sur "Démarrer " puis " Exécuter". Tapez "cmd" dans le vide fourni, et cliquez sur " OK " pour ouvrir une invite de commande
10 Type " setspn -D ServiceClass /Host : de AccountName de port". Avec " ServiceClass /Host : AccountName de Port «être le doublon SPN . Appuyez sur "Entrée " pour supprimer . Répétez cette opération pour chacun des exemplaires trouvé à l'étape 5. Fermez la fenêtre lorsque vous avez terminé .
|
