Kerberos error

Home / Uncategorized / Kerberos error

Řešil jsem zajimavý problém 🙂
Situace : 2 domény s navázaným dvoucestným trustem. Všichni klienti se hlásí do domény 1. Z domény 1 je pomocí ADMT zmigrován File server do domény 2. Migrace práv byla v režimu ADD.

Problém : Uživatelé nemají přístup na file server přes krátké jméno. Pokud chtějí přistoupit na \\fileserver, přístup je odmítnut. Práva NTFS, práva na share – všechno v pořádku. Pokud zadají FQDN přístup je povolen, to samé i pro přístup přes IP.
V logu na klientech

Event ID: 3034
Source: MRxSmb
The redirector was unable to initialize security context or query context attributes.

Řešení : Ve staré doméně (1) disablovat objekt File Serveru. Nebo odmazat SPN (Service Principal Name) záznam pro HOST\fileserver.

Proč: Kerberos při přístupu na File server vydává tickety pro starý objekt z domény 1. Migrovanému File serveru v nové doméně samozřejmě nesedí kerberos tickety klientů 🙂

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *