Ошибка ID 11 - KDC столкнулся с дублирующими именами при обработке запроса на аутентификацию Kerberos

Ошибка ID 11 – KDC столкнулся с дублирующими именами при обработке запроса на аутентификацию Kerberos

На чтение 3 мин Опубликовано 07.12.2024

Содержание

Вопрос или проблема
Ответ или решение
Причины возникновения ошибки
Последствия
Устранение проблемы
Заключение

Вопрос или проблема

KDC столкнулся с дублирующимися именами при обработке запроса на аутентификацию Kerberos. Дублирующееся имя – cifs/SERVER-CDC (типа DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям аутентификации или понижению до NTLM. Чтобы предотвратить это, удалите дублирующиеся записи для cifs/SERVER-CDC в Active Directory.

Это означает, что существует несколько принципалов с именем служебного принципала cifs/SERVER-CDC.

Вы можете использовать следующую команду для поиска дублирующегося SPN:

SetSPN -x -f cifs/SERVER-CDC.

Ответ или решение

Ошибка ID 11: KDC обнаружил дублирующиеся имена во время обработки запроса на аутентификацию Kerberos

При возникновении ошибки ID 11 система KDC (Key Distribution Center) сигнализирует о проблеме, связанной с дублированием имён при аутентификации Kerberos. В данном случае дублирующимся именем является cifs/SERVER-CDC (с типом DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям аутентификации или понижению уровня безопасности на NTLM.

Причины возникновения ошибки

Ошибка возникает, если в Active Directory существуют несколько объектов с одинаковым Service Principal Name (SPN). SPN используется для уникальной идентификации сервисов, предоставляющих пользователям доступ к сетевым ресурсам. Наличие нескольких SPN для одного и того же сервиса приводит к путанице и может вызвать затруднения при аутентификации пользователей.

Последствия

Если ошибка не будет исправлена, это может привести к следующим негативным последствиям:

Сбои аутентификации. Пользователи могут испытывать трудности с входом в систему или доступом к ресурсам.
Понижение уровня безопасности. В некоторых случаях аутентификация может откатиться до менее безопасного NTLM, что увеличивает риск уязвимостей.

Устранение проблемы

Для решения этой проблемы необходимо удалить дублирующиеся записи для cifs/SERVER-CDC в Active Directory.

Поиск дубликатов SPN:
Для начала необходимо выполнить команду, которая позволит обнаружить все дублирующиеся записи SPN. Используйте следующую команду в PowerShell:
```
SetSPN -x -f cifs/SERVER-CDC
```
Эта команда выведет список всех записей SPN, связанных с cifs/SERVER-CDC. Если будут обнаружены дублирующиеся записи, вам следует обратить на них особое внимание.
Удаление дубликатов:
После того как вы обзавелись информацией о дублирующихся записях, выберите, какие из них следует оставить, а какие удалить. Обычно необходимо сохранить только одну запись, а остальные удалить с помощью команды:
```
SetSPN -D cifs/SERVER-CDC [имя_учетной_записи]
```
Регулярно проверяйте Active Directory на наличие дублирующихся SPN, чтобы избежать подобных проблем в будущем.

Заключение

Ошибка ID 11, вызванная дублированием SPN в Active Directory, может вызвать серьезные проблемы с аутентификацией и безопасности. Следуя указанным шагам и регулярно проводя проверки, можно эффективно управлять SPN и предотвращать возникновение подобных ситуаций. Подобные профилактические меры помогут обеспечить надежную и безопасную работу сетевой инфраструктуры в организации.