AD域认证问题的日常定位方法

1、HUAWEIAD域认证问题日常定位方法1引子目前TSM的AD域认证过程中经常出现问题，由于AD系统庞大而且终端代理使用第三方库执行主要认证业务，所以AD域认证过程中的问题很难定位和解决。鉴于此，特将之前用于定位AD域认证问题的一些经验总结一下，方便今后开发和测试的同事在现场定位问题。2AD域认证过程介绍TSM系统的AD域认证过程主要涉及到三个角色，分别是：TSM服务器、AD域控、终端代理。TSM和AD的联动认证是基于标准的Kerberos协议，标准的Kerberos认证流程如下：KRB_AS_REQClientKRBASREPKRBTGSREPKRB_AP_REQ6IKRBAPREP!_Ser

2、verTSM在此基础上做了一些调整，主要是第5步和第6步的交互，其交互信息是通过SSL来加密的。具体交互流程图如下所示：ClientKRBASREQKDCKRBASREPKRBTGSREP口KRB_TGS_REQ一，送证息X.淆唇u信Server从上面的交互流程图可以看出来，整个交互过程分为3个阶段分别是：AS(AuthenticationServiceExchange)、TGS(TicketGrantingServiceExchange)、AP(Client/ServerExchange)。在AS阶段，主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所以一般如果用户名或者

3、密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错。在TGS阶段，主要是终端代理获取其要请求的认证服务的票证的过程，如果这个时候请求的认证服务不存在，则在第4步返回的错误信息中指示KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域联动测试中就出现了这个问题。在AP阶段，服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前请求的认证服务的权限。3基本问题定位方法3.1 验证网络是否可达在定位AD域认证相关的问题时，首先第一点是验证网络是否可达即，是否能够访问你当

4、前AD域控。HUAWEI在这种情况下首先在系统的命令行提示下ping目标主机（AD域控所在的机器）的IP地址，如果能够ping通目标主机则证明网络链路是可达的，如果ping不通此时请首先检查网络链路。在上面网络链路可达的基础上需要验证域名解析是否正确，此时在系统命令提示下pingAD域名，如果能够ping通则证明域名解析是没有问题的。相反如果无法ping通目标域名，此时首先请检查当前激活链接的网卡上的DNS配置确保其配置指向的是AD所对应的DNS服务器的地址，并且同时要检查一下当前系统的53端口是否被防火墙或者主动防御软件给禁止掉，确保53端口是开放的。对于上一步或者在终端上使用nslooku

5、p也可以达到相同作用。3.2 验证本地是否可以正确的和AD域控进行通信在网络可达的基础上，如果还是出现AD域认证不通过的问题时，需要验证终端系统能否和AD域控进行通信。首先验证一下本地的TCP/UDP的88端口是否是开放的，需要查看本地防火墙配置是否禁止了88端口，88端口是用于Kerberos认证的。在终端利用微软提供的工具ldp.exe来连接AD域控的389端口，如果连接失败请查看AD域控上的配置。3.3 检查认证报文在上面两步后如果还是出现AD认证不通过的问题后，此时需要进行抓包操作。通过报文来分析问题。抓包过程描述如下：1 .找一台未加入域的PC机作为测试机；2 .将这台测试机的DNS

6、服务器设为本地的域控（除本地域控外，请不要设置其他的DNS服务器）；3 .重启测试机（这一步用来清除LSA中缓存的kerberosticket）;4 .从下面的连接下载NetworkMonitor3.1工具，并安装到测试机上：http:5.运行Netmon3.1工具，并选择"File->New->Capture"6.如果该计算机上有多个网络连接，在"SelectNetworks”中，选择我们所关心的封包所流经的连接（比如LocalAreaConnection）;7.在菜单中，选择Tools->Options->Capture,并将临时捕捉文

7、件的大小调整为20Megabytes;8.在菜单中，选择"Capture->Start”,开始抓包；9.尝试进行AD域认证;10.11.具体分析请参考上面的AD认证流程和下面的错误信息表:KerberosErrorNumberKerberosErrorCodeDescription0x3KDCERRBADPVNO0x6KDCERRCPRINCIPALUNKNRequestedprotocolversionnumbernotsupported.notfoundinKerberosatabase.0x7ServernotfoundinKerberosKDC_ERR_S_PRINCI

8、PAL_UNKNOWbase.0x8KDCERRPRINCIPALNOTUNWleprincipalentriesinatabase.0xATicketnoteligibleforKDCERRCANNOTPOSTDATE”postdating.0xBKDCERRNEVERVALIDRequestedstarttimeislaterthanendtime.0xCKDCERRPOLICY0xDKDCERRBADOPTION0xEKDCERRETYPENOSUPP0xFKDCERRSUMTYPENOSUPPKDCpolicyrejectsrequest.KDCcannotaccommodatereq

9、uestedoption.KDChasnosupportforencryptiontype.KDChasnosupportforchecksumtype.在Netmon工具界面中选择"Capture->Stop”停止抓包;选择"File->Saveas”,将网络抓包保存为joindomain.cap文件;0x10KDC_ERR_PADATA_TYPE_NOSKDC曜noy0rtf。：.pre-authenticationdatatype.0x12cl、，Client'scredentialshaveKDC_ERR_CLIENT_REVOKEDbeenre

10、voked0x17KDCERRKEYEXPIREDPasswordhasexpired-changeHUAWEI0x18KDC_ERR_PREAUTH_FAILEDpasswordtoreset.Pre-authenticationinformationwasinvalid.0x190x1B0x1C0x1D0x1F0x200x210x220x230x240x250x280x290x340x3C0x44KDC_ERR_PREAUTH_REQUIREAdd吗nalpre-authenticationrequired.八八八八ServerprincipalvalidforKDCERRMUSTUSEU

11、SER2USERxHH,user-to-useronly.KDCERRPATHNOTACCPETKBCPolicyrejectstransitedpath.KDC_ERR_SVC_UNAVAILABLEAserviceisnotavailable.KRB_AP_ERR_BAD_INTEGRITYKRB_AP_ERR_TKT_EXPIREDKRB_AP_ERR_TKT_NYVKRB_AP_ERR_REPEATKRB_AP_ERR_NOT_USKRB_AP_ERR_BADMATCHKRB_AP_ERR_SKEWKRB_AP_ERR_MSG_TYPEKRB_AP_ERR_MODIFIEDKRB_ER

12、R_RESPONSE_TOO_KRB_ERR_GENERICKDC_ERR_WRONG_REALMIntegritycheckondecryptedfieldfailed.Ticketexpired.Ticketnotyetvalid.Requestisareplay.Theticketisn'tforus.Ticketandauthenticatordonotmatch.Clockskewtoogreat.Invalidmessagetype.Messagestreammodified.ResponsetoobigforUDP,BIGretrywithTCP.Genericerror

13、(descriptione-text).User-to-userTGTissueddifferentKDC.in3.4查看AD域控上的配置情况查看AD域控上的配置情况一般分为以下几个阶段1、查看并收集测试帐号和SPN帐号的配置信息在AD域控所在的终端机器上运行如下两个命令：ldifde-fout1.txt-d"dc=solo,dc=local"-r"(sAMAccountName=Stanley)"ldifde-fout2.txt-d"dc=solo,dc=local"-r"(userPrincipalName=seco/a

14、dserversolo.local)2、在AD域控上运行Netdiag/v>netdiag.txt,并将运行结果保存下来3、在AD域控上运行dcdiag/v>dcdiag.txt,并将运行结果保存下来HUAWEI4、收集AD域控所在机器的MPSReport信息从下面的连接，下载MPSRPT_DirSvc.EXE文件（文件大小702B）:http:9b7306c0&displaylang=en在步骤1所使用的测试机上运行MPSRPT_DirSvc.EXE;根据计算机的性能及网络连接等情况，MPSReport工具可能运行5-15分钟。待MPSRPT_DirSvc.EXE运行完毕

15、后，一个名/%COMPUTERNAME%_MPSReports_DirSvc.cab的.cab文件将被保存在路径：systemroot%MPSReportsDirSvcLogsCab;在收集到以上信息之后请打包发回到研发出进行信息分析。3.5 查看在用户登录过程中是否出现异常在XXX局点出现部分采用域帐户登录系统过慢的现象，其登录过程大约持续了10分钟。一般处理这种登录问题的时候由于没有进入操作系统很难采用一般的工具来采集数据。此时需要依赖于操作系统的事件日志功能来查看在用户登录系统过程中发生了什么问题。通过查看一些异常日志信息来定位。此外在系统的事件日志中没有发现一些异常信息时，可以通过打开

16、操作系统的登录日志开关来获取当前登录系统时的一些具体的执行操作。具体方法如下所示：在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon下建立一个DWORD键值UserEnvDebugLevel,将其值设为十六进制的30002（十进制为：196610）。而后重新启动操作系统，在登录到操作系统后，在当前的操作系统目录WINDOWSDebugUserMode下将会出现一个userenv.log文件，此文件将会记录所有在用户登录过程中的日志信息，通过查看此信息可以判断到底在登录过程中发生了那些问题。3.6 后记一般而言，AD域认证失败的问题主要是从上面介绍的几方面来进行分析。尤其在配置SPN账户映射时需要格外注意以下两点：3/26/2013华为机密，未经许可不得扩散第6页，共7页1、在配置SPN账户时请确保在真实终端上进行配置，如果是在无法接触到真实终端，请采用控制台登录的方式来远程登录到目标主机，使用命令:ms