AD 域認證問題日常定位方法 內部公開AD 域認證問題日常定位方法1 引子目前TSM 的AD 域認證過程中經常出現(xiàn)問題，由于AD 系統(tǒng)龐大而且終端代理使用第三方庫執(zhí)行主要認證業(yè)務，所以AD 域認證過程

AD 域認證問題日常定位方法 內部公開

AD 域認證問題日常定位方法

1 引子

目前TSM 的AD 域認證過程中經常出現(xiàn)問題，由于AD 系統(tǒng)龐大而且終端代理使用第三方庫執(zhí)行主要認證業(yè)務，所以AD 域認證過程中的問題很難定位和解決。鑒于此，特將之前用于定位AD 域認證問題的一些經驗總結一下，方便今后開發(fā)和測試的同事在現(xiàn)場定位問題。 2 AD 域認證過程介紹

TSM 系統(tǒng)的AD 域認證過程主要涉及到三個角色，分別是：TSM 服務器、AD 域控、終端代理。 TSM 和AD 的聯(lián)動認證是基于標準的Kerberos 協(xié)議，標準的Kerberos 認證流程如下：

TSM 在此基礎上做了一些調整，主要是第5步和第6步的交互，其交互信息是通過SSL 來加密的。具體交互流程圖如下所示：

3/26/2013

華為機密，未經許可不得擴散 第1頁, 共7頁

AD 域認證問題日常定位方法 內部公開

從上面的交互流程圖可以看出來，整個交互過程分為3個階段分別是：AS(Authentication Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/Server Exchange )。 在AS 階段，主要驗證的是當前用于進行AD 域認證的用戶是當前AD 域控上的合法用戶。所以一般如果用戶名或者密碼錯誤時將會在這個階段得到AD 返回的錯誤信息。此外如果出現(xiàn)TSM 服務器和AD 上的時間偏差較大的時候也會在這個階段出錯。

在TGS 階段，主要是終端代理獲取其要請求的認證服務的票證的過程，如果這個時候請求的認證服務不存在，則在第4步返回的錯誤信息中指示

KDC_ERR_S_PRINCIPAL_UNKNOWN，表明當前請求的服務不存在。之前在大足的AD 域聯(lián)動測試中就出現(xiàn)了這個問題。

在AP 階段，服務器將會驗證終端代理發(fā)送的TGS ，來決定當前認證用戶是否具有訪問當前請求的認證服務的權限。

3 基本問題定位方法

3.1 驗證網(wǎng)絡是否可達

在定位AD 域認證相關的問題時，首先第一點是驗證網(wǎng)絡是否可達即，是否能夠訪問你當前AD 域控。

3/26/2013

華為機密，未經許可不得擴散 第2頁, 共7頁

AD 域認證問題日常定位方法 內部公開

在這種情況下首先在系統(tǒng)的命令行提示下ping 目標主機（AD 域控所在的機器）的IP 地址，如果能夠ping 通目標主機則證明網(wǎng)絡鏈路是可達的，如果ping 不通此時請首先檢查網(wǎng)絡鏈路。

在上面網(wǎng)絡鏈路可達的基礎上需要驗證域名解析是否正確，此時在系統(tǒng)命令提示下ping AD域名，如果能夠ping 通則證明域名解析是沒有問題的。相反如果無法ping 通目標域名，此時首先請檢查當前激活鏈接的網(wǎng)卡上的DNS 配置確保其配置指向的是AD 所對應的DNS 服務器的地址，并且同時要檢查一下當前系統(tǒng)的53端口是否被防火墻或者主動防御軟件給禁止掉，確保53端口是開放的。

對于上一步或者在終端上使用nslookup 也可以達到相同作用。

3.2 驗證本地是否可以正確的和AD 域控進行通信

在網(wǎng)絡可達的基礎上，如果還是出現(xiàn)AD 域認證不通過的問題時，需要驗證終端系統(tǒng)能否和AD 域控進行通信。

首先驗證一下本地的TCP/UDP的88端口是否是開放的，需要查看本地防火墻配置是否禁止了88端口，88端口是用于Kerberos 認證的。

在終端利用微軟提供的工具ldp.exe 來連接AD 域控的389端口，如果連接失敗請查看AD 域控上的配置。

3.3 檢查認證報文

在上面兩步后如果還是出現(xiàn)AD 認證不通過的問題后，此時需要進行抓包操作。通過報文來分析問題。

抓包過程描述如下：

1. 找一臺未加入域的PC 機作為測試機；

2. 將這臺測試機的DNS 服務器設為本地的域控（除本地域控外，請不要

設置其他的DNS 服務器）；

3. 重啟測試機（這一步用來清除LSA 中緩存的kerberos ticket）；

4. 從下面的連接下載Network Monitor 3.1工具，并安裝到測試機上：

3/26/2013

華為機密，未經許可不得擴散 第3頁, 共7頁

AD 域認證問題日常定位方法 內部公開

5. 運行Netmon 3.1工具，并選擇“File->New->Capture”；

6. 如果該計算機上有多個網(wǎng)絡連接，在”Select Networks”中，選擇我

們所關心的封包所流經的連接（比如Local Area Connection）； 7. 在菜單中，選擇Tools->Options->Capture, 并將臨時捕捉文件的大小

調整為20Megabytes ；

8. 在菜單中，選擇“Capture->Start”，開始抓包; 9. 嘗試進行AD 域認證；

10. 在Netmon 工具界面中選擇“Capture->Stop”停止抓包； 11. 選擇“File->Save as”, 將網(wǎng)絡抓包保存為joindomain.cap 文件；

具體分析請參考上面的AD 認證流程和下面的錯誤信息表：

Kerberos Error Number 0x3 0x6 0x7 0x8 0xA 0xB 0xC 0xD 0xE 0xF 0x10 0x12 0x17

3/26/2013

Kerberos Error Code Description

Requested protocol version number not supported. Client not found in Kerberos database.

Server not found in Kerberos database.

KDC_ERR_BAD_PVNO

KDC_ERR_C_PRINCIPAL_UNKNOWN KDC_ERR_S_PRINCIPAL_UNKNOWN

Multiple principal entries in

KDC_ERR_PRINCIPAL_NOT_UNIQUE

database. KDC_ERR_CANNOT_POSTDATE KDC_ERR_NEVER_VALID KDC_ERR_POLICY KDC_ERR_BADOPTION KDC_ERR_ETYPE_NOSUPP KDC_ERR_SUMTYPE_NOSUPP KDC_ERR_PADATA_TYPE_NOSUPP KDC_ERR_CLIENT_REVOKED KDC_ERR_KEY_EXPIRED

Ticket not eligible for postdating.

Requested start time is later than end time.

KDC policy rejects request. KDC cannot accommodate requested option. KDC has no support for encryption type. KDC has no support for checksum type.

KDC has no support for pre-authentication data type. Client’s credentials have been revoked.

Password has expired - change

第4頁, 共7頁

華為機密，未經許可不得擴散

AD 域認證問題日常定位方法 內部公開

password to reset.

0x18 0x19 0x1B 0x1C 0x1D 0x1F 0x20 0x21 0x22 0x23 0x24 0x25 0x28 0x29 0x34 0x3C 0x44

KDC_ERR_PREAUTH_FAILED KDC_ERR_PREAUTH_REQUIRED KDC_ERR_MUST_USE_USER2USER KDC_ERR_PATH_NOT_ACCPETED KDC_ERR_SVC_UNAVAILABLE KRB_AP_ERR_BAD_INTEGRITY KRB_AP_ERR_TKT_EXPIRED KRB_AP_ERR_TKT_NYV KRB_AP_ERR_REPEAT KRB_AP_ERR_NOT_US KRB_AP_ERR_BADMATCH KRB_AP_ERR_SKEW KRB_AP_ERR_MSG_TYPE KRB_AP_ERR_MODIFIED KRB_ERR_RESPONSE_TOO_BIG KRB_ERR_GENERIC KDC_ERR_WRONG_REALM

Pre-authentication

information was invalid. Additional

pre-authentication required. Server principal valid for user-to-user only.

KDC Policy rejects transited path.

A service is not available. Integrity check on decrypted field failed. Ticket expired. Ticket not yet valid. Request is a replay. The ticket isn’t for us. Ticket and authenticator do not match.

Clock skew too great. Invalid message type. Message stream modified. Response too big for UDP, retry with TCP.

Generic error (description in e-text).

User-to-user TGT issued different KDC.

3.4 查看AD 域控上的配置情況

查看AD 域控上的配置情況一般分為以下幾個階段

1、 查看并收集測試帳號和SPN 帳號的配置信息 在AD 域控所在的終端機器上運行如下兩個命令：

ldifde -f out1.txt -d "dc=solo,dc=local" -r "(sAMAccountName=Stanley)"

ldifde -f out2.txt -d "dc=solo,dc=local" -r "()" 2、 在AD 域控上運行Netdiag /v>netdiag.txt，并將運行結果保存下來 3、 在AD 域控上運行dcdiag /v>dcdiag.txt，并將運行結果保存下來

3/26/2013

華為機密，未經許可不得擴散

第5頁, 共7頁

AD 域認證問題日常定位方法 內部公開

4、 收集AD 域控所在機器的MPS Report信息

● 從下面的連接，下載MPSRPT_DirSvc.EXE文件（文件大小702B ）：

● 在步驟1所使用的測試機上運行MPSRPT_DirSvc.EXE；根據(jù)計算

機的性能及網(wǎng)絡連接等情況，MPS Report工具可能運行5-15分

鐘。

● 待MPSRPT_DirSvc.EXE運行完畢后，一個名

為COMPUTERNAME_MPSReports_DirSvc.cab的.cab 文件將

被保存在路徑：systemrootMPSReportsDirSvcLogs?b；

在收集到以上信息之后請打包發(fā)回到研發(fā)出進行信息分析。

3.5 查看在用戶登錄過程中是否出現(xiàn)異常

在XXX 局點出現(xiàn)部分采用域帳戶登錄系統(tǒng)過慢的現(xiàn)象，其登錄過程大約持續(xù)了10分鐘。一般處理這種登錄問題的時候由于沒有進入操作系統(tǒng)很難采用一般的工具來采集數(shù)據(jù)。 此時需要依賴于操作系統(tǒng)的事件日志功能來查看在用戶登錄系統(tǒng)過程中發(fā)生了什么問題。 通過查看一些異常日志信息來定位。

此外在系統(tǒng)的事件日志中沒有發(fā)現(xiàn)一些異常信息時，可以通過打開操作系統(tǒng)的登錄日志開關來獲取當前登錄系統(tǒng)時的一些具體的執(zhí)行操作。具體方法如下所示：

在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogon下建立一個DWORD 鍵值UserEnvDebugLevel ，將其值設為十六進制的30002（十進制為：196610）。

而后重新啟動操作系統(tǒng)，在登錄到操作系統(tǒng)后，在當前的操作系統(tǒng)目錄

WINDOWS?bugUserMode下將會出現(xiàn)一個userenv.log 文件，此文件將會記錄所有在用戶登錄過程中的日志信息，通過查看此信息可以判斷到底在登錄過程中發(fā)生了那些問題。

3.6 后記

一般而言，AD 域認證失敗的問題主要是從上面介紹的幾方面來進行分析。尤其在配置SPN 賬戶映射時需要格外注意以下兩點：

3/26/2013

華為機密，未經許可不得擴散 第6頁, 共7頁

AD 域認證問題日常定位方法 內部公開

1、 在配置SPN 賬戶時請確保在真實終端上進行配置，如果是在無法接觸到真實終端，

請采用控制臺登錄的方式來遠程登錄到目標主機，使用命令:mstsc /console 目標主機

2、 在配置SPN 賬戶時請確保ktpass 命令工具和AD 域控所在主機操作系統(tǒng)的版本相同，

即2000對應2000 resource kit下的ktpass 命令行工具，2003對應2003 resource kit下的ktpass 命令行工具

3、 在配置SPN 帳號時請確保當前系統(tǒng)的主機防火墻和主動防御軟件被關閉，在SPN 賬

戶配置完畢后可以重新打開上述安全軟件

此外象此類系統(tǒng)問題的定位有時候牽扯到各種方面的知識，除了AD 域本身還有關于系統(tǒng)自身的知識，因此其定位方法也是多種多種多樣，所以上面的定位方法也不是萬能的。

3/26/2013

華為機密，未經許可不得擴散 第7頁, 共7頁