AD域認證問題的日常定位方法

1、HUAWEIAD域認證問題日常定位方法1引子目前TSM的AD域認證過程中經常出現問題，由于AD系統(tǒng)龐大而且終端代理使用第三方庫執(zhí)行主要認證業(yè)務，所以AD域認證過程中的問題很難定位和解決。鑒于此，特將之前用于定位AD域認證問題的一些經驗總結一下，方便今后開發(fā)和測試的同事在現場定位問題。2AD域認證過程介紹TSM系統(tǒng)的AD域認證過程主要涉及到三個角色，分別是：TSM服務器、AD域控、終端代理。TSM和AD的聯動認證是基于標準的Kerberos協議，標準的Kerberos認證流程如下：KRB_AS_REQClientKRBASREPKRBTGSREPKRB_AP_REQ6IKRBAPREP!_Ser

2、verTSM在此基礎上做了一些調整，主要是第5步和第6步的交互，其交互信息是通過SSL來加密的。具體交互流程圖如下所示：ClientKRBASREQKDCKRBASREPKRBTGSREP口KRB_TGS_REQ一，送證息X.淆唇u信Server從上面的交互流程圖可以看出來，整個交互過程分為3個階段分別是：AS(AuthenticationServiceExchange)、TGS(TicketGrantingServiceExchange)、AP(Client/ServerExchange)。在AS階段，主要驗證的是當前用于進行AD域認證的用戶是當前AD域控上的合法用戶。所以一般如果用戶名或者

3、密碼錯誤時將會在這個階段得到AD返回的錯誤信息。此外如果出現TSM服務器和AD上的時間偏差較大的時候也會在這個階段出錯。在TGS階段，主要是終端代理獲取其要請求的認證服務的票證的過程，如果這個時候請求的認證服務不存在，則在第4步返回的錯誤信息中指示KDC_ERR_S_PRINCIPAL_UNKNOWN,表明當前請求的服務不存在。之前在大足的AD域聯動測試中就出現了這個問題。在AP階段，服務器將會驗證終端代理發(fā)送的TGS,來決定當前認證用戶是否具有訪問當前請求的認證服務的權限。3基本問題定位方法3.1 驗證網絡是否可達在定位AD域認證相關的問題時，首先第一點是驗證網絡是否可達即，是否能夠訪問你當

4、前AD域控。HUAWEI在這種情況下首先在系統(tǒng)的命令行提示下ping目標主機（AD域控所在的機器）的IP地址，如果能夠ping通目標主機則證明網絡鏈路是可達的，如果ping不通此時請首先檢查網絡鏈路。在上面網絡鏈路可達的基礎上需要驗證域名解析是否正確，此時在系統(tǒng)命令提示下pingAD域名，如果能夠ping通則證明域名解析是沒有問題的。相反如果無法ping通目標域名，此時首先請檢查當前激活鏈接的網卡上的DNS配置確保其配置指向的是AD所對應的DNS服務器的地址，并且同時要檢查一下當前系統(tǒng)的53端口是否被防火墻或者主動防御軟件給禁止掉，確保53端口是開放的。對于上一步或者在終端上使用nslooku

5、p也可以達到相同作用。3.2 驗證本地是否可以正確的和AD域控進行通信在網絡可達的基礎上，如果還是出現AD域認證不通過的問題時，需要驗證終端系統(tǒng)能否和AD域控進行通信。首先驗證一下本地的TCP/UDP的88端口是否是開放的，需要查看本地防火墻配置是否禁止了88端口，88端口是用于Kerberos認證的。在終端利用微軟提供的工具ldp.exe來連接AD域控的389端口，如果連接失敗請查看AD域控上的配置。3.3 檢查認證報文在上面兩步后如果還是出現AD認證不通過的問題后，此時需要進行抓包操作。通過報文來分析問題。抓包過程描述如下：1 .找一臺未加入域的PC機作為測試機；2 .將這臺測試機的DNS

6、服務器設為本地的域控（除本地域控外，請不要設置其他的DNS服務器）；3 .重啟測試機（這一步用來清除LSA中緩存的kerberosticket）;4 .從下面的連接下載NetworkMonitor3.1工具，并安裝到測試機上：http:5.運行Netmon3.1工具，并選擇"File->New->Capture"6.如果該計算機上有多個網絡連接，在"SelectNetworks”中，選擇我們所關心的封包所流經的連接（比如LocalAreaConnection）;7.在菜單中，選擇Tools->Options->Capture,并將臨時捕捉文

7、件的大小調整為20Megabytes;8.在菜單中，選擇"Capture->Start”,開始抓包；9.嘗試進行AD域認證;10.11.具體分析請參考上面的AD認證流程和下面的錯誤信息表:KerberosErrorNumberKerberosErrorCodeDescription0x3KDCERRBADPVNO0x6KDCERRCPRINCIPALUNKNRequestedprotocolversionnumbernotsupported.notfoundinKerberosatabase.0x7ServernotfoundinKerberosKDC_ERR_S_PRINCI

8、PAL_UNKNOWbase.0x8KDCERRPRINCIPALNOTUNWleprincipalentriesinatabase.0xATicketnoteligibleforKDCERRCANNOTPOSTDATE”postdating.0xBKDCERRNEVERVALIDRequestedstarttimeislaterthanendtime.0xCKDCERRPOLICY0xDKDCERRBADOPTION0xEKDCERRETYPENOSUPP0xFKDCERRSUMTYPENOSUPPKDCpolicyrejectsrequest.KDCcannotaccommodatereq

9、uestedoption.KDChasnosupportforencryptiontype.KDChasnosupportforchecksumtype.在Netmon工具界面中選擇"Capture->Stop”停止抓包;選擇"File->Saveas”,將網絡抓包保存為joindomain.cap文件;0x10KDC_ERR_PADATA_TYPE_NOSKDC曜noy0rtf。：.pre-authenticationdatatype.0x12cl、，Client'scredentialshaveKDC_ERR_CLIENT_REVOKEDbeenre

10、voked0x17KDCERRKEYEXPIREDPasswordhasexpired-changeHUAWEI0x18KDC_ERR_PREAUTH_FAILEDpasswordtoreset.Pre-authenticationinformationwasinvalid.0x190x1B0x1C0x1D0x1F0x200x210x220x230x240x250x280x290x340x3C0x44KDC_ERR_PREAUTH_REQUIREAdd嗎nalpre-authenticationrequired.八八八八ServerprincipalvalidforKDCERRMUSTUSEU

11、SER2USERxHH,user-to-useronly.KDCERRPATHNOTACCPETKBCPolicyrejectstransitedpath.KDC_ERR_SVC_UNAVAILABLEAserviceisnotavailable.KRB_AP_ERR_BAD_INTEGRITYKRB_AP_ERR_TKT_EXPIREDKRB_AP_ERR_TKT_NYVKRB_AP_ERR_REPEATKRB_AP_ERR_NOT_USKRB_AP_ERR_BADMATCHKRB_AP_ERR_SKEWKRB_AP_ERR_MSG_TYPEKRB_AP_ERR_MODIFIEDKRB_ER

12、R_RESPONSE_TOO_KRB_ERR_GENERICKDC_ERR_WRONG_REALMIntegritycheckondecryptedfieldfailed.Ticketexpired.Ticketnotyetvalid.Requestisareplay.Theticketisn'tforus.Ticketandauthenticatordonotmatch.Clockskewtoogreat.Invalidmessagetype.Messagestreammodified.ResponsetoobigforUDP,BIGretrywithTCP.Genericerror

13、(descriptione-text).User-to-userTGTissueddifferentKDC.in3.4查看AD域控上的配置情況查看AD域控上的配置情況一般分為以下幾個階段1、查看并收集測試帳號和SPN帳號的配置信息在AD域控所在的終端機器上運行如下兩個命令：ldifde-fout1.txt-d"dc=solo,dc=local"-r"(sAMAccountName=Stanley)"ldifde-fout2.txt-d"dc=solo,dc=local"-r"(userPrincipalName=seco/a

14、dserversolo.local)2、在AD域控上運行Netdiag/v>netdiag.txt,并將運行結果保存下來3、在AD域控上運行dcdiag/v>dcdiag.txt,并將運行結果保存下來HUAWEI4、收集AD域控所在機器的MPSReport信息從下面的連接，下載MPSRPT_DirSvc.EXE文件（文件大小702B）:http:9b7306c0&displaylang=en在步驟1所使用的測試機上運行MPSRPT_DirSvc.EXE;根據計算機的性能及網絡連接等情況，MPSReport工具可能運行5-15分鐘。待MPSRPT_DirSvc.EXE運行完畢

15、后，一個名/%COMPUTERNAME%_MPSReports_DirSvc.cab的.cab文件將被保存在路徑：systemroot%MPSReportsDirSvcLogsCab;在收集到以上信息之后請打包發(fā)回到研發(fā)出進行信息分析。3.5 查看在用戶登錄過程中是否出現異常在XXX局點出現部分采用域帳戶登錄系統(tǒng)過慢的現象，其登錄過程大約持續(xù)了10分鐘。一般處理這種登錄問題的時候由于沒有進入操作系統(tǒng)很難采用一般的工具來采集數據。此時需要依賴于操作系統(tǒng)的事件日志功能來查看在用戶登錄系統(tǒng)過程中發(fā)生了什么問題。通過查看一些異常日志信息來定位。此外在系統(tǒng)的事件日志中沒有發(fā)現一些異常信息時，可以通過打開

16、操作系統(tǒng)的登錄日志開關來獲取當前登錄系統(tǒng)時的一些具體的執(zhí)行操作。具體方法如下所示：在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon下建立一個DWORD鍵值UserEnvDebugLevel,將其值設為十六進制的30002（十進制為：196610）。而后重新啟動操作系統(tǒng)，在登錄到操作系統(tǒng)后，在當前的操作系統(tǒng)目錄WINDOWSDebugUserMode下將會出現一個userenv.log文件，此文件將會記錄所有在用戶登錄過程中的日志信息，通過查看此信息可以判斷到底在登錄過程中發(fā)生了那些問題。3.6 后記一般而言，AD域認證失敗的問題主要是從上面介紹的幾方面來進行分析。尤其在配置SPN賬戶映射時需要格外注意以下兩點：3/26/2013華為機密，未經許可不得擴散第6頁，共7頁1、在配置SPN賬戶時請確保在真實終端上進行配置，如果是在無法接觸到真實終端，請采用控制臺登錄的方式來遠程登錄到目標主機，使用命令:ms