将新服务器添加到服务器管理器，得到 Kerberos 错误 0x80090322

Question

我正在建立一个 Windows 实验室环境。它有一个 Win2012R2 域控制器 (srv001)，我想将另一个 Win2012R2 服务器添加到域 (srv003)。事实上，一切都很顺利。我在与 DC 相同的子网中为新服务器提供了一个静态 IP 地址，将其指向正确的 DNS 服务器并将该服务器添加到域中。

但是，当我将新服务器添加到服务器管理器时，出现 Kerberos 错误：0x80090322。我有很长的错误消息，我将在下面发布。我做了一些测试，发现我实际上能够使用 Kerberos 身份验证设置到服务器的远程 Powershell 会话：

$s = New-PSSession -ComputerName srv003 -Authentication Kerberos
$s | Enter-PSSession

这里没有问题。我Enable-PSRemoting在远程服务器上运行，那里也没有问题。

为什么服务器管理器不喜欢我的新服务器？特别是因为可以使用服务器管理器抱怨的相同协议来设置远程 Powershell。

---

属于错误代码 0x80090322 的错误信息：

配置刷新失败，出现以下错误：由于以下错误，无法从服务器检索元数据：WinRM 无法处理请求。使用 Kerberos 身份验证时出现错误代码 0x80090322 的以下错误：发生未知安全错误。可能的原因有：

1. 指定的用户名或密码无效。
2. 当未指定身份验证方法和用户名时使用 Kerberos。
3. Kerberos 接受域用户名，但不接受本地用户名。
4. 远程计算机名称和端口的服务主体名称 (SPN) 不存在。
5. 客户端和远程计算机位于不同的域中，两个域之间不存在信任。

检查上述问题后，请尝试以下操作：

6. 检查事件查看器以获取与身份验证相关的事件。
7. 更改认证方式；将目标计算机添加到 WinRM TrustedHosts 配置设置或使用 HTTPS 传输。请注意，TrustedHosts 列表中的计算机可能未经过身份验证。
8. 有关 WinRM 配置的详细信息，请运行以下命令：winrm help config。

---

要返回错误消息中的编号项目：

1. 我使用域管理员帐户来执行此操作。
2. 不确定如何在服务器管理器中更改它，所以我想默认应该这样做。
3. 我在域内运行，以域管理员身份启动服务器管理器。
4. 服务器实际上有以下我没有接触过的 SPN：
   1. dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/srv003.rwwilden01.local
   2. TERMSRV/SRV003
   3. TERMSRV/srv003.rwwilden01.local
   4. WSMAN/srv003
   5. WSMAN/srv003.rwwilden01.local
   6. 受限KrbHost/SRV003
   7. 主机/SRV003
   8. RestrictedKrbHost/srv003.rwwilden01.local
   9. 主机/srv003.rwwilden01.local
5. 两台计算机都在同一个域中。
6. 客户端计算机上没有事件。
7. 应该没有必要这样做。

Answer 1

好吧，我终于想通了。我又仔细查看了远程服务器的事件日志。它包含一个带有以下错误文本的错误：

Kerberos 客户端收到KRB_AP_ERR_MODIFIED来自服务器 srv003 的错误。使用的目标名称是 HTTP/srv003.rwwilden01.local。这表明目标服务器未能解密客户端提供的票证。当目标服务器主体名称 (SPN) 在目标服务使用的帐户以外的帐户上注册时，可能会发生这种情况。确保目标 SPN 仅在服务器使用的帐户上注册。如果目标服务帐户密码与 Kerberos 密钥分发中心上为该目标服务配置的密码不同，也可能发生此错误。确保服务器上的服务和 KDC 都配置为使用相同的密码。如果服务器名称不是完全限定的，并且目标域 (RWWILDEN01.LOCAL) 与客户端域 (RWWILDEN01.LOCAL) 不同，

一周前，我似乎在 SPN 中添加了一个托管服务帐户HTTP/srv003.rwwilden.local。我不确定为什么服务器管理器首先尝试这个目标名称，但显然这不起作用。这是有道理的，因为这个 SPN 与实际服务器几乎没有关系。

删除服务帐户后，一切都按照我的预期开始工作。