我在连接到 Windows KDC 的 Linux 主机上遇到了 Kerberos 问题。我怀疑版本错误的 Kerberos 密钥是罪魁祸首。
舒尔的一种方法是删除 SPN 并重新创建它,但这是在生产环境中,如果您愿意,我必须以“只读”进行调试。
如何从 Active Directory 中的主体检索当前 Kerberos KVNO?
我在同一个子网上有两个 LDS 服务器。他们复制得很好。如果我更改属性,它会在 15 秒后复制。
LDS 配置为遵守密码策略。当用户多次尝试错误密码时,他的帐户将被锁定,并lockoutTime相应地设置该用户的属性。
但lockoutTime没有复制那么紧迫。事实上,它不会被复制,除非目录中的某处有另一个更改。锁定时间属性将被复制。
这是(已编辑的 Wireshark)跟踪。它显示正常的复制流量
No. Time Protocol Length Info
133 16:23:02 DRSUAPI 562 DsGetNCChanges request
134 16:23:02 DRSUAPI 3042 DsGetNCChanges response
152 16:23:17 DRSUAPI 562 DsGetNCChanges request
157 16:23:17 DRSUAPI 242 DsGetNCChanges response
230 16:24:57 DRSUAPI 562 DsGetNCChanges request
231 16:24:57 DRSUAPI 2930 DsGetNCChanges response
246 16:25:12 DRSUAPI 562 DsGetNCChanges request
在那之后,我锁定了用户(使用FOR循环和ldifde)。什么也没发生,直到我放弃并更改description用户的属性,然后大约 15 秒后我看到复制通过。
1984 16:31:05 DRSUAPI 562 DsGetNCChanges request
1985 16:31:05 …