密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。

最新推荐文章于 2024-06-06 10:18:12 发布
最新推荐文章于 2024-06-06 10:18:12 发布
阅读量1w 收藏 1
点赞数
分类专栏: windows/linux 文章标签: 工作 domain delete dialog command wizard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/poloyzhang/article/details/5610320
版权

密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。

 

参考windows 联机帮助解决。不过是英文的,

 

Delete the domain controller certificate that is no longer valid

To delete the domain controller certificate that is no longer valid:

  1. On the domain controller in which the issue is occurring, click Start , and then click Run .
  2. Type mmc.exe , and then press ENTER.
  3. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue .
  4. Click File , and then click Add/Remove Snap-in .
  5. Click Certificates , and then click Add .
  6. Click Computer account , click Next , and then click Finish .
  7. Click OK to open the Certificates snap-in.
  8. Expand Certificates (Local computer) , expand Personal , and then click Certificates .
  9. Right-click the old domain controller certificate, and then click Delete .
  10. Click Yes , confirming that you want to delete the certificate.
  11. After the certificate is deleted, follow the procedure in the "Request a new certificate" section.
Request a new certificate

To request a new certificate:

  1. Expand Certificates (Local computer) , right-click Personal , and then click Request New Certificate .
  2. Complete the appropriate information in the Certificate Enrollment Wizard for a domain controller certificate.
  3. Close the Certificates snap-in.

Verify

To perform this procedure, you must be a member of the Domain Admins group, or you must have been delegated the appropriate authority.

To verify that the Kerberos Key Distribution Center (KDC) certificate is available and working properly:

  1. Log on to a computer within your domain.
  2. Click Start , point to All Programs , click Accessories , right-click Command Prompt , and then click Run as administrator .
  3. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue .
  4. At the command prompt, type certutil -dcinfo verify , and then press ENTER.
  5. If you receive a successful verification, the Kerberos KDC certificate is installed and operating correctly.

Related Management Information

KDC Certificate Availability

poloyzhang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
工程师手记-关于KDC证书、10006事件以及userenv日志文件的问题
Aceryt
03-13 4264
微软工程师手记,里面对问题的发现,分析判断,解决都有可参考之处,好文不独享,很早以前看过,最近为了漫游用户配置的一些资料,一直不到,昨晚终于挖出来了。 关于作者陈英丽,微软技术支持工程师,长期从事微软系统平台、数据库、服务器迁移的技术支持工作,为企业客户提供产品部署咨询、疑难解答和故障排除服务。技术专长:Windows NT 4.0到Windows Server 2003的升级与迁
KDC集群安装&维护文档
01-21
Cannot create cert chain: certificate has expired 此错误消息表明KINIT身份验证失败,因为客户端证书KDC证书或其上方签名链中的某个证书已过期 kprop: No route to host while connecting to server 确保754端口的开启并需要关闭防火墙 kprop: Connection refused while connecting to server 确保从节点kpropd服务是开启的 kprop: Server rejected authentication (during sendauth exchange) while authenticating to server 1、主节点和从节点的间是同步的 2、主节点配置文件已从主服务器复制到从节点的预期位置。 3、从节点的默认位置具有keytab文件,且具有主机的信息。
启动应用程序出现certutil.exe不到问题解决
最新发布
wbcmbfy的博客
06-06 771
其实很多用户玩单机游戏或者安装软件的候就出现过这种问题,如果是手第一间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这你可以下载这个certutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现certutil.exe丢失要怎么解决
【大数据安全-Kerberos】Kerberos常见问题解决方案
weixin_53543905的博客
04-04 8754
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
网站用户单点登录系统解决方案
02-22
- Kerberos架构允许添加或替换安全方案,支持公钥/私钥的智能卡验证,增强了安全性。 - 通过验证票的使用,减少服务器对域控制器的依赖,减轻网络负载。 **Kerberos V5身份验证流程** - 用户登录,通过KDC获取...
Windows集成验证功能块概要设计.doc
07-07
Windows服务器系统支持单点登录使用户能使用同一密码或智能卡登录一次,然后在整个域内无须再次验证身份。这种方式提高了用户便利性,同减少了管理员对多个账户的管理负担。 2. **身份验证原理** - **NTLM身份...
Kerberos 单点登录
07-28
Kerberos的核心是Key Distribution Center (KDC),它存储和管理用户的加密密钥,使得用户只需一次登录即可访问多个受保护的网络资源,实现了单点登录(Single Sign-On, SSO)功能。 微软的Windows Server 2003操作...
深入理解ad登录过程
01-01
在某些情况下,如“安全登录”模式,Winlogon会进行额外的步骤,如使用智能卡验证。每个环节都需要精确执行,任何一个小故障都可能导致登录失败。因此,对于IT专业人员来说,深入理解AD登录过程是提升网络管理和故障...
certutil.exe
03-04
补充操作系统缺失感染文件!用于Der Spaeher &shy修复
Kerberos身份认证方案.pdf
07-11
Kerberos的设计目标是提供一种基于对称密钥加密的安全服务,允许在网络环境中进行身份验证,同为用户提供方便的“单点登录”(Single Sign-on, SSO)体验。 在Kerberos V5中,其身份认证机制的核心在于通过一个...
第二届全国大学生网络安全精英赛初赛错题笔记
热门推荐
rhxznp的博客
10-13 9万+
(一) 1.通信保密阶段 主要威胁:搭线窃听和密码分析 主要措施:数据加密保护机密性和完整性 开始标志:香农的《保密系统的信息理论》 2.信息安全的阶段 四个阶段:通信安全、计算机安全、信息安全、信息保障 3.信息系统安全保障蕴含: 生命周期、保障要素、安全特征 4.完整性:确保信息在存储、使用、传输的过程中不会被非授权按用户篡改,同还要防止授权用户对信息进行不恰当篡改,保持信息内外部表示的一致性 国际标准化组织:IOS/OSI 提供了五种安全服务:以及八类安全机制。 五类安全服务: 认证(鉴别)服
无法同步因计算机未授权,域控制器之间无法正常同步
weixin_30205153的博客
07-04 1520
BDC无法正常与PDC同步,在BDC上手动从PDC同步,出现错误提示:目标服务器目前拒绝复制请求在BDC上执行dcdiag命令出现下面结果,希望各位大神帮忙看看:目录服务器诊断正在执行初始化设置:正在尝试查主服务器...主服务器 = SCDWAD02* 已识别的 AD 林。已完成收集初始化信息。正在进行所需的初始化测试正在测试服务器: chengdu\SCDWAD02开始测试: Connecti...
密钥分配&&认证中心&&证书原理
LY_624的专栏
05-11 2576
一、密钥分配 1.对称密钥的分配 2.公钥的分配 二、认证中心及证书 1.什么是CA? 2.CA电子商务网络示意图 3.证书的内容 4.证书图标 5.CA的功能 6.使用证书提供的服务 7.证书服务 三、应用
密钥分发中心
zhinen丶的博客
09-06 2963
密钥分发中心(Key Distribution Center,KDC)是一个中心机构,负责计算机网络中单个计算机(结点)的密钥。它类似于Kerberos中的认证服务器和票据授权服务器。其基本思想是,每个结点与KDC共享一个密钥。一旦用户A需要与用户B进行安全通信,就需要如下步骤: 1.假设用户A与KDC具有一个共享密钥KA。同样,用户B与KDC具有一个共享密钥KB。 2.A往KDC发送一个用KA加密的请求,包括:A和B的标识符;一个随机数R,称之为一次性数。 3.KDC以一个用KA加密的消息来响应,该消息包
PHP实现密钥分发中心,密钥分发中心(KDC
weixin_28455801的博客
03-23 1597
密钥分发中心(KDC)密钥分发中心是一种运行在物理安全服务器上的服务,KDC维护着领域中所有安全主体账户信息数据库。与每一个安全主体的其他信息一起,KDC存储了仅安全主体和KDC知道的加密密钥,这个密钥也称长效密钥(主密钥),用于在安全主体和KDC之间进行交换。KDC是作为发起方和接收方共同信任的第三方,因为他维护者一个存储着该域中所有账户的账户数据库,也就是说,他知道属于每个账户的名称和派生于该...
哈工大计算机网络课程网络安全基本原理详解之:密钥分发中心与公钥认证中心
大数据开发、JAVA开发、人工智能AI
07-31 1089
哈工大计算机网络课程网络安全基本原理详解之:密钥分发中心与公钥认证中心
配置linux2为kdc服务器,负责linux3和linux4的验证
05-23
首先,需要在Linux2上安装Kerberos软件包。以CentOS为例,可以使用以下命令安装: ``` sudo yum install -y krb5-server krb5-libs krb5-auth-dialog krb5-workstation ``` 安装完成后,进行以下配置步骤: 1. 编辑`/etc/krb5.conf`文件,配置Kerberos的全局参数。示例配置如下: ``` [logging] default = FILE:/var/log/krb5libs.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] EXAMPLE.COM = { kdc = linux2.example.com admin_server = linux2.example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM ``` 其中,`default_realm`设置为我们的域名,`kdc`和`admin_server`设置为KDC服务器的主机名。 2. 生成Kerberos数据库。运行以下命令: ``` sudo kdb5_util create -s ``` 该命令将会生成一个Kerberos数据库,需要设置一个管理Kerberos的密码。 3. 配置Kerberos策略。在`/var/kerberos/krb5kdc/kdc.conf`文件中添加以下内容: ``` [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] EXAMPLE.COM = { acl_file = /var/kerberos/krb5kdc/kadm5.acl dict_file = /usr/share/dict/words admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab key_stash_file = /var/kerberos/krb5kdc/stash kdc_ports = 88 max_life = 1d max_renewable_life = 7d default_principal_flags = +preauth } ``` 4. 创建Kerberos管理员账户。运行以下命令: ``` sudo kadmin.local ``` 进入交互式命令行模式,输入以下命令: ``` addprinc root/admin ``` 该命令将创建一个名为`root/admin`的Kerberos管理员账户,并要求设置密码。 5. 添加待验证的主机账户。以Linux3为例,运行以下命令: ``` sudo kadmin.local ``` 进入交互式命令行模式,输入以下命令: ``` addprinc -randkey host/linux3.example.com ktadd host/linux3.example.com ``` 该命令将创建一个名为`host/linux3.example.com`的主机账户,并为该账户生成一个随机的密钥,并将该密钥添加到Kerberos的keytab文件中。 6. 启动Kerberos服务。运行以下命令: ``` sudo systemctl start krb5kdc sudo systemctl start kadmin ``` 至此,Linux2已经配置完成,可以用作KDC服务器,负责Linux3和Linux4的验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值