分析:

發生問題的 Server name 為 Proxy, 所以正確註冊的Server Name 為 HOST/proxy.domain.com.

如果有其他電腦註冊此 HOST/proxy.domain.com 就會出現此錯誤 Kerberos Event ID: 11

解決 Kerberos Event 11 Duplicate SPN做法如下:

使用  ldifde 撈出網域中所有SPN 來比對

1.開啟 Dos command執行以下指令:

ldifde -f spn.txt -d "dc=domain,dc=com"  -r "serviceprincipalname=host/proxy*"

2.執行後, 請檢視 spn.txt .

dn: CN=ServerA,CN=Computers,DC=domain,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
cn: ServerA
distinguishedName: CN=ServerA,CN=Computers,DC=domain,DC=com
instanceType: 4
whenCreated: 20120207052445.0Z
whenChanged: 20120221091504.0Z
uSNCreated: 310137326
uSNChanged: 310786524
name: ServerA
objectGUID:: urgwg8lua0OqP5xTKUEH4w==
userAccountControl: 69632
pwdLastSet: 129742892969622361
primaryGroupID: 515
objectSid:: AQUAAAAAAAUVAAAAU7kUoC2TmURv0MGOgTEAAA==
sAMAccountName: ServerA$
sAMAccountType: 805306369
dNSHostName: proxy.domain.com
servicePrincipalName: HOST/proxy.domain.com
servicePrincipalName: HOST/ServerA
objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=domain,DC=com
dSCorePropagationData: 16010101000000.0Z
lastLogonTimestamp: 129739717790891547

DC端 Event Log:

DC1:
02/20/2012 09:06:19 AM  錯誤 DC1.domain.co 11  Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。

DC2:
02/20/2012 10:01:43 AM  錯誤 DC2.domain.co 11  Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。

DC3:
02/21/2012 08:06:20 AM  錯誤 DC3.domain.co 11 Microsoft-Windows-Kerberos-Key-D N/A N/A 處理 Kerberos 驗證要求時,KDC 遇到重複的名稱。重複的名稱是 host/proxy.domain.com(類型為 DS_SERVICE_PRINCIPAL_NAME)。這可能造成驗證錯誤或降級到 NTLM。為避免發生這個狀況,請移除在 Active Directory 中 host/proxy.domain.com的重複項目。