KRB_AP_ERR_MODIFIED-Fehler

Im Server Manager wird unter Verwaltbarkeit der Hinweis eines Kerberos Sicherheitsfehlers angezeigt, dann deutet das in der Regel auf einen Fehler im DNS oder eine falsche SPN (Service Principal Name) Konfiguration hin.

In der Ereignisanzeige finden wir im Quell- und Zielsystem folgende Einträge mit der Ereignis-ID 4.

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server “srvex2$” empfangen. Der verwendete Zielname war HTTP/srvex2.dwp.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte.

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server “srvex2$” empfangen. Der verwendete Zielname war RPCSS/srvex2.dwp.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte.

Die Lösung ist eindeutig. Die für den über den Server-Manager (Remote Zugriff) benötigten SPN Einträge fehlen oder sind falsch konfiguriert worden. In diesem Fall wurde ein Fehler bei der Einrichtung einer Constrained Delegation begangen.

Und zwar wurden folgende SPNs einem Benutzerobjekt zugewiesen, so das es logischerweise zu einem Kerberos Fehler kommen musste. Es wurde nämlich nicht der Server (SRVEX2) angesprochen sondern das Benutzerobjekt. Damit ist klar, dass das Kerberos Token nicht entschlüsselt werden konnte.

Nachdem die SPNs aus dem Benutzerobjekt entfernt wurden, funktionierte auch wieder der Remote Zugriff auf den Server SRVEX2.

Fehlermeldung im Detail

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server “srvex2$” empfangen. Der verwendete Zielname war HTTP/srvex2.dwp.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DWP.LOCAL) von der Clientdomäne (DWP.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Die Metadaten konnten aufgrund des folgenden Fehlers nicht vom Server abgerufen werden.

Bei dieser Fehlermeldung sollte zuerst geprüft werden, ob das Server Manager Remoting aktiviert ist.

Server Manager Remoting

Fehler beim Aktualisieren der Konfiguration: Die Metadaten konnten aufgrund des folgenden Fehlers nicht vom Server abgerufen werden: Der WinRM-Client kann die Anforderung nicht verarbeiten. Wenn das Authentifizierungsschema nicht Kerberos ist
und der Clientcomputer nicht Mitglied einer Domäne ist, muss der HTTPS-Datentransport verwendet werden, oder der Zielcomputer muss der TrustedHosts-Konfigurationseinstellung hinzugefügt werden.

Configure-SMRemoting.exe -Enable

Enable-PSRemoting
Disable-PSRemoting

https://www.der-windows-papst.de/2020/01/05/google-chrome-kerberos-delegation/