Сервер Windows 2008 на Домене 2003 года, приводя к сбою kerberos предавтора

0x19 соответствует 19 в шестнадцатеричной нотации, которая является 25 в десятичном числе: "Дополнительная предварительная аутентификация, требуемая*"

Я думаю, что с Windows 2008, NTLM был устранен как метод аутентификации. Это оставляет Kerberos как единственную опцию. У нас была подобная проблема, когда мы выставили 2 008 машин в нашей тестовой среде. Оказалось, что часы были достаточно вне синхронизации (т.е.>. 5 минут) с доменного времени. Машины 2003 хорошо работали, так как они просто отступили к NTLM, когда Kerberos перестал работать. Обеспечение, что машины все имели общий источник NTP (набор через GPO) устранило нашу проблему.

Поскольку Kerberos обменивается сообщениями, я всегда проверяю, что SPN's сервера (Сервисные Имена Принципала) не дублирован. Kerberos, кажется, использует SPN's для присоединения к пользователю/учетным записям компьютера, не name/CN/samaccountname. ADSIEdit может использоваться для наблюдения SPN's и поиск простофиль.

Ошибка Kerberos (0x) 19 на самом деле соответствует 'учетным данным для сервера, были отменены' - посмотрите RFC для списка kerberos кодов ошибок - очень полезный для поиска и устранения неисправностей. Дополнительная предварительная аутентификация (0x25) средства существует более определенные ошибочные доступные данные в поле ошибочного типа (можно относиться для разделения 5.9.1 из RFC), но снова, 0x19 указывает, что учетные данные сервера не функционируют правильно.

Хотя это обычно вызывает все же другую ошибку, я проверил бы скос времени серверов 2008 сначала. Затем я попытался бы удалить их с того времени возражающий к домену.