ไม่สามารถรับข้อมูลประจำตัวสำหรับบัญชีคอมพิวเตอร์ - ไม่พบไคลเอนต์ในฐานข้อมูล kerberos

ฉันเข้าร่วมเครื่อง Ubuntu (Ubuntu 20.04 LTS) กับ Active Directory สำเร็จแล้ว ดังนั้น ฉันสามารถเข้าสู่ระบบด้วยบัญชี AD รับและต่ออายุตั๋ว Grantin Ticket สำหรับผู้ใช้ และเข้าถึงการแชร์เครือข่ายด้วยการตรวจสอบสิทธิ์ Kerberos

อย่างไรก็ตาม ฉันต้องดิ้นรนเพื่อให้ได้ข้อมูลประจำตัวเริ่มต้นสำหรับบัญชีคอมพิวเตอร์:

admin@comp01:~$ sudo KRB5_TRACE=/dev/stdout kinit -kt /etc/krb5.keytab
[sudo] รหัสผ่านสำหรับผู้ดูแลระบบ:
[232252] 1645435537.855061: รับข้อมูลรับรองเริ่มต้นสำหรับ host/[email protected]
[232252] 1645435537.855062: ค้นหา etypes ในแท็บคีย์: rc4-hmac, aes128-cts, aes256-cts
[232252] 1645435537.855064: กำลังส่งคำขอที่ไม่ผ่านการรับรองความถูกต้อง
[232252] 1645435537.855065: กำลังส่งคำขอ (187 ไบต์) ไปยัง COMPANY.LAN
[232252] 1645435537.855066: กำลังส่งคำขอ UDP เริ่มต้นไปที่ dgram 172.27.17.6:88
[232252] 1645435537.855067: ได้รับคำตอบ (84 ไบต์) จาก dgram 172.27.17.6:88
[232252] 1645435537.855068: คำตอบมาจากมาสเตอร์ KDC
[232252] 1645435537.855069: ได้รับข้อผิดพลาดจาก KDC: -1765328378/ไม่พบไคลเอ็นต์ในฐานข้อมูล Kerberos
kinit: ไม่พบไคลเอนต์ 'host/[email protected]' ในฐานข้อมูล Kerberos ขณะรับข้อมูลประจำตัวเริ่มต้น

ฉันใช้เวลาหลายชั่วโมงกับปัญหานั้นโดยไม่มีความคืบหน้า ฉันอาจขาดขั้นตอนสำคัญบางอย่าง หลักการที่ร้องขอมีอยู่ในแท็บคีย์บนเครื่องบนเครื่องอูบุนตู:

root@comp01:~$ klist -kte
ชื่อแท็บคีย์: FILE:/etc/krb5.keytab
อาจารย์ใหญ่ประทับเวลา KVNO
----- --------------------- --------------------------- ---------------------------
   4 17/02/2022 07:34:59 [email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 [email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 [email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 RestrictedKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes256-cts-hmac-sha1-96)

และหลักการยังลงทะเบียนใน AD-Domain controller:

> setspn -L comp01
การลงทะเบียน Dienstprinzipalnamen (SPN) für CN=COMP01,CN=Computers,DC=company,DC=lan:
            จำกัดKrbHost/comp01.company.lan
            host/comp01.company.lan
            KrbHost/COMP01 ที่จำกัด
            โฮสต์/COMP01

เครื่องอูบุนตูเข้าร่วม AD-Domain โดยใช้

> อาณาจักร เข้าร่วม company.lan

และไฟล์การกำหนดค่า Kerberos เป็นดังนี้:

[libdefaults]
        default_realm = COMPANY.LAN
        ccache_type = 4
        ส่งต่อได้ = จริง
        ใกล้เคียง = จริง
        fcc-mit-ticketflags = จริง
[อาณาจักร]
        COMPANY.LAN = {
                kdc = DC.company.lan
                admin_server = DC.company.lan
                default_domain = company.lan
        }
[domain_realm]
        .company.lan = บริษัท.LAN
        company.lan = COMPANY.LAN

DNS ไปข้างหน้าและย้อนกลับก็ดูดีเช่นกัน:

> nslookup comp01
เซิร์ฟเวอร์: DC.company.lan
ที่อยู่: 172.27.17.41

ชื่อ: comp01.company.lan
ที่อยู่: 172.27.17.131

> nslookup 172.27.17.131
เซิร์ฟเวอร์: DC.company.lan
ที่อยู่: 172.27.17.41

ชื่อ: comp01.company.lan
ที่อยู่: 172.27.17.131

ฉันรู้สึกขอบคุณจริง ๆ สำหรับคำแนะนำใด ๆ ที่แนะนำฉันไปในทิศทางที่ถูกต้อง