Contact
Line : comsiam
Kerberos เป็นระบบยืนยันตัวตนหลักของ Active Directory บน Windows Server 2025 ซึ่งถูกใช้งานแทบทุกครั้งที่ผู้ใช้ Login เข้าสู่ Domain, เปิด Shared Folder, ใช้งาน SQL Server, Exchange Server หรือบริการต่าง ๆ ภายในองค์กร
เมื่อ Kerberos เกิดปัญหา ผู้ใช้อาจ Login ไม่ได้, เข้า File Server ไม่ได้, Join Domain ไม่ได้ หรือเกิด Error เกี่ยวกับ Authentication จำนวนมาก ดังนั้นการเข้าใจและวิเคราะห์ Kerberos Error จึงเป็นทักษะสำคัญของผู้ดูแลระบบ
บทความนี้จะช่วยให้คุณหาสาเหตุและแก้ไข Kerberos Error อย่างเป็นขั้นตอน
① Kerberos คืออะไร
Kerberos คือ Protocol สำหรับการยืนยันตัวตน
ที่ใช้แนวคิด
Ticket-Based Authentication
แทนการส่งรหัสผ่านไปมาในเครือข่าย
โดยมีองค์ประกอบหลักคือ
- Client
- Domain Controller
- Service Server
เมื่อระบบทำงานปกติ ผู้ใช้จะได้รับ Ticket เพื่อเข้าใช้งานทรัพยากรต่าง ๆ
② อาการที่พบบ่อย
อาการที่พบได้ เช่น
- Login Domain ไม่ได้
- Access File Share ไม่ได้
- SQL Authentication ล้มเหลว
- RDP ไม่ได้
- Join Domain ไม่ได้
- Group Policy ไม่ทำงาน
ข้อความ Error ที่พบบ่อย เช่น
KRB_AP_ERR_MODIFIED
KDC_ERR_PREAUTH_FAILED
KRB_AP_ERR_SKEW
③ ตรวจสอบเวลาในระบบก่อน
สาเหตุอันดับหนึ่งของ Kerberos Error คือ
เวลาไม่ตรงกัน
ตรวจสอบ
w32tm /query /status
โดยทั่วไป
Client และ Domain Controller
ไม่ควรมีเวลาต่างกันเกิน
5 นาที
④ ตรวจสอบ Time Synchronization
บน Domain Controller
ใช้คำสั่ง
w32tm /query /configuration
ตรวจสอบว่า
- PDC Emulator
- NTP Source
- Time Service
ทำงานถูกต้อง
เพราะ Kerberos พึ่งพาเวลาอย่างมาก
⑤ ตรวจสอบ DNS
Kerberos พึ่งพา DNS ในการค้นหา Domain Controller
ทดสอบ
nslookup yourdomain.local
nslookup dc01.yourdomain.local
หาก Resolve ไม่ได้
Kerberos จะทำงานผิดพลาดทันที
⑥ ตรวจสอบ Domain Controller
ตรวจสอบบริการ
- Active Directory Domain Services
- DNS Server
- Kerberos Key Distribution Center
บริการทั้งหมดต้องอยู่ในสถานะ
Running
⑦ ตรวจสอบ Ticket ด้วย KLIST
บน Client
ใช้คำสั่ง
klist
เพื่อตรวจสอบ
- Kerberos Ticket
- Ticket อายุเท่าใด
- Ticket หมดอายุหรือไม่
ข้อมูลนี้ช่วยวิเคราะห์ปัญหาได้ดีมาก
⑧ ล้าง Kerberos Ticket
บางครั้ง Ticket ที่เสียหายทำให้เกิด Error
ล้าง Ticket ด้วย
klist purge
จากนั้น Logout และ Login ใหม่
เพื่อสร้าง Ticket ใหม่
⑨ ตรวจสอบ Service Principal Name (SPN)
SPN ผิดพลาดเป็นสาเหตุที่พบได้บ่อย
โดยเฉพาะ Error
KRB_AP_ERR_MODIFIED
ตรวจสอบด้วย
setspn -L accountname
หากพบ SPN ซ้ำ
ต้องแก้ไขก่อน
⑩ ตรวจสอบ SPN ซ้ำ
ค้นหา SPN ซ้ำทั้ง Domain
setspn -X
Duplicate SPN เป็นสาเหตุสำคัญของปัญหา Kerberos
โดยเฉพาะใน SQL Server และ IIS
⑪ ตรวจสอบ Event Viewer
เปิด
Event Viewer
ค้นหา Event
- Kerberos
- KDC
- Security
Event ที่พบบ่อย เช่น
- 4
- 7
- 11
- 14
ข้อมูลเหล่านี้ช่วยระบุสาเหตุได้ละเอียดมาก
⑫ ตรวจสอบ Computer Account
หากเป็นเครื่อง Client
ตรวจสอบ
- Trust Relationship
- Machine Password
- Computer Account
บางครั้ง Kerberos Error เกิดจาก Computer Account มีปัญหา
⑬ ตรวจสอบ Replication
หากมีหลาย Domain Controller
ตรวจสอบ
repadmin /replsummary
ข้อมูล Active Directory ที่ไม่ตรงกัน
อาจทำให้ Kerberos ทำงานผิดพลาด
⑭ วิธีป้องกัน Kerberos Error
แนวทางที่แนะนำ
- ใช้ DNS ภายในองค์กร
- ตรวจสอบเวลาให้ตรงกันเสมอ
- ตรวจสอบ SPN อย่างสม่ำเสมอ
- ตรวจสอบ Active Directory Replication
- ใช้ Monitoring System
- ตรวจสอบ Event Viewer เป็นประจำ
ทีมงาน comsiam มักแนะนำให้ตรวจสอบเวลาและ DNS เป็นอันดับแรกทุกครั้งที่เกิด Kerberos Error เพราะเป็นสาเหตุที่พบได้บ่อยที่สุดในระบบ Active Directory
⑮ สรุป
Kerberos Error บน Windows Server 2025 มักเกี่ยวข้องกับ Time Synchronization, DNS, SPN, Active Directory Replication หรือ Computer Account การวิเคราะห์อย่างเป็นลำดับช่วยลดเวลาการแก้ปัญหาได้อย่างมาก
สำหรับองค์กรที่ใช้ Active Directory เป็นศูนย์กลาง comsiam แนะนำให้ติดตามสุขภาพของ DNS, Domain Controller และ Time Service อย่างต่อเนื่อง เพราะทั้งสามส่วนมีผลโดยตรงต่อ Kerberos Authentication ทั้งระบบ
คำถามชวนคิด
เมื่อผู้ใช้ Login ไม่ได้และระบบแจ้ง Kerberos Error คุณสามารถระบุได้ทันทีหรือไม่ว่าปัญหาเกิดจากเวลา, DNS หรือ SPN หรือยังต้องเริ่มต้นตรวจสอบทุกอย่างใหม่ทั้งหมด?
