KRB_AP_ERROR_MODIFIED und AD kaputt ...

[Nimral 12]

Hallo Leute,

 

cih soll ein AD flicken, bei dem sich zwei Server (M1 und M2) nach einer längren Netzwerktrennung (4 Monate!) weigern, mit zwei anderen Servern (RC1 und SC1) kontakt aufzunehmen.

 

Als vermutlich "unterste" Fehlermeldung konnte ich Eventlogs von Kerberos identifizieren: Fehler 5: KRB_AP_ERROR_MODIFIED. Computerkonto abgelaufen, oder eventuell doppeltes Computerkonto (kann man ausschließen). Nun ja, unlogisch wärs nicht, dass irgendwas, ich vermute mal die Computerkonten von M1 und M2, auf RC1 und SC1 abgelaufen sind. Leider ist es mir nicht gelungen, hier irgendeine vernünftige Diagnose zustande zu bringen, da praktisch alle Befehle sofort mit "Access denied" abgebügelt wurden, darunter auch Netdom pwdreset, und Befehle wie DCDiag schütten praktisch von der ersten Sekunde an den kompletten Bildschirm mit abstrusen Meldungen zu - vermutlich lauter Folgefehler einer grundlegend gestörten Kommunikation mit SC1 und RC1 und allen FSMOs.

 

SC1 und RC1 kommunizieren augenscheinlich problemlos miteinander, ebenso M1 und M2, nur zwischen den beiden klafft ein Graben. Trivialquatsch wie DNS und IP Probleme wurden bereits sicher ausgeschlossen.

 

Es würde vermutlich klappen, M1 und M2 zu demoten und dann wieder in die Domäne zu promoten, aber dieser brachiale Weg ist für mich ziemlich der allerletzte Ausweg, da die von M1 und M2 gesammelten Daten - tolles Design, aber es kommt nicht von mir - in ein schemamodifiziertes AD gekippt wurden, und ich diese vor einem depromote erst mühselig von den Anlagen kratzen muss. Außerdem ist das Anlagenverhalten so nicht tolerierbar, wenn ich es nicht schaffe, die Kommunikation mit ein paar beherrschbaren Befehlen sauber wiederherzustellen ohne eine Seite abzureißen muss sie grundlegend redesigned werden. Schließlich kann man nicht jedes Mal, wenn ein Container zurückkommt, eine halbe Domäne abreißen und neuabuen müssen.

 

Auf der Suche nach KRB_AP_ERROR_MODIFIED habe ich ziemlich ins Leere gelangt, ein paar sporadische Fitzelchen Halbinformation weisen in Richtung "Abgelaufenes Computerkonto". Leider sind so ziemlich alle dafür angebotenen Workarounds, von netdom über Computerkonten-Reset mit der Users und Computers Konsole bei einem Domänen-Controller entweder nicht möglich, oder sie endeten in Access Denied Meldungen.

 

Als wahrscheinlichste Ursache vermute ich im Moment eine klassische Katze, die sich in den Schwanz beißt: M1 und M2 versuchen, sich mit unpassenden Credentials bei SC1 und SC2 zu authentifizieren, können aber genau deswegen auch keine korrekten Informationen beziehen. Sorry wenn ich mich schwammig ausdrücke, aber irgendwo hier unten enden meine Kenntnisse über die interna von Computerkonten und Kerberos, und dummerweise auch die MS Dokumentation, in ziemlich unbrauchbaren Fetzen von zusammenhanglosem und teilweis widersprüchlichem Halbwissen.

 

Gretchenfrage: wie zieht sich ein Computer, dessen domänenseitiges Konto ohne sein Beisein abgelaufen ist, wieder aus dem Sumpf? Irgendwie muss er wohl an neue Anmeldeinfos, Schlüssel, Zertifikate, was weiß ich, kommen, kann aber nicht, da er keine sichere Verbindung zum Zielserver hinbekommt. Wer kann mich mit der nase auf die richtigen Infos stoßen wo ich fundiert nachlesen kann, wie der ganze Mechanismus funktioniert und wie man hier Diagnose betreibt?

 

thx

 

AL.

[NilsK 2.930]

Moin,

 

man könnte dir erheblich besser helfen, wenn du auf all diese coolen Wortfetzen verzichten und dich einfach auf die Fakten konzentrieren würdest ...

 

Dein Grundproblem dürfte sein, dass die DCs länger nicht an der Replikation beteiligt waren (>120 Tage) als die Tombstone Lifetime (sehr wahrscheinlich 60 Tage) es zulässt. Wenn dem so ist, gibt es außer dcpromo keinen Weg.

 

Prüfe das erst, denn dann sind alle weiteren Ansätze hinfällig und du kannst dich auf die Demotion konzentrieren.

 

faq-o-matic.net » Das Geheimnis der Tombstone Lifetime

 

Gruß, Nils