Kerberos Problem

[ditro 10]

Hallo zusammen,

 

ich habe in einer 2 DC Umgebung ein Kerberos Problem.

Die DCs stehen an unterschiedlichen Standorten.

 

Es sieht so aus, als ob der eine DC nicht per Kerberos kommunizieren kann.

Ich habe schon versucht das Computerkonto mit netdom resetpwd /s:Server /ud:Domäne\Benutzer /pd:* zurückzusetzen. Leider ohne Erfolg.

 

Ich bekomme beim Replizieren folgende Fehler: Der Zielprinzialname ist falsch. (siehe Screenshot)

Im Eventlog finde ich folgende Kerberos Fehler.

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "pflegedc01$" empfangen. Der verwendete Zielname war ldap/pflegedc01.XXX.XX. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte (siehe Screenshot).

 

Was kann ich tun?

 

Vielen dank für eure Hilfe

 

Dennis

[olc 18]

Hi,

 

hast Du vor dem Rücksetzen des Kennworts den KDC Dienst gestoppt auf dem fehlerhaften DC und war der Zielserver für die Kennwortrücksetzung der "funktionierende" DC?

 

Falls nicht:

1. auf fehlerhaften DC KDC Dienst stoppen und deaktivieren.

2. Compterkonto reset des fehlerhaften DCs gegen den funktionierenden DC.

3. Neustart des fehlerhaften DCs.

4. Replikation prüfen.

5. KDC Dienst wieder auf automatischen Start setzen auf dem nun hoffentlich wieder replizierenden DC.

 

Viele Grüße

olc

[daabm 1.366]

Schritt 2 braucht man in diesem Szenario nicht Der ist nur erforderlich, wenn der fehlerhafte DC sein Computerkennwort in der Zwischenzeit geändert hätte.

[olc 18]

Das Problem ist, dass das Kennwort manuell durch den TO geändert wurde. Da nicht klar ist, gegen welchen DC die Änderung durchgeführt wurde hat es durchaus Sinn, es noch einmal richtig zu machen. :)

 

Viele Grüße

olc

[daabm 1.366]

...stimmt - hab ich net ganz realisiert