dimecres, 13 de juny de 2012

Problemas Kerberos al iniciar sesión en un DC Windows 2003/2008

Si se tienen problemas de kerberos en un dc Windows 2003/2008 que no unicia sesión lo primeros que debemos hacer desde todos los otros DC's es ejecutar el comando "net view \\DC"


si nos da "Access is denied" y los mensajes de evento en el servidor de eventos son los siguientes:


Source: Userenv
Event ID: 1053

Description:
Windows cannot determine the user or computer name. (Access is denied). Group Policy processing aborted.


Event ID: 1925
Source: NTDS KCC
Description:
The attempt to establish a replication link for the following writable directory partition failed.

Directory partition:
CN=Schema,CN=Configuration,DC=domain,DC=com
Source domain controller:
CN=NTDS Settings,CN=SRVDC1,CN=Servers,CN=SiteName,CN=Sites,CN=Configuration,DC=domain,DC=com
Source domain controller address:
123cc9fa-1231-48f8-8f8b-1233efbc5c80._msdcs.domain.com
Intersite transport (if any):

This domain controller will be unable to replicate with the source domain controller until this problem is corrected. 

User Action
Verify if the source domain controller is accessible or network connectivity is available.

Additional Data
Error value:
5 Access is denied.


El Problema es por culpa  del ticket de kerberos.

  • Primero debemos mirar las horas de todos los DC's que estén sincronizadas.
  • En Caso contrario desde un segundo dc conectamos al dc que tiene el problema y ponemos el servicio kerberos en manual.
  • Reinicio del servidor con el error y ya nos dejara entrar en consola, este reinicio puede tardar mas de lo normal.
  • Ejecutamos la utilidad de borrado de ticket kerberos  KLIST PURGE 
  • Reseteamos la contraseña del equipo en el dominio netdom resetpwd /s:peerdc /ud:domain\user /pd:*
  • Se pone el servicio de kerberos en automático y reiniciamos el servidor
  • forzamos la replica de los controladores de dominio

Cap comentari:

Publica un comentari