Problemas con Kerberos en un DC Windows 2003

08/01/2008 - 13:47 por Manolo Avila | Informe spam
Hace un par de meses migramos nuestro dominio de Windows 2000 a
2003. Todo ha ido bien hasta ahora. Sin embargo, a principios de año
uno de nuestros controladores de dominio está dando problemas.

En concreto hemos observado que tiene pausado el servicio "Iniciar
sesión en red". Si arrancamos dicho servicio y forzamos la replicación
del AD da un error indicando que el servidor de origen está rechazando
las operaciones de réplica.

Echando un vistazo al registro del sistemas aparecen los siguientes
errores Kerberos.

- Origen: Kerberos
- Id. de suceso: 4
- Descripción: El cliente Kerberos ha recibido el error
KRB_AP_ERR_MODIFIED del servidor "DC_que_funciona". El nombre de
destino utilizado es ldap/DC_que_funciona.mi_dominio. Esto indica que
la contraseña utilizada para cifrar el vale del servicio Kerberos es
diferente a la del servidor de destino. Generalmente, esto se debe a
que hay cuentas de equipo con el mismo nombre en el dominio de destino
y en el dominio del cliente.

- Origen: Kerberos
- Id. de suceso: 5774
- Descripción: Se ha producido un error en el registro dinámico
del registro DNS '_kerberos._tcp.Nombre-predeterminado-primer-
sitio._sites.mi_dominio 600 IN SRV 0 100 88 DC_que_no_funciona.' en el
siguiente servidor DNS:
- Dirección IP del servidor: n.n.n.n
- Código de respuesta devuelto (RCODE): 5
- Código de estado devuelto: 9017
Para que los equipos y usuarios puedan localizar este controlador de
dominio, este registro deberá registrarse en DNS.

Hemos intentado que el DC problemático deje de ser DC, pero falla
el intento. También hemos probado a ejecutar Netdom para resetear las
claves, sin embargo, el problema persiste.

¿Alguien nos puede ayudar? Gracias por adelantado.

Preguntas similare

Leer las respuestas

#1 Eduardo Castro
08/01/2008 - 16:20 | Informe spam
Puedes intentar hacer un reset del account de la maquina. o sino un demote
del server con dcpromo

Slds

Eduardo Castro
Costa Rica

"Manolo Avila" wrote in message
news:
Hace un par de meses migramos nuestro dominio de Windows 2000 a
2003. Todo ha ido bien hasta ahora. Sin embargo, a principios de año
uno de nuestros controladores de dominio está dando problemas.

En concreto hemos observado que tiene pausado el servicio "Iniciar
sesión en red". Si arrancamos dicho servicio y forzamos la replicación
del AD da un error indicando que el servidor de origen está rechazando
las operaciones de réplica.

Echando un vistazo al registro del sistemas aparecen los siguientes
errores Kerberos.

- Origen: Kerberos
- Id. de suceso: 4
- Descripción: El cliente Kerberos ha recibido el error
KRB_AP_ERR_MODIFIED del servidor "DC_que_funciona". El nombre de
destino utilizado es ldap/DC_que_funciona.mi_dominio. Esto indica que
la contraseña utilizada para cifrar el vale del servicio Kerberos es
diferente a la del servidor de destino. Generalmente, esto se debe a
que hay cuentas de equipo con el mismo nombre en el dominio de destino
y en el dominio del cliente.

- Origen: Kerberos
- Id. de suceso: 5774
- Descripción: Se ha producido un error en el registro dinámico
del registro DNS '_kerberos._tcp.Nombre-predeterminado-primer-
sitio._sites.mi_dominio 600 IN SRV 0 100 88 DC_que_no_funciona.' en el
siguiente servidor DNS:
- Dirección IP del servidor: n.n.n.n
- Código de respuesta devuelto (RCODE): 5
- Código de estado devuelto: 9017
Para que los equipos y usuarios puedan localizar este controlador de
dominio, este registro deberá registrarse en DNS.

Hemos intentado que el DC problemático deje de ser DC, pero falla
el intento. También hemos probado a ejecutar Netdom para resetear las
claves, sin embargo, el problema persiste.

¿Alguien nos puede ayudar? Gracias por adelantado.
Respuesta Responder a este mensaje
#2 Guilermo Delprato [MS-MVP]
08/01/2008 - 22:21 | Informe spam
¿Como haz hecho la "migración" que dices, porque uno de los mensajes de
error da la pista que el problema puede venir por ese lado
("Generalmente, esto se debe a que hay cuentas de equipo con el mismo nombre
en el dominio de destino y en el dominio del cliente")

Si haces una búsqueda en AD con ese nombre ¿aparece más de un equipo?

Además, instala las Support Tools, y verifica con el Replmon cuánto hace que
no replican esos DCs



Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Manolo Avila" wrote in message
news:
Hace un par de meses migramos nuestro dominio de Windows 2000 a
2003. Todo ha ido bien hasta ahora. Sin embargo, a principios de año
uno de nuestros controladores de dominio está dando problemas.

En concreto hemos observado que tiene pausado el servicio "Iniciar
sesión en red". Si arrancamos dicho servicio y forzamos la replicación
del AD da un error indicando que el servidor de origen está rechazando
las operaciones de réplica.

Echando un vistazo al registro del sistemas aparecen los siguientes
errores Kerberos.

- Origen: Kerberos
- Id. de suceso: 4
- Descripción: El cliente Kerberos ha recibido el error
KRB_AP_ERR_MODIFIED del servidor "DC_que_funciona". El nombre de
destino utilizado es ldap/DC_que_funciona.mi_dominio. Esto indica que
la contraseña utilizada para cifrar el vale del servicio Kerberos es
diferente a la del servidor de destino. Generalmente, esto se debe a
que hay cuentas de equipo con el mismo nombre en el dominio de destino
y en el dominio del cliente.

- Origen: Kerberos
- Id. de suceso: 5774
- Descripción: Se ha producido un error en el registro dinámico
del registro DNS '_kerberos._tcp.Nombre-predeterminado-primer-
sitio._sites.mi_dominio 600 IN SRV 0 100 88 DC_que_no_funciona.' en el
siguiente servidor DNS:
- Dirección IP del servidor: n.n.n.n
- Código de respuesta devuelto (RCODE): 5
- Código de estado devuelto: 9017
Para que los equipos y usuarios puedan localizar este controlador de
dominio, este registro deberá registrarse en DNS.

Hemos intentado que el DC problemático deje de ser DC, pero falla
el intento. También hemos probado a ejecutar Netdom para resetear las
claves, sin embargo, el problema persiste.

¿Alguien nos puede ayudar? Gracias por adelantado.
Respuesta Responder a este mensaje
#3 Manolo Avila
17/01/2008 - 12:53 | Informe spam
Finalmente, todas las pruebas que hemos hecho relacionadas con
kerberos han sido infructuosas.

La solución final que nos ha resuelto el problema ha sido quitar el
servidor como DC por la fuerza. A continuación borramos los metadatos
referentes a éste servidor en el otro DC, y por último lo metemos de
nuevo en el dominio y lo promocionamos a DC.

La receta seguida la hemos sacado de los siguientes artículos de la
base de conocimientos de Microsoft: 555846 y 216498.

Gracias a todos por vuestra ayuda.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida