Algumas semanas atrás, tivemos um problema em um cliente e fui acionado
logo a noite para estar logo cedo em um cliente externo para resolver um desastre
em um cliente externo. Após a aplicação do patch de atualização do horário de
verão os controladores de domínio adiantaram para setembro. Depois de uma hora,
foi percebido este problema, e os relógios foram ajustados, a partir daí o
cenário de problema estava feito.
Tive apenas um controlador que ficou com o horário ok. Ele ée o
mantenedor de todas FSMO do domínio. Os controladores que foram adiantados,
começaram a gerar o erro:
Source: Kerberos
Event ID: 4
Description:
The kerberos client
received a KRB_AP_ERR_MODIFIED error from the server
host/srvdc1.domain.com. The target name
used was cifs/SRVX.domain.com. This indicates that the password used to encrypt
the kerberos service ticket is different than that on the target server.
Commonly, this is due to identically named machine accounts in the target realm
(DOMAIN.COM), and the client realm. Please
contact your system administrator.
Após pensar um pouco, ficou bem claro… quando as máquina foram
adiantadas de horário, fizeram a tentativa de sicronização de AD… e os tickets
foram embora, pois havia uma diferença de UTC de mais de 6 meses..
Tinha duas possibilidades… reconstruir meus ADs secundários (tirando e
colocando no domínio novamente), ou reconstruir os tickets… Acabei optanto por
resetar os tickets… poderia parecer mais difícil, mas seria o mais correto..
vamos ao procedimento:
1) Instalar o Support tools
do 2003 no controlador do problema
a. Pode se encontrar dentro
de Support\Tools do CD do windows 2003
2) Pare o serviço Kerberos Key Distribution
Center
3) Remover o cache do ticket
no controlador afetador. Para fazer tal:
a. Abra o Kerb Tray que está
no Windows 2003 Resource Kit
i. Click com o botão direito
no KerbTray que após aberto fica ao lado do relógio
ii. Selecione Purge
4) Resetar a senha da máquina
a. na linha de comando
digite:
6) Restart o controlador de
domínio
7) Force a replicação de
todos DCs.
a. Verifique com o comando
abaixo se foi tudo ok
repadmin /replsum
/bysrc /bydest /sort:delta
Desta maneira tudo foi feito com sucesso Lembrando que isto daria também para fazer
com máquina normal, a única coisa que muda é a parte de parar o serviço do
kerberos, que apenas está presente nos controladores de domínio.
Caso fosse optado por refazer teriamos 2 opções:
-Máquina do zero, e dá um DCPROMO
-Máquina do zero, mas dando reset na conta do controlador de domínio
(na dá para servidores exchange )
O procedimento foi feito com sucesso, e sem dor de cabeça nenhuma. Em
menos de 2 horas, tinha todo meu ambiente estava no ar, sem erros, e replicando