Erro nos Tiquets de autenticação do Kerberos entre os DC´s

Algumas semanas atrás, tivemos um problema em um cliente e fui acionado logo a noite para estar logo cedo em um cliente externo para resolver um desastre em um cliente externo. Após a aplicação do patch de atualização do horário de verão os controladores de domínio adiantaram para setembro. Depois de uma hora, foi percebido este problema, e os relógios foram ajustados, a partir daí o cenário de problema estava feito.

Tive apenas um controlador que ficou com o horário ok. Ele ée o mantenedor de todas FSMO do domínio. Os controladores que foram adiantados, começaram a gerar o erro:

Source: Kerberos

Event ID: 4

Description:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/srvdc1.domain.com.  The target name used was cifs/SRVX.domain.com. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (DOMAIN.COM), and the client realm.   Please contact your system administrator.

Após pensar um pouco, ficou bem claro… quando as máquina foram adiantadas de horário, fizeram a tentativa de sicronização de AD… e os tickets foram embora, pois havia uma diferença de UTC de mais de 6 meses..

Tinha duas possibilidades… reconstruir meus ADs secundários (tirando e colocando no domínio novamente), ou reconstruir os tickets… Acabei optanto por resetar os tickets… poderia parecer mais difícil, mas seria o mais correto.. vamos ao procedimento:

1)      Instalar o Support tools do 2003 no controlador do problema

a.      Pode se encontrar dentro de Support\Tools do CD do windows 2003

2)      Pare o serviço Kerberos Key Distribution Center

3)      Remover o cache do ticket no controlador afetador. Para fazer tal:

a.      Abra o Kerb Tray que está no Windows 2003 Resource Kit

i.      Click com o botão direito no KerbTray que após aberto fica ao lado do relógio

ii.      Selecione Purge

4)     Resetar a senha da máquina

a.      na linha de comando digite:

6)      Restart o controlador de domínio

7)      Force a replicação de todos DCs.

a.       Verifique com o comando abaixo se foi tudo ok

repadmin /replsum /bysrc /bydest /sort:delta

Desta maneira tudo foi feito com sucesso  Lembrando que isto daria também para fazer com máquina normal, a única coisa que muda é a parte de parar o serviço do kerberos, que apenas está presente nos controladores de domínio.

Caso fosse optado por refazer teriamos 2 opções:

-Máquina do zero, e dá um DCPROMO

-Máquina do zero, mas dando reset na conta do controlador de domínio (na dá para servidores exchange  )

O procedimento foi feito com sucesso, e sem dor de cabeça nenhuma. Em menos de 2 horas, tinha todo meu ambiente estava no ar, sem erros, e replicando