Toon posts:

Windows 2003 Kerberos probleem na de vakantie

Pagina: 1
Acties:
  • 1.393 views sinds 30-01-2008
  • Reageer

donderdag 30 augustus 2007 11:50

Acties:

Verwijderd

Topicstarter
Onze vakantie is inmiddels afgelopen en voor de vakantie is het 1 en ander veranderd in ons netwerk.

Ik had voor de vakantie in ISAServer een configuratie foutje gemaakt waardoor 6 weken de domaincontrollers geen connectie meer met elkaar hadden.

Dit is inmiddels hersteld alleen treed nu het volgende probleem op:
Kerberos Event:4
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/is-mm-dc.domain.nl. The target name used was DOMAIN\IS-MM-DC$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (DOMAIN.NL), and the client realm. Please contact your system administrator.
Het duurt erg lang voordat gebruikers zich kunnen aanmelden op het netwerk.

De server IS-MM-DC is master van RID, PDC en Infrastructure. We hebben 3 server waarvan 2 op een andere locatie. Deze servers synchroniseren met elkaar via een VPN verbinding. De 2 op de andere locatie hebben dit probleem.

192.168.2.200 IS-MM-DC
192.168.10.150 BE-MM-DC
192.168.10.200 BE-MM-DS

De servers kunnen elkaar via IP bereiken probleemloos bereiken maar de servers BE-MM-DC en BE-MM-DS kunnen IS-MM-DC niet bereiken met de DNS of NETBIOS naam. Er volgt een melding:
"Logon Failure: The Target account name is incorrect"
Andersom kan IS-MM-DC wel BE-MM-DC en BE-MM-DS bereiken.

Het adres IS-MM-DC is prima te resolven via DNS. DCDiag geeft als enige error dat KnowofRolHolders niet klopt.Het repliceren tussen de verschillende domaincontrollers lukt wel.

Heeft iemand enig idee wat ik hier aan kan doen?

EDIT: Dit probleem treed ook op bij een ander domein dat via dezelfde VPN verbinding werkt. Het lijkt er op dat Windows de verbinding niet meer vertrouwd omdat er 5 weken lang geen verbinding mogelijk was.

[ Voor 5% gewijzigd door Verwijderd op 30-08-2007 12:50 ]

donderdag 30 augustus 2007 13:28

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
http://technet2.microsoft...7060f901033.mspx?mfr=true

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 30 augustus 2007 13:36

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Wijze les: doe dat soort dingen dus niet als je 6 weken die servers niet kan bekijken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 30 augustus 2007 13:41

Acties:

Verwijderd

Topicstarter
alt-92 schreef op donderdag 30 augustus 2007 @ 13:36:
Wijze les: doe dat soort dingen dus niet als je 6 weken die servers niet kan bekijken.
Alles leek te werken --> Vervolgens vakantie.

Vlak voor de vakantie is het bovendien de enige tijd dat het netwerk ongebruikt is en zonder zorgen alles aan te passen is.

donderdag 30 augustus 2007 13:44

Acties:

Verwijderd

Topicstarter
sanfranjake schreef op donderdag 30 augustus 2007 @ 13:28:
http://technet2.microsoft...7060f901033.mspx?mfr=true
Deze melding krijg ik niet in mijn eventlogs te zien, bovendien gaat het repliceren wel goed tussen de domaincontrollers.

Maar wel 1 richting... Dus IS-MM-DC --> BE-MM-DS of IS-MM-DC --> BE-MM-DC. Andersom lukt niet.

donderdag 30 augustus 2007 13:50

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Welke eventid's krijg je precies allemaal, en wat had je er al mee gevonden bij bijvoorbeeld eventid.net?

DNS tests gedaan? Dit kan ook daar door komen. Wat zie je verder met dcdiag, dcdiag, nltest etc ?
Maar deze events kunnen als de replicatie weer een tijdje goed loopt ook vanzelf verdwijnen.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 30 augustus 2007 14:14

Acties:

Verwijderd

Topicstarter
sanfranjake schreef op donderdag 30 augustus 2007 @ 13:50:
Welke eventid's krijg je precies allemaal, en wat had je er al mee gevonden bij bijvoorbeeld eventid.net?

DNS tests gedaan? Dit kan ook daar door komen. Wat zie je verder met dcdiag, dcdiag, nltest etc ?
Maar deze events kunnen als de replicatie weer een tijdje goed loopt ook vanzelf verdwijnen.
Ik krijg:
"Logon failure: the target account name is incorrect"
wanneer ik probeer te repliceren van BE-MM-DS --> IS-MM-DC andersom gaat het wel goed.

In de eventlog van de IS-MM-DC server heb ik geen fouten. DCDIAG geeft ook geen fouten aan.

In de eventlog van andere servers krijg ik:
Kerberos Event:4
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/is-mm-dc.domain.nl. The target name used was DOMAIN\IS-MM-DC$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (DOMAIN.NL), and the client realm. Please contact your system administrator.
Dcdiag geeft alleen de volgende melding aan:
Starting test: KnowsOfRoleHolders
Warning: IS-MM-DC is the PDC Owner, but is not responding to DS RPC Bin
d.
[IS-MM-DC] LDAP bind failed with error 8341,
A directory service error has occurred..
Warning: IS-MM-DC is the PDC Owner, but is not responding to LDAP Bind.

Warning: IS-MM-DC is the Rid Owner, but is not responding to DS RPC Bin
d.
Warning: IS-MM-DC is the Rid Owner, but is not responding to LDAP Bind.

Warning: IS-MM-DC is the Infrastructure Update Owner, but is not respon
ding to DS RPC Bind.
Warning: IS-MM-DC is the Infrastructure Update Owner, but is not respon
ding to LDAP Bind.
Enkele clients (de meeste werken prima) krijgen ook de melding in KRB_AP_ERR_MODIFIED, deze kunnen het profiel niet vinden omdat \\is-mm-dc\profiles$\ niet te bereiken is. (Wachtwoord fout) Vreemd is dat deze clients wel naar \\is-mm-dc\ kunnen gaan maar niet naar \\is-mm-dc\profiles$ of \\is-mm-dc\sysvol omdat dan het wachtwoord niet klopt.

donderdag 30 augustus 2007 14:22

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Servers al een voor een herstart? En misschien alles eens opnieuw in dns laten registreren (forward en reverse)?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 30 augustus 2007 14:29

Acties:

Verwijderd

Topicstarter
sanfranjake schreef op donderdag 30 augustus 2007 @ 14:22:
Servers al een voor een herstart? En misschien alles eens opnieuw in dns laten registreren (forward en reverse)?
Ja dat had ik al geprobeerd. Ik heb op 2 domein dit probleem (via dezelfde VPN server), dat heeft voor 1 de oplossing gebracht. Helaas is er nog steeds 1 domain die dit probleem blijft geven.

donderdag 30 augustus 2007 14:38

Acties:

Verwijderd

Topicstarter
Ik heb op de domaincontroller nu ook meldingen van andere servers welke geen domaincontroller zijn:
Kerberos Event:4
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/is-mm-tc.domain.nl. The target name used was DOMAIN\IS-MM-TC$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (DOMAIN.NL), and the client realm. Please contact your system administrator.

donderdag 30 augustus 2007 22:59

Acties:
  • Dafjedavid
  • Registratie: Januari 2003
  • Laatst online: 06-12-2025

Dafjedavid

Info genoeg over te vinden:

Bookmark http://www.eventid.net :-)

http://eventid.net/displa...8&source=Kerberos&phase=1 is een goeie link die naar event-id 4 verwijst.
Lang artikel dus vermoed dat er wel de oplossing instaat.
Ik vermoed dat je "machine-wachtwoord" is verlopen. Tombstone lifetime zal wel verlopen zijn.

[ Voor 6% gewijzigd door Dafjedavid op 30-08-2007 22:59 ]

Who Needs Windows...

vrijdag 31 augustus 2007 12:06

Acties:

Verwijderd

Topicstarter
Dafjedavid schreef op donderdag 30 augustus 2007 @ 22:59:
Info genoeg over te vinden:

Bookmark http://www.eventid.net :-)

http://eventid.net/displa...8&source=Kerberos&phase=1 is een goeie link die naar event-id 4 verwijst.
Lang artikel dus vermoed dat er wel de oplossing instaat.
Ik vermoed dat je "machine-wachtwoord" is verlopen. Tombstone lifetime zal wel verlopen zijn.
Ik had Eventid al gelezen. Het probleem is nu opgelost door met Netdom.exe het machineaccount te resetten.

Ik krijg nog wel wat vreemde meldingen maar daar kom ik vast uit nu alles weer lijkt te werken.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq