Martia
14-07-2015, 10:50
Даже не знаю, с чего начать.
Изначально всё работало. Из-за регулярных многочасовых перебоев с питанием начались проблемы. С репликацией домена. Теперь ошибок очень много и не ясно, за что браться.
1 домен. 2 сайта (сеть территориально разрозненная): 10.10.1.0/24 и 192.168.1.0/24. В каждой из сетей стоит КД.
------------------------------------------------------------------- ДОМЕН (spel.local) -----------------------------------------------------
---------- САЙТ1 uzory (10.10.1.0/24) ------------------- ИНТЕРНЕТ ------------------- САЙТ2 spelpais (192.168.1.0/24)----
КД1 mnsuzdc1 10.10.1.1 <--> ШЛЮЗ (10.10.1.10) < ----------- > ШЛЮЗ dc1 (192.168.1.1) <--> КД2 (192.168.1.10)
Обе сети настроены одинаково.
На КД1 и КД2 настроены (AD, DHCP, DNS). Windows Server 2008 R2.
Шлюзы - Kerio Control.
В одно прекрасное воскресенье, после 15-часового отсутствия электричества, КД2 при включении не смог запустить свой DNS-сервер. Из-за того, что после загрузки не смог прочитать локальные политики (?).
Многие серверы (сайт2) в тот день так же не сумев прочитать необходимые политики, отказались исправно функционировать.
Решилась проблема добавлением на КД2 вторичного адреса DNS (10.10.1.1). Настройки были прочитаны. Всё запустилось. Только, видимо, не заработала репликация AD.
Через некоторое время из сети (192.168.1.0/24) исчез доступ к сети (10.10.1.0/24). Точнее доступ был. Пинг шёл. Можно было подключиться по ip. Но при попытке подключиться используя имя компьютера получалась
Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 14.07.2015
Время: 9:24:28
Пользователь: Н/Д
Компьютер: D100
Описание:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server mnsuzdc1$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (SPEL.LOCAL), and the client realm. Please contact your system administrator.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
На сервере эта же ошибка выглядит так:
Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата: 14.07.2015 10:09:38
Код события: 4
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc1.spel.local
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера mnsuzdc1$. Использовалось конечное имя cifs/mnsuzdc1.spel.local. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (SPEL.LOCAL) отличен от домена клиента (SPEL.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
Появляется много одинаковых ошибок Kerberos код 4 с единственной разницей:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера mnsuzdc1$. Использовалось конечное имя ...
Использовалось конечное имя cifs/mnsuzdc1.spel.local
Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/e0083eda-418f-46f4-80b4-ae60d5a9463d/spel.local@spel.local
Использовалось конечное имя DNS/mnsuzdc1.spel.local
Использовалось конечное имя SPEL\MNSUZDC1$.
Были снесены не только возможные устаревшие записи на DNS серверах, были снесены все зоны. Включая _msdcs. Настроены по-новой с нуля. Зоны включены в AD. Зоны обратного просмотра прекрасно пересылаются. Зоны прямого просмотра - нет.
Имя журнала: System
Источник: NETLOGON
Дата: 14.07.2015 6:14:47
Код события: 5774
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc1.spel.local
Описание:
Ошибка при динамической регистрации записи DNS "e1c6f3e8-6480-458e-a980-bcb76ec10ea7._msdcs.spel.local. 600 IN CNAME dc1.spel.local." на следующем DNS-сервере:
IP-адрес DNS-сервера: 10.10.1.1
Возвращенный код ответа (RCODE): 5
Возвращенный код состояния: 9017
Чтобы компьютеры и пользователи могли определять местоположение этого контроллера домена, необходимо зарегистрировать эту запись в DNS.
ДЕЙСТВИЕ ПОЛЬЗОВАТЕЛЯ
Определите, что могло стать причиной ошибки, устраните ее и инициируйте регистрацию записей DNS контроллером домена. Для определения возможной причины ошибки запустите программу DCDiag.exe. Дополнительные сведения о программе DCDiag.exe см. в центре справки и поддержки. Чтобы инициировать регистрацию записей DNS данным контроллером домена, выполните команду "nltest.exe /dsregdns" в командной строке контроллера домена или перезапустите службу сетевого входа в систему.
Можно добавить эту запись в DNS вручную, но это не рекомендуется.
ДОПОЛНИТЕЛЬНЫЕ ДАННЫЕ
Значение ошибки: Неверный раздел DNS.
До того, как ручками добавил зону _msdcs, все компьютеры в сети2 могли подключаться по имени к компьютерам сети1. Все, кроме самого КД2 (dc1). КД2 (dc1) мог подключаться к компьютерам с Windows Server 2003 и Windows XP. К компьютерам с Windows Server 2008 R2 dc1 подключаться не мог (Kerberos 4).
После добавления зоны _msdcs, на всех компьютерах сети2 ошибка Kerberos4.
В сети1 такой проблемы нет. Компьютеры видят и подключаются к компьютерам из сети2 и по имени и по ip адресу.
Думаю, что сперва нужно избавиться от проблем с ДНС, что бы заработала репликация Домена.
Пока обычные пользователи не видят проблемы. У них всё работает ровно. Но сотни ошибок на КД, отсутствие репликации AD и DNS меня сильно пугают.
Изначально всё работало. Из-за регулярных многочасовых перебоев с питанием начались проблемы. С репликацией домена. Теперь ошибок очень много и не ясно, за что браться.
1 домен. 2 сайта (сеть территориально разрозненная): 10.10.1.0/24 и 192.168.1.0/24. В каждой из сетей стоит КД.
------------------------------------------------------------------- ДОМЕН (spel.local) -----------------------------------------------------
---------- САЙТ1 uzory (10.10.1.0/24) ------------------- ИНТЕРНЕТ ------------------- САЙТ2 spelpais (192.168.1.0/24)----
КД1 mnsuzdc1 10.10.1.1 <--> ШЛЮЗ (10.10.1.10) < ----------- > ШЛЮЗ dc1 (192.168.1.1) <--> КД2 (192.168.1.10)
Обе сети настроены одинаково.
На КД1 и КД2 настроены (AD, DHCP, DNS). Windows Server 2008 R2.
Шлюзы - Kerio Control.
В одно прекрасное воскресенье, после 15-часового отсутствия электричества, КД2 при включении не смог запустить свой DNS-сервер. Из-за того, что после загрузки не смог прочитать локальные политики (?).
Многие серверы (сайт2) в тот день так же не сумев прочитать необходимые политики, отказались исправно функционировать.
Решилась проблема добавлением на КД2 вторичного адреса DNS (10.10.1.1). Настройки были прочитаны. Всё запустилось. Только, видимо, не заработала репликация AD.
Через некоторое время из сети (192.168.1.0/24) исчез доступ к сети (10.10.1.0/24). Точнее доступ был. Пинг шёл. Можно было подключиться по ip. Но при попытке подключиться используя имя компьютера получалась
Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 14.07.2015
Время: 9:24:28
Пользователь: Н/Д
Компьютер: D100
Описание:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server mnsuzdc1$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (SPEL.LOCAL), and the client realm. Please contact your system administrator.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
На сервере эта же ошибка выглядит так:
Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата: 14.07.2015 10:09:38
Код события: 4
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc1.spel.local
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера mnsuzdc1$. Использовалось конечное имя cifs/mnsuzdc1.spel.local. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (SPEL.LOCAL) отличен от домена клиента (SPEL.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
Появляется много одинаковых ошибок Kerberos код 4 с единственной разницей:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера mnsuzdc1$. Использовалось конечное имя ...
Использовалось конечное имя cifs/mnsuzdc1.spel.local
Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/e0083eda-418f-46f4-80b4-ae60d5a9463d/spel.local@spel.local
Использовалось конечное имя DNS/mnsuzdc1.spel.local
Использовалось конечное имя SPEL\MNSUZDC1$.
Были снесены не только возможные устаревшие записи на DNS серверах, были снесены все зоны. Включая _msdcs. Настроены по-новой с нуля. Зоны включены в AD. Зоны обратного просмотра прекрасно пересылаются. Зоны прямого просмотра - нет.
Имя журнала: System
Источник: NETLOGON
Дата: 14.07.2015 6:14:47
Код события: 5774
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc1.spel.local
Описание:
Ошибка при динамической регистрации записи DNS "e1c6f3e8-6480-458e-a980-bcb76ec10ea7._msdcs.spel.local. 600 IN CNAME dc1.spel.local." на следующем DNS-сервере:
IP-адрес DNS-сервера: 10.10.1.1
Возвращенный код ответа (RCODE): 5
Возвращенный код состояния: 9017
Чтобы компьютеры и пользователи могли определять местоположение этого контроллера домена, необходимо зарегистрировать эту запись в DNS.
ДЕЙСТВИЕ ПОЛЬЗОВАТЕЛЯ
Определите, что могло стать причиной ошибки, устраните ее и инициируйте регистрацию записей DNS контроллером домена. Для определения возможной причины ошибки запустите программу DCDiag.exe. Дополнительные сведения о программе DCDiag.exe см. в центре справки и поддержки. Чтобы инициировать регистрацию записей DNS данным контроллером домена, выполните команду "nltest.exe /dsregdns" в командной строке контроллера домена или перезапустите службу сетевого входа в систему.
Можно добавить эту запись в DNS вручную, но это не рекомендуется.
ДОПОЛНИТЕЛЬНЫЕ ДАННЫЕ
Значение ошибки: Неверный раздел DNS.
До того, как ручками добавил зону _msdcs, все компьютеры в сети2 могли подключаться по имени к компьютерам сети1. Все, кроме самого КД2 (dc1). КД2 (dc1) мог подключаться к компьютерам с Windows Server 2003 и Windows XP. К компьютерам с Windows Server 2008 R2 dc1 подключаться не мог (Kerberos 4).
После добавления зоны _msdcs, на всех компьютерах сети2 ошибка Kerberos4.
В сети1 такой проблемы нет. Компьютеры видят и подключаются к компьютерам из сети2 и по имени и по ip адресу.
Думаю, что сперва нужно избавиться от проблем с ДНС, что бы заработала репликация Домена.
Пока обычные пользователи не видят проблемы. У них всё работает ровно. Но сотни ошибок на КД, отсутствие репликации AD и DNS меня сильно пугают.