none
The Kerberos client received a KRB_AP_ERR_MODIFIED RRS feed

  • Pregunta

  • Sres, buenas tardes.

    Tengo el evento con ID 4 de Origen Security-Kerberos que ha aparecido.

    Tengo 2 DC con 2008R2, el controlador secundario es donde esta apareciendo el evento.

    Estoy teniendo problemas de replicacion y de validación.

    He revisado varios post pero hasta ahora no puedo dar con el problema, recomiendan el uso de netdom y repadmin pero no encuentro unos pasos continuos a seguir, asumo que varias cosas pueden causar este evento.

    Que puntos tengo que revisar para dar con el problema?.

    Espero me puedan ayudar.

    Gracias

    Ricardo Uribe.

    lunes, 22 de junio de 2015 20:10

Todas las respuestas

  • Hola RicardoMUZ,

    Colaborando con el equipo, tenemos para ti la siguiente respuesta:

    "Para solucionar este problema podríamos eliminar una cuenta de equipo no utilizada mediante Active Directory Users y equipos

    Un ticket de Kerberos está cifrado mediante el uso de contraseña de cuenta de equipo de cliente para el cifrado que utiliza en el billete. Si la contraseña de la cuenta de equipo cambia durante el proceso de autenticación, el ticket no puede descifrarse. Esto puede suceder si una cuenta de equipo se trasladó a un bosque diferente y no se eliminó el objeto de cuenta de equipo original. Para resolver este problema, debe usar Active Directory Users y equipos para eliminar la cuenta de equipo original que ya no se usa.

    Nota: La cuenta de equipo es identificada en el mensaje de registro de eventos.

    Para realizar este procedimiento, debe ser miembro del grupo administradores de dominio, o bien debe tener delegada la autoridad correspondiente.

    Para eliminar una cuenta de equipo mediante Active Directory Users y equipos:
    1 Inicie sesión en un controlador de dominio o de otro equipo que cuenta con las herramientas de administración de servidor remoto instalado.
    2 Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en usuarios y Active Directory equipos.
    3 localizar la cuenta de equipo en servicios de dominio de Active Directory (AD DS).
    4. Haga clic derecho en la cuenta de equipo y a continuación, haga clic en eliminar.

    Verificar

    Para verificar que el cliente de Kerberos está configurado correctamente, debe asegurarse de que un ticket Kerberos fue recibido desde el centro de distribución de claves (KDC) y almacena en caché en el equipo local. Puede ver la caché de vales Kerberos en el equipo local mediante la herramienta de línea de comandos de Klist.

    Nota: Klist.exe no se incluye con Windows Vista, Windows Server 2003, Windows XP o Windows 2000. Debe descargar e instalar el Kit de recursos de servidor de Windows antes de poder utilizar Klist.exe.

    Para ver la caché de vales Kerberos mediante Klist:
    1 registro en el equipo de cliente de Kerberos.
    2 Haga clic en Inicio, seleccione todos los programas, haga clic en accesorios y haga clic en el símbolo del sistema.
    3 Escriba klist tickets y presione Entrar.
    4 Compruebe que existe un ticket de Kerberos en la memoria caché. Asegúrese que el campo de cliente muestra al cliente que está ejecutando Klist.
    ◦Asegúrese que el campo de servidor muestra el dominio en el que se está conectando.
    5 cierre el símbolo del sistema.

    También podríamos proba la herramienta

    “Kerberos delegation “
    http://www.microsoft.com/en-us/download/details.aspx?id=4754

    Informacion adicional

    “Kerberos authentication problems”
    http://blogs.technet.com/b/askds/archive/2008/06/09/kerberos-authentication-problems-service-principal-name-spn-issues-part-2.aspx "

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    viernes, 26 de junio de 2015 15:41
  • Estimado Marco,

    Antes que nada gracias por tu ayuda.

    Esto es lo que me devuelve el comando Klist tickets

    Current LogonId is 0:0x20f824

    Cached Tickets: (2)

    #0> Client: administrador @ DOMINIO.COM
    Server: krbtgt/DOMINIO.COM @ DOMINIO.COM
    KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
    Ticket Flags 0x40e00000 -> forwardable renewable initial pre_authent 
    Start Time: 6/26/2015 10:57:27 (local)
    End Time:   6/26/2015 20:57:27 (local)
    Renew Time: 7/2/2015 15:27:29 (local)
    Session Key Type: RSADSI RC4-HMAC(NT)


    #1> Client: administrador @ DOMINIO.COM
    Server: host/equipo.DOMINIO.com @ DOMINIO.COM
    KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
    Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate 
    Start Time: 6/25/2015 15:27:29 (local)
    End Time:   6/26/2015 1:27:29 (local)
    Renew Time: 7/2/2015 15:27:29 (local)
    Session Key Type: AES-256-CTS-HMAC-SHA1-96

    El campo servidor no muestra la misma información en #0 y #1.

    Que verifico para corregir esto.

    Gracias

    viernes, 26 de junio de 2015 17:59
  • Hola RicardoMUZ,

    Continuando con la colaboración:

    "Esta es una prueba realizada con Klist

    c:\Program Files (x86)\Resource Kit>klist 
    Current LogonId is 0:0x29a6f 
    Cached Tickets: (2) 
     
    #0>     Client: administrator @ WSO2.COM 
            Server: krbtgt/WSO2.COM @ WSO2.COM 
            KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 
            Ticket Flags 0x40e00000 -> forwardable renewable initial pre_authent 
            Start Time: 11/25/2010 13:19:58 (local) 
            End Time:   11/25/2010 23:19:58 (local) 
            Renew Time: 12/2/2010 13:19:58 (local) 
            Session Key Type: AES-256-CTS-HMAC-SHA1-96 
     
     
    #1>     Client: administrator @ WSO2.COM 
            Server: service/myserver @ WSO2.COM 
            KerbTicket Encryption Type: RSADSI RC4-HMAC(NT) 
            Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate 
            Start Time: 11/25/2010 13:19:58 (local) 
            End Time:   11/25/2010 23:19:58 (local) 
            Renew Time: 12/2/2010 13:19:58 (local) 
            Session Key Type: RSADSI RC4-HMAC(NT)

    En estos campos de servidores no se mostrara exactamente la misma información debido a que un ticket es el host y no puede tener exactamente la misma dirección que en el otro ticket, de tal forma que no es necesario corregirlo"

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    viernes, 3 de julio de 2015 15:45
  • Hola "RicardoMUZ" como estas,

    Para darte mayor ayuda necesitamos de algunas preguntas, por ejemplo:

    1 - Desde cuando haz visto el evento en ese DC ? se realizó algun cambio ?
    2 - Que tipo de problemas de replicación tienes ? postea mensajes si existen
    3 - Que tipo de validación tienes ? postea mensajes si existen
    4 - Cuales posts vistes ?
    5 - Desde el DC con el evento de error, ejecuta y postea:

    dcdiag /test:NCSecDesc
    dcdiag /test:OutboundSecureChannels
    dcdiag /test:MachineAccount
    dcdiag /test:VerifyReplicas

    domingo, 5 de julio de 2015 3:41
  • Respondiendo,

    1 - Este mensaje ya tiene mas o menos un mes, pero desde antes de ese mensaje teníamos un problema con la fecha y la hora, cuando se reiniciaba por algún motivo el controlador secundario, no tomaba la hora del dominio y teníamos que ponerlo manualmente.

    En algún momento este comando respondio solo 2 fails del total de 5.

    repadmin /replsummary /bysrc /bydest /sort:delta

    Replication Summary Start Time: 2015-07-06 12:08:15

    Beginning data collection for replication summary, this may take awhile:
      .....

    Source DSA          largest delta    fails/total %%   error

     Server1         48d.19h:22m:17s    5 /   5  100  (2148074274) The target principal name is incorrect.
    Server2             01h:17m:27s    0 /   5    0  

    Destination DSA     largest delta    fails/total %%   error

    Server2        48d.19h:22m:17s    5 /   5  100  (2148074274) The target principal name is incorrect.
    Server1             01h:17m:27s    0 /   5    0  

    2 - Los usuarios creados o contraseñas cambiadas no se actualizan en los servidores, si creo o cambio en el controlador principal no replica al secundario y viceversa. Un mensaje que se repite con frecuencia en los comandos que ejecuto es "The target principal name is incorrect"

    En el visor de eventos en Directory Service tengo los eventos 1566, 1311 y 1865 en forma consecutiva.

    Event ID 1566 

    All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable. 

    Site:
    CN=SiteLibertadores,CN=Sites,CN=Configuration,DC=dominio,DC=com 
    Directory partition:
    DC=DomainDnsZones,DC=dominio,DC=com 
    Transport:
    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=dominio,DC=com

    Event ID 1311

    The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition. 

    Directory partition:
    DC=DomainDnsZones,DC=dominio,DC=com 

    There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers. 

    User Action 
    Perform one of the following actions: 
    - Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option. 
    - Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site. 

    If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.

    Event ID 1865

     

    The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site. 

    Sites: 
    CN=SiteLibertadores,CN=Sites,CN=Configuration,DC=dominio,DC=com 

    3 - No entiendo esta pregunta.

    4 - Revise este post.

    http://networkadminkb.com/KB/a268/how-to-reset-domain-controller-computer-account.aspx, y otros con un procedimiento parecido.

    5 - 

    dcdiag /test:NCSecDesc

                      

    Directory Server Diagnosis

    Performing initial setup:

       Trying to find home server...

       Home Server = Server2

       * Identified AD Forest. 
       Done gathering initial info.

    Doing initial required tests

       Testing server: SiteSQO\Server2

          Starting test: Connectivity

             ......................... Server2 passed test Connectivity

    Doing primary tests

       Testing server: SiteSQO\Server2

          Starting test: NCSecDesc

             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have 

                Replicating Directory Changes In Filtered Set
             access rights for the naming context:

             DC=ForestDnsZones,DC=dominio,DC=com
             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have 

                Replicating Directory Changes In Filtered Set
             access rights for the naming context:

             DC=DomainDnsZones,DC=dominio,DC=com
             ......................... Server2 failed test NCSecDesc

       Running partition tests on : ForestDnsZones

       Running partition tests on : DomainDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : dominio

       Running enterprise tests on : dominio.com

    dcdiag /test:OutboundSecureChannels


    Directory Server Diagnosis

    Performing initial setup:

       Trying to find home server...

       Home Server = Server2

       * Identified AD Forest. 
       Done gathering initial info.
    Doing initial required tests


       Testing server: SiteSQO\Server2

          Starting test: Connectivity

             ......................... Server2 passed test Connectivity

    Doing primary tests


       Testing server: SiteSQO\Server2

          Starting test: OutboundSecureChannels

             ** Did not run Outbound Secure Channels test because /testdomain: was

             not entered
             ......................... Server2 passed test OutboundSecureChannels

       Running partition tests on : ForestDnsZones
       Running partition tests on : DomainDnsZones
       Running partition tests on : Schema
       Running partition tests on : Configuration
       Running partition tests on : dominio
       Running enterprise tests on : dominio.com

    dcdiag /test:MachineAccount

          

    Directory Server Diagnosis

    Performing initial setup:

       Trying to find home server...

       Home Server = Server2

       * Identified AD Forest. 
       Done gathering initial info.

    Doing initial required tests

       Testing server: SiteSQO\Server2

          Starting test: Connectivity

             ......................... Server2 passed test Connectivity

    Doing primary tests

       Testing server: SiteSQO\Server2

          Starting test: MachineAccount

             ......................... Server2 passed test MachineAccount

       Running partition tests on : ForestDnsZones

       Running partition tests on : DomainDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration
       Running partition tests on : dominio
       Running enterprise tests on : dominio.com

    dcdiag /test:VerifyReplicas


    Directory Server Diagnosis

    Performing initial setup:

       Trying to find home server...

       Home Server = Server2

       * Identified AD Forest. 
       Done gathering initial info.

    Doing initial required tests

       Testing server: SiteSQO\Server2

          Starting test: Connectivity

             ......................... Server2 passed test Connectivity

    Doing primary tests
       
       Testing server: SiteSQO\Server2

          Starting test: VerifyReplicas

             ......................... Server2 passed test VerifyReplicas

       Running partition tests on : ForestDnsZones
       Running partition tests on : DomainDnsZones
       Running partition tests on : Schema
       Running partition tests on : Configuration
       Running partition tests on : dominio
       Running enterprise tests on : dominio.com

    Muchas gracias por su ayuda.

    lunes, 6 de julio de 2015 17:46
  • Es claro que un DC dejó de replicar hace como mínimo 48 dias.
    En los dos DCs:

    1 - Deshabilita firewall y antivirus tmp.
    2 - Ejecuta "netdom query fsmo" y postea el mensaje.
    3 - Ejecuta "nslookup" > "_ldap._tcp.domain.com" y postea el mensaje.
    4 - Ejecuta "ipconfig /all" y postea el mensaje
    5 - Verifica que la hora sea la misma.
    6 - Vuelve a ejecutar "repadmin /replsummary" y postea el mensaje.

    Tambien puedes ver:

    The target principal name is incorrect
    https://support.microsoft.com/en-us/kb/2090913

    Troubleshooting Event ID 1311: Knowledge Consistency Checker
    https://support.microsoft.com/en-us/kb/214745

    Troubleshooting replication
    https://technet.microsoft.com/en-us/library/cc755349.aspx

    Espero sea de ayuda. Saludos.
    lunes, 6 de julio de 2015 19:59
  • Hola, abajo las respuestas.

    1 - Deshabilita firewall y antivirus tmp.

    Hecho.
    2 - Ejecuta "netdom query fsmo" y postea el mensaje.

    Schema master               server1.dominio.com
    Domain naming master   server1.dominio.com
    PDC                                 server1.dominio.com
    RID pool manager            server1.dominio.com
    Infrastructure master       server1.dominio.com
    The command completed successfully.

    3 - Ejecuta "nslookup" > "_ldap._tcp.domain.com" y postea el mensaje.

    Default Server:  Server2.dominio.com

    Address: 192.168.3.X

    >_ldap.tcp.dominio.com

    Server: Server2.dominio.com

    Addres: 192.1683.X

    *** Server.dominio.com can't find _ldap.tcp.dominio.com: Non-existent domain
    4 - Ejecuta "ipconfig /all" y postea el mensaje

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : Server2
       Primary Dns Suffix  . . . . . . . : dominio.com
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : dominio.com

    Ethernet adapter Local Area Connection:

       Connection-specific DNS Suffix  . : dominio.com
       Description . . . . . . . . . . . : HP NC107i PCIe Gigabit Server Adapter #3
       Physical Address. . . . . . . . . : 78-E7-D1-73-D7-EC
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::9cf:873b:e6b0:58cc%13(Preferred) 
       IPv4 Address. . . . . . . . . . . : 192.168.3.X(Preferred) 
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.3.X
       DHCPv6 IAID . . . . . . . . . . . : 326690769
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-18-6C-EC-B7-78-E7-D1-73-D7-EC
       DNS Servers . . . . . . . . . . . : 192.168.3.X
                                           192.168.1.X
       NetBIOS over Tcpip. . . . . . . . : Disabled

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : 
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Tunnel adapter isatap.iluminacion.com:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : dominio.com
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    5 - Verifica que la hora sea la misma.

    Revisado, tienen la misma hora.
    6 - Vuelve a ejecutar "repadmin /replsummary" y postea el mensaje.

    Replication Summary Start Time: 2015-07-06 15:26:41

    Beginning data collection for replication summary, this may take awhile:

      .....
    Source DSA          largest delta    fails/total %%   error

     Server1         48d.22h:40m:43s    2 /   5   40  (8606) Insufficient attributes were given to create an object. This object may not exist because it may have been deleted and already garbage collected.

    Destination DSA     largest delta    fails/total %%   error

     Server2         48d.22h:40m:43s    2 /   5   40  (8606) Insufficient attributes were given to create an object. This object may not exist because it may have been deleted and already garbage collected.

    Experienced the following operational errors trying to retrieve replication information:

            8341 - Server1.dominio.com

    Gracias

    lunes, 6 de julio de 2015 20:30
  • En los dos DCs:

    En DNS deja solo los DNS internos, quita los secundarios, ejemplo
    server2, 192.168.3.2
    server1, 192.168.3.1

    Desde la consola DNS server1, fija la IP (ipv4) solo a la del server1.

    Desde la consola DNS > forward lookup zones > domain.com > existan solo los records  "A" y "NS" de los dos DCs

    Desde la consola DNS > forward lookup zones > domain.com > _msdcs > _pdc > tcp > record SRV apuntando a uno de los dos DC

    Desde la consola DNS > properties > general > type=active directory integrated, dynamic updates=secure only

    Desde la consola DNS > properties > name servers > tienes que tener los dos name servers con sus ips

    Reinicia el servicio DNS y netlogon

    Ejecuta "repadmin /replsummary"





    • Propuesto como respuesta Moderador M lunes, 6 de julio de 2015 22:02
    lunes, 6 de julio de 2015 21:23
  • Estimado, tengo algunas dudas.

    Desde este paso 

    Desde la consola DNS > forward lookup zones > domain.com > existan solo los records  "A" y "NS" de los dos DCs.

    Todo se realiza en el Server1 o Server2?.

    Otra duda es que tengo la carpeta DNS > forward lookup zones > domain.com > _msdcs  como deshabilitada y no tengo subcarpetas dentro de esta.

    Como puedo reconstruir esto?.

    Saludos

    lunes, 6 de julio de 2015 22:14
  • Hazlo en los 2 DC.

    DNS Zone and must be available
    https://technet.microsoft.com/en-us/library/ff807395(v=ws.10).aspx

    Domain subfolders missing from forward lookup zone
    https://support.microsoft.com/en-us/kb/310568

    • Propuesto como respuesta Moderador M martes, 7 de julio de 2015 15:26
    martes, 7 de julio de 2015 0:43
  • Estos pasos los voy a tener que realizar el fin de semana ya que mi controlador de dominio principal y el secundario presentan este problema y los usuarios paran conectados.

    El sábado voy a continuar el hilo de la conversación, espero seguir contando con tu ayuda.

    Muchas gracias

    martes, 7 de julio de 2015 15:13
  • Estimado, 

    Te adjunto una imagen de como estan las carpetas en el DNS Manager, la carpeta que yo decia que esta como deshabilitada _msdcs es la que esta seleccionada en la imagen.

    Los pasos que me pediste realizar anteriormente los vi en la que esta marcado con un circulo rojo _msdcs.dominio.com > pdc > _tcp

    Confirmarme si esta bien la carpeta que utilicé o tiene que haber información en la carpeta que esta seleccionada debajo _msdcs

    Saludos

    martes, 7 de julio de 2015 16:54
  • Olvide adjuntar la imagen.
    martes, 7 de julio de 2015 16:56