Remove From My Forums

Domain controller, warning KDC

Pregunta
0

Inicie sesión para votar

Buenos dias,

Estoy teniendo unos warning id 29 kerberos-key-distribution-center

Despues de leer, y pensar que el mensaje debia ser ignorado a creer que no tenia ninguna CA.

Encuentro que este aviso viene por apagar un servidor 2003 con una CA montada en el, la cual esta sirviendo para dar certificados y renovarlos a los Domain controller.

Este tema es heredado por antiguos administradores, y la verdad, no me di cuenta hasta hoy que la tenia.

El caso es, si apago este server, tengo los warning, no se que pasara si desistalo la CA de 2003, ya que ha emitido certificados en los controladores de dominio 2008 R2.

¿Como procedo? Monto otra CA en un servidor nuevo para quitarme el 2003, ¿meto la pata si lo desistalo?

Ando algo perdido.....

lunes, 26 de febrero de 2018 12:59

Responder

|

Citar

Respuestas

1

Inicie sesión para votar
En primera instancia no asustarse :) un "Warning" no es un error, es simplemente una advertencia, pero si sabes por qué se produce es algo que puedes ignorar

Si hay una CA integrada en AD, los Controladores de Dominio automáticamente tratan de adquirir certificados de "Domain Controller". Esto es así por si alguna vez se llegar usar replicación por SMTP (jamás supe de nadie que la llegara a utilizar, siempre fue el clásico RPC)

También en algunas versiones, trataban de obtener certificado adelantándose por si llegaban a usar "Smart Cards", aunque nunca lo hubieras configurado

Por otra parte si en algún momento hubo una CA, siempre tratarán de verificar la CRL ("Certificate Revocation List") y que si está apagada no podrán

Antes de quitar una CA, es importante que primero se revoken todos los certificados otorgados previamente, y finalmente los de la propia CA

Resumiendo, si sabes que has quitado la CA, yo no me preocuparía por esa advertencia

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Juan MondragónModerator lunes, 26 de febrero de 2018 19:34
- Marcado como respuesta Juan Pablo Gonzal martes, 27 de febrero de 2018 11:41
lunes, 26 de febrero de 2018 17:53

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Sinceramente no es un procedimiento que haya que tenido que realizar nunca. Comento desde el punto de vista teórico, pero como comento, nunca lo he hecho :(

Al ser un Dominio "heredado" siempre quedan dudas de si lo han hecho por "algo" o simplemente para probar o por no saber :)

Además, y como puse antes, hubo versiones que ponían esa advertencia, aún sin haber hecho nada

Sabiendo que es sólo una advertencia, y de qué proviene, creo que no lo tocaría

Nunca se pueden quitar todas las advertencias del sistema operativo :)

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Juan Pablo Gonzal martes, 27 de febrero de 2018 11:41
martes, 27 de febrero de 2018 11:03

Responder

|

Citar

Moderador

Todas las respuestas

1

Inicie sesión para votar
En primera instancia no asustarse :) un "Warning" no es un error, es simplemente una advertencia, pero si sabes por qué se produce es algo que puedes ignorar

Si hay una CA integrada en AD, los Controladores de Dominio automáticamente tratan de adquirir certificados de "Domain Controller". Esto es así por si alguna vez se llegar usar replicación por SMTP (jamás supe de nadie que la llegara a utilizar, siempre fue el clásico RPC)

También en algunas versiones, trataban de obtener certificado adelantándose por si llegaban a usar "Smart Cards", aunque nunca lo hubieras configurado

Por otra parte si en algún momento hubo una CA, siempre tratarán de verificar la CRL ("Certificate Revocation List") y que si está apagada no podrán

Antes de quitar una CA, es importante que primero se revoken todos los certificados otorgados previamente, y finalmente los de la propia CA

Resumiendo, si sabes que has quitado la CA, yo no me preocuparía por esa advertencia

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Juan MondragónModerator lunes, 26 de febrero de 2018 19:34
- Marcado como respuesta Juan Pablo Gonzal martes, 27 de febrero de 2018 11:41
lunes, 26 de febrero de 2018 17:53

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Buenos dias,

Como siempre, muy bien explicado.

De acuerdo, para dejarme todo claro, el proceso seria.

- Revocar certificados de los domain controller

- Los de la CA

- Quitar el rol de CA Server.

¿Esto no afectara en nada al directorio activo, maquinas, validacion, etc, verdad?

Nosotros no usamos para nada, certificados internos por lo que entiendo que no, pero quiero estar seguro que entre una CA, los certificados y el logon de los usuarios en el AD no influyen.

Saludos.

martes, 27 de febrero de 2018 9:41

Responder

|

Citar
0

Inicie sesión para votar
Sinceramente no es un procedimiento que haya que tenido que realizar nunca. Comento desde el punto de vista teórico, pero como comento, nunca lo he hecho :(

Al ser un Dominio "heredado" siempre quedan dudas de si lo han hecho por "algo" o simplemente para probar o por no saber :)

Además, y como puse antes, hubo versiones que ponían esa advertencia, aún sin haber hecho nada

Sabiendo que es sólo una advertencia, y de qué proviene, creo que no lo tocaría

Nunca se pueden quitar todas las advertencias del sistema operativo :)

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Juan Pablo Gonzal martes, 27 de febrero de 2018 11:41
martes, 27 de febrero de 2018 11:03

Responder

|

Citar

Moderador

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Domain controller, warning KDC

Pregunta

Respuestas

Todas las respuestas