none
Dcpromo - Error en la operación "Tipo de cifrado solicitado no compatible con KDC" RRS feed

  • Pregunta

  • Estimados,

    Tengo el siguiente problema se realizo la migración de un dominio desde win server 2003 a win server 2008 R2, con DC principal y DC secundario, tiempo despues fallo el server principal con lo que quedo solo el secundario, borramos todo vestigio del DC principal (se supone) con las herramientas de Ntdsutil.exe y ahora estamos promocionando un nuevo DC para este mismo dominio y cuando esta ejecutandose el proceso de dcpromo aparece un error que dice "Tipo de cifrado solicitado no compatible con KDC", como antecedente es que no hemos activado este windows server hasta no estar seguros que todo esta funcionando bien.

    jueves, 22 de mayo de 2014 20:59

Respuestas

  • Hola Gunner,

    La forma mas simple de revisar los registros de servicio es esta:

    Registros de Servicio SRV en DNS

    Tienes que asegurarte que en la lista de la derecha solo figuren los DC's vivos. Estos registros también se encuentran dentro de _sites tanto de tu zona DNS como de la zona _msdcs.

    Según veo en el test de registro dinámico todo está bien.

    Tengo unas preguntas adicionales, que versión de Windows Server es la que quieres añadir como DC adicional? Cuál es el nivel funcional del Dominio? y aunque suene obvio, reiniciaste el servicio KDC (Key Distribution Center) en el DC?

    Saludos,

    Jesús Peñaranda


    viernes, 23 de mayo de 2014 19:51

Todas las respuestas

  • Hola Gunner,

    Qué pasó con los maestros de operaciones? Hiciste seize?

    Jesús Peñaranda

    jueves, 22 de mayo de 2014 22:33
  • Si, todo esta configurado como si existiera solo un DC, el maestro de operaciones es el actual DC principal.


    ntdsutil: metadata cleanup
    metadata cleanup: connections
    server connections: connect to server artemis2008
    Enlazando a artemis2008 ...
    Conectado a artemis2008 usando credenciales de usuario conectado localmente.
    server connections: q
    metadata cleanup: select operation target
    select operation target: list domains
    Se han encontrado 1 dominios
    0 - DC=XXXcoop,DC=local
    select operation target: select domain 0
    No hay sitio actual
    Dominio: DC=XXXcoop,DC=local
    No hay servidor actual
    No hay contexto de nombres actual
    select operation target: list sites
    Se han encontrado 1 sitios
    0 - CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=XXXcoop
    ,DC=local
    select operation target: select site 0
    Sitio: CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=XXXc
    oop,DC=local
    Dominio: DC=XXXcoop,DC=local
    No hay servidor actual
    No hay contexto de nombres actual
    select operation target: list servers in site
    Se han encontrado 1 servidores
    0 - CN=ARTEMIS2008,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=
    Configuration,DC=XXXcoop,DC=local
    select operation target:
    • Editado Gunner.cl jueves, 22 de mayo de 2014 23:00
    jueves, 22 de mayo de 2014 22:47
  • Pues muy bien, si el Directorio Activo está correctamente configurado y los FSMO también, lo siguiente es correr este comando y revisar el resultado, si deseas puedes pegarlo aquí y te doy una mano. El comando es:

    dcdiag /test:dcpromo /dnsdomain:tudominio.aquí /replicadc

    Saludos,

    Jesús Peñaranda

    jueves, 22 de mayo de 2014 23:26
  • Adicionalmente ejecute la prueba de dcdiag /v y la unica que no paso es la siguiente:

          Iniciando prueba: SystemLog

    * The System Event log test Evento de error. Id. de evento: 0xC000000E

    Hora de creaci¢n: 05/23/2014   10:38:11 Cadena de eventos:

                Mientras se procesaba una solicitud AS para el servicio de destino krbtgt, la cuenta Administrador no ten¡a una clave adecuada para generar un vale Kerberos (el identificador de la clave que falta es 1). ETYPE solicitados: 18  17  23  24  -135  3. ETYPE disponibles en las cuentas: 23  -133  -128  18  17. Al cambiar o restablecer la contrase¤a de Administrador se generar  una clave correcta.

    ......................... ARTEMIS2008 no super¢ la prueba SystemLog

    Anteriormente ya habia revisado este problema y reestableci la contraseña del administrador, pero volvi a colocar la misma que tenia, eso no se si estara afectando en algo.

     ---------------------------------------------------------------------------------------------------------------------------

    Resultado prueba "dcdiag /test:dcpromo /dnsdomain:tudominio.aquí /replicadc" realizada en server a promocionar:

    Iniciando prueba: DcPromo

          Este equipo no se puede promocionar a controlador de dominio en el

          dominio financoop. Esto se debe a que el registro SRV de DNS para

          _ldap._tcp.dc._msdcs.financoop no est  registrado en DNS o alguna zona de

          la siguiente lista de zonas DNS no incluye delegaci¢n a su zona

          secundaria: financoop y la zona ra¡z. Pida al administrador de DNS o de

          red que realice las siguientes acciones: para averiguar por qu‚ no se

          registr¢ en DNS el registro SRV para _ldap._tcp.dc._msdcs.financoop,

          ejecute la herramienta de s¡mbolo del sistema dcdiag con el comando

          RegisterInDNS en el controlador de dominio que no realiz¢ el registro.
         
          Los mensajes registrados debajo de esta l¡nea indican si este controlador

          de dominio podr  registrar din micamente los registros DNS necesarios

          para que otros dispositivos de la red puedan encontrar este DC. Si se

          detecta cualquier error de configuraci¢n, esto puede impedir el registro

          DNS din mico de algunos registros, pero no impide que se complete

          correctamente el Asistente para la instalaci¢n de los Servicios de

          dominio de Active Directory. Sin embargo, se recomienda corregir los

          problemas detectados ahora, a no ser que tenga previsto actualizar

          manualmente la base de datos de DNS.
         
          Este controlador de dominio no puede registrar los registros DNS del

          ubicador de controlador de dominio. Esto ocurre porque no encuentra un

          servidor DNS autoritativo para la zona financoop. Esto se debe a una de

          las siguientes causas:
         
          1. Uno o varios servidores DNS implicados en la resoluci¢n de nombres del

          nombre financoop no responden o contienen una delegaci¢n incorrecta de

          las zonas DNS; o bien
         
          2. El servidor DNS con el que est  configurado este equipo contiene

          sugerencias de ra¡z incorrectas.
         
          La lista de estos servidores DNS puede incluir los servidores DNS con los

          que est  configurado este equipo para la resoluci¢n de nombres y los

          servidores DNS responsables de las siguientes zonas: financoop
         
          Compruebe que el nombre de dominio especificado sea correcto y p¢ngase en

          contacto con el administrador de DNS o de red para solucionar el

          problema.
         
          Tambi‚n puede agregar manualmente los registros especificados en el

          archivo %systemroot%\system32\config\netlogon.dns.
         
         
          ......................... APOLO3 no super¢ la prueba DcPromo

     

    Saludos Jesus y gracias por vuestra ayuda.

    viernes, 23 de mayo de 2014 16:06
  • Perfecto Gunner,

    Con esto tenemos por donde trabajar.

    El error que hace referencia a la clave Kerberos adecuada es por la diferencia de versiones, lo que está diciendo con esto es que el Cliente y el Controlador no soportan el mismo tipo de cifrado, por ejemplo un DC WS2008 utiliza AES, un Cliente XP utiliza DES, cuando este cliente XP intenta iniciar sesión el DC advierte que este cliente no es capaz de negociar con AES, sin embargo continua el inicio de sesión con otro algoritmo que esté soportado por ambos, de tal manera que, en este momento, este error podemos obviarlo.

    Lo primero a resolver es lo que nos muestra el test de DCPROMO, aquí hace referencia a errores en el DNS, lo que debemos analizar es:

    1. Existen los registros SRV en la zona DNS?

    2. Las direcciones IP de los Controladores de Dominio está correctamente ingresado en el DNS?

    3. Es posible que el DNS tenga los registros SRV del DC que dieron de baja? toma en cuenta que estos registros no se eliminan automáticamente.

    4. Por qué se recibe este mensaje de DNS no autoritativo?

    5. El comando dcdiag test:dns /DNSDynamicUpdate  nos mostrará si los registros dinámicos están en funcionamiento.

    Resolvamos el tema del DNS en primer lugar. Si puedes mostrarme el contenido del archivo Netlogon.dns sería ideal.

    Lamentablemente estas cosas requieren un poco de tiempo, hay que tener un poco de paciencia!

    Saludos,

    Jesús Peñaranda

    viernes, 23 de mayo de 2014 16:56
  • Tengo algunas dudas..!!

    1. Existen los registros SRV en la zona DNS?

    (Donde y como reviso esto..?)

    2. Las direcciones IP de los Controladores de Dominio está correctamente ingresado en el DNS?

    El DC y el server DNS son el mismo

    3. Es posible que el DNS tenga los registros SRV del DC que dieron de baja? toma en cuenta que estos registros no se eliminan automáticamente.

    Los revise y no hay ningun DC anterior

    4. Por qué se recibe este mensaje de DNS no autoritativo?

    Eso no lo se.

    Ejecute Dcdiag /test:DNS /DnsDynamicUpdate y el resultado es el siguiente

                                                                                           

    Diagn¢stico del servidor de directorio


    Realizando instalaci¢n inicial:

       Intentando encontrar el servidor principal...Servidor principal = ARTEMIS2008

       * Se identific¢ el bosque de AD. 
       Recopilaci¢n de informaci¢n inicial finalizada.
    Realizando pruebas requeridas iniciales
       Probando servidor: Nombre-predeterminado-primer-sitio\ARTEMIS2008
          Iniciando prueba: Connectivity
     ARTEMIS2008 super¢ la prueba Connectivity
    Realizando pruebas principales
       Probando servidor: Nombre-predeterminado-primer-sitio\ARTEMIS2008
          Iniciando prueba: DNS
             Las pruebas de DNS se est n ejecutando y responden. Espere unos
             minutos...
             ......................... ARTEMIS2008 super¢ la prueba DNS
       Ejecutando pruebas de partici¢n en: ForestDnsZones
       Ejecutando pruebas de partici¢n en: DomainDnsZones
       Ejecutando pruebas de partici¢n en: Schema
       Ejecutando pruebas de partici¢n en: Configuration
       Ejecutando pruebas de partici¢n en: financoop
       Ejecutando pruebas de empresa en: financoop.local
       Iniciando prueba: DNS
       Resultados de pruebas para controladores de dominio:
       DC: ARTEMIS2008.financoop.local
       Dominio: XXXcoop.local
       TEST: Dynamic update (Dyn)
       Warning: Failed to add the test record dcdiag-test-record in zone financoop.local
        ARTEMIS2008                  PASS PASS n/a  n/a  WARN n/a  n/a  
     ......................... XXXcoop.local super¢ la prueba DNS

    viernes, 23 de mayo de 2014 19:36
  • Hola Gunner,

    La forma mas simple de revisar los registros de servicio es esta:

    Registros de Servicio SRV en DNS

    Tienes que asegurarte que en la lista de la derecha solo figuren los DC's vivos. Estos registros también se encuentran dentro de _sites tanto de tu zona DNS como de la zona _msdcs.

    Según veo en el test de registro dinámico todo está bien.

    Tengo unas preguntas adicionales, que versión de Windows Server es la que quieres añadir como DC adicional? Cuál es el nivel funcional del Dominio? y aunque suene obvio, reiniciaste el servicio KDC (Key Distribution Center) en el DC?

    Saludos,

    Jesús Peñaranda


    viernes, 23 de mayo de 2014 19:51
  • Hola Jesus,

    Efectivamente aun había un servidor que ya no esta activo en esas zonas, los cuales elimine en los casos que correspondía y en otros agregue el server que corresponde o que esta actualmente activo.

    El DC que quiero agregar es Windows Server 2008 R2 y el nivel funcional del dominio y del bosque es el mismo, ya reinicie el servicio KDC, no lo había reiniciado antes.

    Nivel funcional

    Saludos y muchas gracias..!!

    • Editado Gunner.cl lunes, 26 de mayo de 2014 23:15
    lunes, 26 de mayo de 2014 23:14