none
Error 4000 DNS Server Services El servidor DNS no pudo abrir Active Directory. RRS feed

  • Pregunta

  • Buen día,

    Estpu presentando un error en servidor DNS que también funciona como PDC:

    Error 4000 Microsoft-Windows-DNS-Server-Service

    El servidor DNS no pudo abrir Active Directory. Este servidor DNS está configurado para obtener y usar información del directorio para esta zona y no puede cargarla sin él. Compruebe que Active Directory está funcionando correctamente y vuelva a cargar la zona. Los datos del evento son el código de error.

    Al intentar abrir la consola de aministración de DNS, aparece el mensaje: Acceso denegado ¿desea agregarlo de cualquier forma? y no me deja visualizar nada, solo los errores del registro.

    EL problema es que me aparece el mismo mensaje en el adminstrador DNS del Domain controller secundario.

    Adicional tengo un mensaje de error al intentar iniciar el servicio de centro de distribución de claves Kerberos, y no me deja ingresar.

    Que puedo hacer? agradezco su ayuda

    lunes, 10 de julio de 2017 13:53

Respuestas

  • Te reporto la respuesta facilitada por el compañero Sebastian del Rio:
    "
    Todo parecia apuntar a que la clave guardada en el KDC no coincide con la clave del ticket de kerberos en el cliente basado en el error que recibes KRB_AP_ERR_MODIFIED, esto esta descripto en el RFC de Kerberos, segun el codigo de kerberos cualquier cosa que sea diferente entre los tickets devolvera este error

    KRB_AS_REP and KRB_TGS_REP common checks
    if (decryption_error() or
    (req.cname != resp.cname) or
    (req.realm != resp.crealm) or
    (req.sname != resp.sname) or
    (req.realm != resp.realm) or
    (req.nonce != resp.nonce) or
    (req.addresses != resp.caddr)) then
    destroy resp.key;
    return KRB_AP_ERR_MODIFIED;

    Intenta hacer un purge de los tickets de kerberos tanto en el servidor, cliente y domain controller, para eso puedes bajar la herramienta KLIST desde http://www.microsoft.com/en-us/download/details.aspx?id=11583 y ejecutar el comando "klist purge", luego tendrás que borrar uno por uno todos los tickets de kerberos.

    Otra cosa que se me ocurre es algun problema con la cuenta de krbtgt, basicamente el password del ticket de kerberos es basado en el password de la cuenta krbtrgt, de todas maneras vayamos de a poco, cuentame como va con lo anterior.

    1 . Chequea la opcion de hacer purge de los tickets
    2 . Chequea que no haya registros en DNS mas precisamente relacionados a kerberos que apunten a DCs erroneos
    3 . Chequea que no haya diferencias de tiempo entre el cliente servidor TS y DC mayores a 5 minutos
    4 . Verifica que no haya SPNs duplicados corriendo ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName= RPCSS/TS.dominio.local*)" -p subtree
    5. Ejecuta en el Domain controller "repadmin /showreps" muestra algun incoveniente de replicacion?
    "

                                                                       

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M miércoles, 12 de julio de 2017 16:24
    • Marcado como respuesta Moderador M martes, 18 de julio de 2017 15:40
    miércoles, 12 de julio de 2017 12:06