none
KDC RRS feed

  • Общие обсуждения

  • После атаки шифровальщика  решили переустановить контроллер домена на 2008 r2, времени не было и самым быстрым на тот момент решением показалось отдать роли на древний сервак 2003 который выполнял роль резервного КД , переустановить 2008 и вернуть роли обратно. Роли передал, сделал metadata cleanup ,  отключил 2008 r2 , но 2003 сервер отказался корректно включаться из-за настроек ДНС\проблем с сетевыми адаптерами. ДНС был поднят и там и там , по итогу удалось включить 2003 сервер только если включен 2008 и прописан как DNS сервер.
    В итоге домен работает не пойми как net dom query говорит что все роли корректно передались, но dcdiag пишет

     Starting test: Services
           kdc Service is stopped on [STARIK]

    То есть выполняются все роли кроме KDC , а KDC выполняется корректно только на 2008R2 притом что для него даже отсутствовала запись КД в АД на 2003 сервере. Попытался восстановить объект старого КД при помощи adrestore, восстановился, но как и  должно быть пароль сбросился и запись отключена, включить не дает пишет что для контроллеров домена это невозможно. После этого 2003 вообще  перестал получать билеты Kerberos хотя клиенты получают корректно и logon  server для них сервер 2008.

    Непонятно как правильно и KDC перенести и домен сохранить.

    2 сентября 2019 г. 9:31

Все ответы

  • Приветствую.

    Принудительно захватить роль не пробовали?


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    2 сентября 2019 г. 9:39
    Модератор
  • Роли нормально передались 
    netdom query fsmo:

    C:\Program Files\Windows Resource Kits\Tools>netdom query fsmo
    Schema owner                starik.starik.dp1
    
    Domain role owner           starik.starik.dp1
    
    PDC role                    starik.starik.dp1
    
    RID pool manager            starik.starik.dp1
    
    Infrastructure owner        starik.starik.dp1
    
    The command completed successfully.

    На обоих кд выдает то что должен, роли то есть корректно переданы были , проблема только в kdc, но это вроде как и не роль.

    Непонятно как передать работающую функцию кдц на другой сервер можно 2003 , ну или на 2008r2 который поднят на виртуалке в попытке поднять третий кд и ему все отдать, но он не смог нормально в домен зайти из-за того что пытается к старому кд достучатся.

    2 сентября 2019 г. 10:39
  • KDC - это не роль, а служба на КД, которая выдаёт билеты Kerberos. 

    По теме - пока не очень понятна текущая ситуация у вас в домене. Выложите сетевые настройки обоих КД, и перечень dcdiag /q с каждого. 

    На проблемном КД (где KDC не стартует) в первую очередь изучите журнал событий.

    2 сентября 2019 г. 11:23
  • dcdiag с контроллера где все роли STARIK:

    C:\Program Files\Windows Resource Kits\Tools>dcdiag /q
             Warning: STARIK is not advertising as a time server.
             ......................... STARIK failed test Advertising
                kdc Service is stopped on [STARIK]
                w32time Service is stopped on [STARIK]
             ......................... STARIK failed test Services
             An Warning Event occured.  EventID: 0x80000785
                Time Generated: 09/02/2019   14:17:26
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0000583
                Time Generated: 09/02/2019   14:20:13
                (Event String could not be retrieved)
             ......................... STARIK failed test kccevent

    Время синхронизируется со старым сервером и отклонений больше одной минуты нет.

    ipconfig /all

    Подключение по локальной сети - Ethernet адаптер:
    
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : 00-1A-92-97-D3-DA
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.1.66
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.2.1
    
    Подключение по локальной сети 2 - Ethernet адаптер:
    
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Физический адрес. . . . . . . . . : 00-1A-92-97-D2-62
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.2.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.2.103
       DNS-серверы . . . . . . . . . . . : 192.168.2.1
                                           192.168.2.111

    Первый  адаптер отключен и в настройках стоит не регистрировать в днс.

    dcdiag с контроллера который был удален LIS:

    dcdiag /q
             Возникла ошибка. Код события (EventID): 0xC00007E7
                Время создания: 09/02/2019   14:34:35
                Строка события:
                Локальному серверу службы каталогов не удалось реплицировать изменен
    ия в следующем разделе каталога на следующий удаленный сервер службы каталогов.
    
             Возникла ошибка. Код события (EventID): 0xC00007E7
                Время создания: 09/02/2019   14:34:35
                Строка события:
                Локальному серверу службы каталогов не удалось реплицировать изменен
    ия в следующем разделе каталога на следующий удаленный сервер службы каталогов.
    
             ......................... LIS - не пройдена проверка KccEvent
             Учетная запись LIS отключена.  Она не может реплицироваться.
             ......................... LIS - не пройдена проверка MachineAccount
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=starik,DC=dp1
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=starik,DC=dp1
             ......................... LIS - не пройдена проверка NCSecDesc
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из STARIK в LIS
                Контекст именования: CN=Schema,CN=Configuration,DC=starik,DC=dp1
                При репликации возникла ошибка (1331):
                Вход в систему не произведен: учетная запись в настоящее время отклю
    чена.
    
                Сбой возник в 2019-09-02 13:54:34.
                Последняя успешная операция была в 2019-09-01 15:54:34. После
                последней успешной операции было
                22 сбоев.
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из REZERV в LIS
                Контекст именования: CN=Schema,CN=Configuration,DC=starik,DC=dp1
                При репликации возникла ошибка (8524):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.
    
                Сбой возник в 2019-09-02 13:54:40.
                Последняя успешная операция была в 2019-08-22 07:54:25. После
                последней успешной операции было
                270 сбоев.
                DNS-имя на основе GUID
                96ebfb13-9e6b-452d-98bf-17d45ec42c98._msdcs.starik.dp1
                не зарегистрировано на одном или нескольких DNS-серверах.
             [REZERV] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
             Сервер RPC недоступен..
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из REZERV в LIS
                Контекст именования: CN=Configuration,DC=starik,DC=dp1
                При репликации возникла ошибка (8524):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.
    
                Сбой возник в 2019-09-02 13:54:34.
                Последняя успешная операция была в 2019-08-22 07:54:25. После
                последней успешной операции было
                270 сбоев.
                DNS-имя на основе GUID
                96ebfb13-9e6b-452d-98bf-17d45ec42c98._msdcs.starik.dp1
                не зарегистрировано на одном или нескольких DNS-серверах.
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из STARIK в LIS
                Контекст именования: CN=Configuration,DC=starik,DC=dp1
                При репликации возникла ошибка (1331):
                Вход в систему не произведен: учетная запись в настоящее время отклю
    чена.
    
                Сбой возник в 2019-09-02 13:54:34.
                Последняя успешная операция была в 2019-09-01 15:54:34. После
                последней успешной операции было
                22 сбоев.
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из STARIK в LIS
                Контекст именования: DC=starik,DC=dp1
                При репликации возникла ошибка (1331):
                Вход в систему не произведен: учетная запись в настоящее время отклю
    чена.
    
                Сбой возник в 2019-09-02 13:54:28.
                Последняя успешная операция была в 2019-09-01 15:54:28. После
                последней успешной операции было
                22 сбоев.
             [Replications Check,LIS] Сбой при последней попытке репликации:
                Из REZERV в LIS
                Контекст именования: DC=starik,DC=dp1
                При репликации возникла ошибка (8524):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.
    
                Сбой возник в 2019-09-02 13:54:46.
                Последняя успешная операция была в 2019-08-22 07:54:25. После
                последней успешной операции было
                270 сбоев.
                DNS-имя на основе GUID
                96ebfb13-9e6b-452d-98bf-17d45ec42c98._msdcs.starik.dp1
                не зарегистрировано на одном или нескольких DNS-серверах.
             ......................... LIS - не пройдена проверка Replications
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   13:39:01
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   13:44:05
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   13:49:08
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   13:54:12
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   13:59:15
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:04:19
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:09:22
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:14:26
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:19:30
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:24:33
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:29:37
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 09/02/2019   14:34:40
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку
    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п
    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп
    исание ошибки.
             ......................... LIS - не пройдена проверка SystemLog
             Проблемы у некоторых объектов, относящихся к DC LIS:
                [1] Проблема: Отсутствует ожидаемое значение
                 Базовый объект:
                CN=NTDS Settings,CN=LIS,CN=Servers,CN=Default-First-Site-Name,CN=Sit
    es,CN=Configuration,DC=starik,DC=dp1
                 Описание базового объекта: "Объект DSA"
                 Имя атрибута объекта значения: serverReferenceBL
                 Описание объекта значения: "Объект члена SYSVOL FRS"
                 Рекомендуемое действие: См. статью базы знаний: Q312862
    
                [1] Проблема: Отсутствует ожидаемое значение
                 Базовый объект: CN=LIS,OU=Domain Controllers,DC=starik,DC=dp1
                 Описание базового объекта: "Объект учетной записи DC"
                 Имя атрибута объекта значения: frsComputerReferenceBL
                 Описание объекта значения: "Объект члена SYSVOL FRS"
                 Рекомендуемое действие: См. статью базы знаний: Q312862
    
             ......................... LIS - не пройдена проверка VerifyReferences
    
    Обращение к Rezerv можно не смотреть , это КД который не заведен нормально в домен, я пытался на него все передать, но не вышло.

    Тут ошибки вызваны тем что запись кд LIS была удалена и потом восстановлена как описано выше.
    И теперь на том серваке в оснастке АД написано незанятая учетная запись контроллера домена, которая отключена и не переустанавливается. Отсюда вот первый вопрос если я выведу старый КД из домена и потом заведу чтобы запись обновилась и стала корректной слетит ли база kdc.

    ipconfig:

    Ethernet adapter LocalAGDP:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connectio
    n
       Физический адрес. . . . . . . . . : 00-25-90-09-33-3E
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.2.111(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.2.103
       DNS-серверы. . . . . . . . . . . : 192.168.2.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Лог на сервере где не запускается kdc выдает 3 ошибки

    Тип события:	Предупреждение
    Источник события:	LSASRV
    Категория события:	SPNEGO (согласователь) 
    Код события:	40960
    Дата:		02.09.2019
    Время:		12:10:12
    Пользователь:		Н/Д
    Компьютер:	STARIK
    Описание:
    Система безопасности обнаружила ошибку проверки подлинности  сервера cifs/starik.starik.dp1. Полученный от протокола проверки подлинности Kerberos код ошибки: "Невозможно обратиться за проверкой подлинности в орган сертификации.
     (0x80090311)".
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    Данные:
    0000: 11 03 09 80               ...€    

    Вторая :

    Тип события:	Предупреждение
    Источник события:	Kerberos
    Категория события:	Отсутствует
    Код события:	10
    Дата:		02.09.2019
    Время:		12:10:34
    Пользователь:		Н/Д
    Компьютер:	STARIK
    Описание:
    В подсистеме Kerberos возникла ошибка при получении билетов с контроллера домена по сетевому протоколу UDP.  Обычно это бывает вызвано ошибками в сети.  Обратитесь к системному администратору.
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    Данные:
    0000: 11 03 09 80               ...€    

    Может не прав, но думаю она просто из-за частого обращения  к Керберос вообще, а не именно по UDP.

    Третья ошибка при попытке запустить KDC:

    Тип события:	Ошибка
    Источник события:	Service Control Manager
    Категория события:	Отсутствует
    Код события:	7023
    Дата:		01.09.2019
    Время:		21:00:41
    Пользователь:		Н/Д
    Компьютер:	STARIK
    Описание:
    Служба "Центр распространения ключей Kerberos" завершена из-за ошибки 
    Не удается найти текст сообщения с номером 0xЦентр распространения ключей Kerberos в файле сообщений Не удается найти текст сообщения с номером 0xЦентр удается найти текст сообщения с номером 0xЦентр удается найти текст сообщения с номером 0xЦентр распространения ключей Kerberos в файле сообщений Не удается найти текст сообщения с номером 0xЦентр распространения ключей Kerberos в файле сообщений Не удается найти текст сообщения с номером 0xЦентр распространения ключей Kerberos в файле сообщений %2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Как я понимаю часть системных файлов повреждена поэтому сислог ошибку не может отобразить корректно , к сожалению нет пока возможности выключить сервер подключить CD с диском и сделать по нормально sfc /scannow

    делал делал netdom resetpwd не помогло.

    Незнаю как как точно мысль сформулировать. Итоговая задача просто чтобы домен не развалился точней доверие машин, пользователей и шар. Запутался уже весь с керберосом, а нормального описания для Центра ключей Kerberos не нашел , единственный инструмент klist, дающий возможность только посмотреть даже аналога kinit нет, чтобы получать ключи принудительно когда это требуется.

    Второй вопрос если я сейчас окончательно выведу второй сервер из AD и не заводя обратно его попробую поднять kerberos на 2003 , есть ли вообще шанс что все не отвалится.
    Или можно как то перевести все временно на нтлм чтобы было окно возможностей для поднятия нового кд и постепенной передачи всего что необходимо на него.


    • Изменено GreyReaper 2 сентября 2019 г. 12:17
    2 сентября 2019 г. 12:15