none
The Kerberos KDC failed to locate the forest... RRS feed

  • Вопрос

  • Здравствуйте, коллеги.Помогите разобраться.

    Есть два домена с трастом. При разрывах по каналам связи между ними, на контроллерах вылезает предупреждение:

    event id 30:

    The Kerberos Key Distribution Center failed to locate the forest or domain "name.domain" to search. Please ensure that the forest search order policy is correctly configured, and that this forest or domain is available.

    Вроде всё логично, нет, так нет связи, подождём. И контроллеры ждут, по ощущениям минут 30-40. Если связь поднялась больше событий нет, если не поднялась, снова event id 30 и по кругу.

    И всё вроде бы нормально, но если сбой происходит на пару минут, то контроллеры выжидают тот же "сорокоминутный" таймаут, следовательно пользователи использующие сервисы по Kerberos в другом домене через эти контроллеры "нервно курят в сторонке".

    Конечно поможет перезагрузка контроллера или рестарт критических служб AD, но это жёсткое решение для штатно работающих серверов.

    В связи с этим вопрос к опытным коллегам. Возможно ли принудительно заставить контроллер домена вручную перепроверить доступность трастового домена или снизить таймаут на меньшее значение?

    Заранее спасибо за Ваши квалифицированные ответы.


    21 апреля 2016 г. 7:46

Ответы

Все ответы

  • Привет,

    Проверьте настроен ли у Вас forest search order policy :

    Use forest search order

    Configure Kerberos Forest Search Order (KFSO)


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    22 апреля 2016 г. 5:28
    Модератор
  • Да, настроен.

    Список лесов заполнен, поиск включен.

    Я думаю, эта связка как раз и приводит к подобному предупреждению. Похоже "это не бага, это фича". :)

    Вопрос, как этот поиск "пнуть" вручную по необходимости?

    22 апреля 2016 г. 6:02
  • Вопрос, как этот поиск "пнуть" вручную по необходимости?

    Verify Trust пробовали делать?

    Microsoft Certified Doing Nothing Expert

    • Изменено Dmitry Zobnin 22 апреля 2016 г. 15:39
    • Помечено в качестве ответа Smandr 29 апреля 2016 г. 12:56
    22 апреля 2016 г. 15:39
  • Приведите сообщение об ошибке полностью.

    Может еще есть сопутствующие сообщения?


    Сазонов Илья

    https://isazonov.wordpress.com/

    24 апреля 2016 г. 7:10
    Модератор
  • to Dmitry Zobnin

    О! А это идея! Что-то сам не догадался. При следующем сбое постараюсь проверить "пинок" командой проверки траста...

    Спасибо за мысль и ссылку!



    • Изменено Smandr 25 апреля 2016 г. 11:43
    25 апреля 2016 г. 11:23
  • to ILYA [ sie ] Sazonov

    1.Event id в шапке темы указан полностью.

    Разве что добавлю:

    Log Name: System

    Source: Kerberos-Key-Distribution-Center

    2. Нет, больше никаких сопутствующих сообщений контроллеры не выставляют, да и упомянутое мной это всего лишь warning, а не error. Выскакивает однократно, далее по таймауту, если трастовый домен всё ещё не  виден.



    • Изменено Smandr 25 апреля 2016 г. 11:44
    25 апреля 2016 г. 11:34
  •   Вчитывание в синтаксис netdom trust вызвало вопрос, вероятно искомая команда для "пинка":

    netdom trust ourname.local /d:othername.local /verify /KERBEROS

    или

    netdom trust /d:othername.local /verify /KERBEROS

    Если я планирую "пнуть" конкретный мой DC, какая команда правильнее?



    P.S. в othername.local я не админ.
    • Изменено Smandr 25 апреля 2016 г. 13:14
    25 апреля 2016 г. 12:47
  • Для простоты сделайте Verify через GUI. Оснастка Domains and Trusts.

    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Smandr 29 апреля 2016 г. 12:58
    25 апреля 2016 г. 21:13