Artigo Original escrito em - http://uilson76.wordpress.com/2013/04/24/perda-da-relao-de-confiana-em-uma-infra-estrutura-de-servidores-forefront-tmg/

Objetivo:

Este artigo tem por objetivo mostrar os passos a serem seguidos para resolver o problema da perda de relação de confiança entre servidores Forefront TMG e o Domain Controller.

Descrição:

Ao tentar acesso no servidor TMG o administrador recebe a seguinte mensagem de erro:

Ao analisar o event viewer os seguintes erros aparecem:

Error 4/22/2013 10:05:33 AM GroupPolicy 1053 None
The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Log Name: System
Source: Microsoft-Windows-Security-Kerberos
Date: 4/22/2013 10:05:28 AM
Event ID: 5
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer:
Description:
The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server host/oesp0001.grpoesp.com.br. This indicates that the ticket used against that server is

not yet valid (in relationship to that server time). Contact your system administrator to make sure the client and server times are in sync, and that the KDC in realm GRPOESP.COM.BR is in sync with the KDC in the client realm.

Depois de um certo tempo o ambiente fica inacessivel conforme mensagem abaixo:

Causa:

Perda da relação de confiança entre o servidor TMG e o domain controller.

Para entender mais sobre perda da relação de confiança, clique no link abaixo:

http://technet.microsoft.com/pt-br/library/cc770264(v=ws.10).aspx

Sobre a importância do acesso do servidor TMG no Domain Controller, tenha como referência o artigo escrito a algum tempo pelo Yuri Diógenes clicando aqui.

Resolução:

Para resolver este problema, administrador pode seguir um dos métodos abaixo usando uma conta local com direitos administrativos:

1. Remover e recolocar a estação no domínio:

Em uma infra estrutura pequena com apenas um node o processo é simples:

Remover do domínio / Reboot / Inserir novamente no domínio

Para infras com mais de um node em array (via EMS ou Stand Alone Array), se faz necessáro remover a máquina afetada do array, usando a opção “disjoin server from array” no painel Tasks conforme abaixo:

Feito o disjoin, o administrador deverá remover o servidor do domínio, efetuar um reboot, fazer logon com uma conta local, inseri-lo novamente no domínio, efetuar novo reboot, efetuar logon com conta de domínio e fazer o join do servidor no array conforme abaixo:

Clicando na opção “Join Array”, o node é novamente inserido em um stand alone array ou em um EMS.

2. Corrigir a relação de confiança usando o utilitário netdom:

Em um command prompt com elevação de permissão digite o seguinte comando:

netdom.exe resetpwd /s:<server> /ud:<user> /pd:*

Reinicie o servidor e faça novo logon com sua conta de domínio.

Para informações sobre sintaxes do comando netdom vá no link abaixo:

http://support.microsoft.com/kb/325850

Conclusão:

Este artigo mostrou os passos a serem seguidos em um evento de perda de relação de confiança entre servidores Forefront TMG e domain controller