Cabecera PRINCIPAL

Claves: técnico, redes, networks, microsoft, open source, gnu, programador, software, hardware, desarrolladores

Juan Enrique Gómez Péérez

miércoles, 30 de enero de 2008

Hace mucho que no nos vemos o KRB_AP_ERR_MODIFIED

De repente todos tus usuarios que han estado conectado a tus servicios de Terminal te llaman y te dicen que les sale un mensaje que dice, usuario no autorizado. Bueno, con lo bien que empezaba el dia, venga vamos a investigar que ocurre.


Un primer vistazo nos muestra que la conectividad entre los dos DC no existe no se ven uno y otro (el cliente mantiene su infraestructura y sus dos DC están conexioados por vpn que une dos lan en diferentes subnets). Bien por algún motivo se ha caido la VPN, los técnicos se ponen mano a la obra y consiguen reparar la VPN pero todo sigue igual, las máquinas se ven pero no son capaces de hablar entre ellas, de echo el evento KRB_AP_ERR_MODIFIED se reproduce en el visor de sucesos con cierta frecuencia, y ya no solo no atentica si no que no pueden compartir impresoras, o directoios, pero misteriosamente los equipos de la red local si pueden acceder al servidor local (el que no funciona TS).
Un poco de lectura del evento (pocos te dan tanta información) y un par de busquedas en google nos llevan a este articulo de la base de conocimiento de MS: http://support.microsoft.com/kb/325850.



El problema se debe a que desde hace mucho, mucho timepo los dos DC no están sincronizando sus bases, y la clave que utiliza kerberos para autenticar con la cuenta de equipo del otro controlador ha cambiado pero no se ha replicado el cambio en el otro controlador. Además al hacer tanto tiempo que ha ocurrido esto resulta que en el controlador que funciona correctamente incluso ha vuelto a cambiar esta clave una segunda vez, con lo que aunque hayamos restaurado la conectividad el nuevo controlador tiene "actualizaciones del Active Directory" que son obsoletas y no actualiza entre otras cosas estas credenciales.
Este problema solo lo hemos podido solucionar usando el comando netdom /resetpwd en ambas máquinaspara poner la misma clave para la autenticación de la cuenta de equipo, y que coincida en ambos extremos.
Buenos, si te pasa ya nos ha pasado antes ;-), si tienes cualquier aportación o corrección por favor sientete libre.
¡Saludos y suerte!