Problemas com o Kerberos após o novo servidor com o mesmo nome ter ingressado no domínio

4

Ambiente: Windows Server 2012, 2 controladores de domínio, 1 domínio.

  • Um servidor chamado Sharepoint1 foi associado ao domínio (em execução Sharepoint 2013 usando NTLM).
  • A nova instalação do Sharepoint1 (OS e Sharepoint) é executada e configurar para o Kerberos e ingressou no domínio usando o mesmo nome. Dois SPNs adicionados para HTTP / sharepoint1 e HTTP / sharepoint1.somedomain.net para conta SPFarm.
  • O Active Directory mostra uma única conta de computador não duplicada com uma data de criação do primeiro servidor e uma data de modificação da segunda criação do servidor.
  • Um servidor separado também no domínio tem o servidor adicionado a todos Servidores no Gerenciador de Servidores. Este servidor mostra um erro local no eventos exatamente como Isso de Technet (erro Kerberos 4 - KRB_AP_ERR_MODIFIED).

Pergunta:

Alguém pode me ajudar a entender se o problema é:

  • A conta do computador ainda é a conta antiga e causa um Kerberos Incompatibilidade de bilhetes (concedida alguma limpeza na AD pode ter impedido isso)
  • (No meu entendimento limitado de Kerberos e SPNs) que o SPFarm conta usada para os SPNs é de alguma forma incompatível com chamadas HTTP feitas pelos serviços de ferramentas de gerenciamento de servidor remoto no Windows Server 2012
  • Algo completamente diferente?

Estou inclinado para o primeiro, já que testei os mesmos SPNs em outro servidor e ele não pareceu causar o mesmo problema. Se este for o caso, ele pode ser reparado com facilidade e segurança? Existe uma maneira correta de redefinir a conta ou, melhor ainda, excluir e adicionar novamente a conta? Embora pareça bastante simples com algum powershell ou clicando em Usuários e Computadores do AD, não tenho certeza do impacto que isso pode ter em um servidor existente, particularmente um que executa o SharePoint. Qual é a maneira mais segura e simples de proceder?

Obrigado!

    
por MentalBlock 03.11.2012 / 02:04

1 resposta

0

The computer account is still the old account and causing a Kerberos ticket mismatch

O uso de quem ingressou no segundo servidor tinha direitos suficientes para modificar a conta da máquina. Embora a conta da máquina ainda seja a "conta antiga", ela foi alterada e não funcionará mais com o primeiro servidor.

What is the safest and simplest way to proceed?

Estou assumindo que este servidor não está em produção; Eu consertei isso antes apenas fazendo um disjoin / rejoin do primeiro servidor ou o que você gostaria de manter. Você pode tentar uma redefinição de conta também, mas tive um sucesso ainda melhor. Não me lembro se ter o host desconectado tornará o SharePoint infeliz (já faz algum tempo desde que eu gerenciei um host SP), mas tudo deve ficar bem. O segundo servidor com esse nome também precisará ser desmembrado e reintegrado (com um novo nome).

    
por 27.11.2012 / 10:56