У меня есть два новых контроллера домена в новом лесу. На серверах установлены службы DFS и IIS. Какое-то время казалось, что все идет хорошо. После обновления серверов появились новые ошибки. Теперь один раз в час дополнительный контроллер домена IIS2 вносит следующие ошибки в журнал событий:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED от сервера iis2 $. Используемое целевое имя было E3514235-4B06-11D1-AB04-00C04FC2DCD2/d170f7fc-6f05-4ea5-9dee-a657e3de019b/example.com@example.com. Это указывает на то, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это может произойти, если основное имя целевого сервера (SPN) зарегистрировано в учетной записи, отличной от учетной записи, которую использует целевая служба. Убедитесь, что целевое SPN зарегистрировано только в учетной записи, используемой сервером. Эта ошибка также может произойти, если пароль учетной записи целевой службы отличается от того, который настроен в Центре распространения ключей Kerberos для этой целевой службы. Убедитесь, что служба на сервере и KDC настроены на использование одного и того же пароля. Если имя сервера не полностью определено, а целевой домен (example.com) отличается от клиентского домена (example.com), проверьте, есть ли учетные записи сервера с одинаковыми именами в этих двух доменах, или используйте полное имя для идентификации сервера.
Что это на самом деле значит? Что мне делать, чтобы решить эту проблему? Как начать...
Это новые серверы, я даже пытался переустановить серверы с такими же ролями. Каждый раз возникает одна и та же ошибка Kerberos. Раньше с Ldap что-то было не так, а теперь это ...