Недавно я добавил новый DC Server 2012 и отключил предыдущий DC 2003. Контроллер домена Server 2012 теперь является единственным контроллером домена в сети. Я также добавил псевдоним (CNAME), чтобы к новому серверу можно было получить доступ с помощью DNS-имени старого сервера.
Теперь я вижу ошибку и несколько предупреждений в журнале событий, которые, как я подозреваю, связаны с некоторыми «остатками» или другой конфигурацией, которая пытается синхронизироваться со старым сервером. Одно из этих событий: [Ошибка] Идентификатор события Kerberos 4 - Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED от сервера new-srvr $. Используемое целевое имя было cifs / old-srvr.
Я надеялся, что кто-нибудь сможет пролить свет на это с возможным разрешением.
ОБНОВЛЕНИЕ: добавление дополнительных деталей Я понизил роль DC 2003 с помощью dcpromo, прежде чем отключать его. Однако мне пришлось использовать опцию force, потому что я получал ошибку, связанную с DomainDnsZones и fSMORoleOwner. Не знаю, почему, потому что я проверил, что все 5 этих ролей передали право собственности на новый сервер: Мастер именования доменов схемы Мастер Относительный идентификатор инфраструктуры (RID) Главный эмулятор PDC Я следовал руководству Вот.
Во-вторых, я добавил CNAME для SMB, а не для домена. Я хотел, чтобы клиенты могли продолжать использовать \ old-server, поэтому я выполнил инструкции Вот.
Интересно, может быть, это «опасная» практика для DC и не может / не должна выполняться.
«Я также добавил псевдоним (CNAME), чтобы к новому серверу можно было получить доступ с помощью DNS-имени старого сервера».
Хорошая попытка, но KRB_AP_ERR_MODIFIED error - это способ Kerberos сообщить вам $ # @! выключен, потому что имена не совпадают. Все имена хостов, записи DNS A и SPN должны совпадать. Записи CNAME / псевдонимы не могут использоваться в этой ситуации.
(Чтобы быть более конкретным, клиенты создают SPN для Kerberos, используя DNS-имя компьютера, на котором размещается служба, к которой клиент хочет подключиться. Если это SPN не зарегистрировано на объекте компьютера в AD, оно не будет , поскольку новый DC имеет другое имя, чем старый DC, Kerberos работать не будет.)
Вам необходимо выполнить очистку метаданных старого контроллера домена.
https://technet.microsoft.com/en-us/library/Cc816907(v=WS.10).aspx
Прокрутите вниз до конца статьи, где объясняется, как использовать ntdsutil для очистки метаданных.
Удалите этот CNAME. Удалите существующие записи DNS, относящиеся к старому серверу. Сюда входят записи A, записи SRV, записи PTR и т. Д.
Проверьте каждого члена домена и убедитесь, что они используют IP-адрес нового контроллера домена в качестве единственного преобразователя DNS.