Я недавно добавил новый DC Сервера 2012 и взял в предыдущем 2003 DC офлайн. DC Сервера 2012 является теперь единственным DC в сети. Я также добавил псевдоним (CNAME) так, чтобы к новому серверу можно было получить доступ с названием DNS старого сервера.
Я теперь вижу ошибку, и несколько предупреждений в конечном счете регистрируются, который я подозреваю, связаны с некоторыми "остатками" или иначе конфигурацией, которая пытается синхронизировать к старому серверу. Одно из этих событий: [Ошибка] Идентификатор события Kerberos 4 - клиент Kerberos получила ошибку KRB_AP_ERR_MODIFIED от new-srvr$ сервера. Целевое используемое имя было cifs/old-srvr.
Я надеялся, что кто-то мог пролить еще некоторый свет на это с возможным разрешением.
ОБНОВЛЕНИЕ: Добавление еще некоторой детали я действительно понижал в должности DC 2003 с помощью dcpromo прежде, чем вывести его из эксплуатации. Я действительно должен был использовать опцию силы хотя, потому что я связывал ошибку с DomainDnsZones и fSMORoleOwner. Не уверенный, почему, потому что я действительно проверял все 5 из этих ролей, передали владение новому серверу: Ведущее устройство Инфраструктуры Хозяина именования доменов Хозяина схемы Относительный идентификатор (RID) Основной Эмулятор PDC я следовал руководству здесь.
Во-вторых, причина, я добавил CNAME, для SMB и не связана с доменом. Я хотел, чтобы клиенты смогли продолжить использовать \old-сервер и таким образом, я следовал инструкциям здесь.
Интересно, является ли, возможно, это "опасной" практикой для DCS, и не может / не должен быть сделан.
"Я также добавил псевдоним (CNAME), чтобы к новому серверу можно было получить доступ с DNS-именем старого сервера. "
Хорошая попытка, но ошибка KRB_AP_ERR_MODIFIED
- это способ Kerberos сказать вам $ # @! off, потому что имена не совпадают. Все имена хостов, DNS A записи и имена участников-служб должны совпадать. В этой ситуации нельзя использовать записи CNAME / псевдонимов.
(Чтобы быть более конкретным, клиенты создают имена участников-служб для Kerberos, используя DNS-имя компьютера, на котором размещается служба, к которой клиент хочет подключиться. to. Если это SPN не зарегистрировано на объекте компьютера в AD, чего не будет,поскольку новый DC имеет другое имя, чем старый DC, Kerberos не будет работать.)
Вам необходимо выполнить очистку метаданных старого DC.
https://technet.microsoft.com/en-us /library/Cc816907(v=WS.10).aspx
Прокрутите вниз до конца статьи, где объясняется, как использовать ntdsutil для выполнения очистки метаданных.
Удалите CNAME. Удалите существующие записи DNS, относящиеся к старому серверу. Это включает записи A, записи SRV, записи PTR и т. Д.
Проверьте каждого члена домена и убедитесь, что они используют IP-адрес нового контроллера домена в качестве своего единственного преобразователя DNS.