公司最近遇到一個問題,某天一台AD 含 5大角色突然有問題無法連線,強迫重開機後,看起來都OK,也可以正常和其他DC同步。
但是在這台DC重開後,公司的server 事件檢視器有看到如下圖event id 4 的錯誤訊息
後來陸續有些server 發生無法使用網域帳號登入的情況,必須使用本機帳戶登入
登入後要重開機才恢復正常。
找了一下相關解法 發現類似的問題
https://dotblogs.com.tw/dotjason/2014/08/05/146166
Kerberos 用戶端從伺服器 XXX$ 收到 KRB_AP_ERR_MODIFIED 錯誤
解法:
重設定定KDC 密碼
netdom resetpwd /server:伺服器 /userd:網域名稱\administrator /passwordd:administrator的密碼
和同事依照此方式執行後觀察還是有些主機會發生無法登入,使用本機登入後查看log 發現輸入網域帳號密碼驗證OK,但是隨即後面就會出現ServerXXX$ 登入錯誤
在此紀錄一下,或許重設定後就可以OK,但是發生該情況的主機還是必須要重新開機才可以解決,如果有朋友遇到類似情況有更好解決方是再麻煩分享給我。
另一台主機的log
本篇瀏覽人數: 5093
我之前也有遇到此問題,下列幾個討論點讓您知道一下,我的環境是Win2003升級Win2016後就會出現此狀況,server、使用者的電腦都會出現此問題。ad也都有檢測過是健康的。
最後我是先把電腦和ad密碼驗証日期先停用(預設是30天就會更新密碼一次,更新密碼後就會出現之狀況,但也不是每一台電腦都會這樣),停用後就沒在發現之狀況了。先提供給您參考。
https://social.technet.microsoft.com/Forums/zh-TW/da5bcef6-1d7e-408b-bf11-e7c7741aa641/-domain-member-server-id-1097-id-4-dc?forum=winserver2012zhtw
https://blogs.technet.microsoft.com/askds/2014/07/23/it-turns-out-that-weird-things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012-r2-domain-controllers/
您好
大感謝您提供的方式~~請教一下~~您當時情況是所有windows 2003 DC 都降級了只剩下windows 2016 DC後server和用戶PC都有此情況出現嗎?
我最近也遇到這個問題,但不是每一台DC都有同樣的錯誤訊息,也不會無法登入。
最後發現問題是DNS的A紀錄資料不一致問題造成的。
例如在DNS server的A紀錄中192.168.10.10對應A電腦名稱。
當A電腦因故沒開,B電腦開機後也使用192.168.10.10這個IP時,
AD認證抓dns紀錄,發現相同IP但電腦名稱不同,票證憑證也不同,於是DC就會報錯。
也許DHCP環境配到別台IP時更容易有這個狀況….
解法就是,把dns上的錯誤 A記錄刪掉即可(dns會自行記錄新的IP與電腦名稱。)
不用重設密碼也不用重新開機….
例如錯誤訊息:
使用的目標名稱為 cifs/aaa.xxx.com。這指出用來加密 kerberos 服務票證的密碼 與目標伺服器上的不同。
上面這個aaa.xxx就是dns需要清掉的舊的A電腦名稱。
您好
感謝您提供解法