KRB_AP_ERR_MODIFIED

Portamatite di floppy / Floppy pen holder 7/7Cosa c’è di meglio che iniziare la settimana con un errore del genere da un cliente?

Due server Windows (un 2003 e un 2008), sul 2003 la snap-in Active Directory Users and Computers all’avvio mostra un bell’errore “Nome principale di destinazione scorretto” e non mostra utenti; ovviamente nessuni si può collegare al server.

Negli eventi è loggato un errore ID 4 di Kerberos che così recita:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server xxxxxxxxx$. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (yyyyyyyyyy), and the client realm. Please contact your system administrator.

Una rapida ricerca su EventID rivela che non sono il primo a cui capita un guaio simile, ma la strada indicata (risoluzione dei nomi o nomi duplicati) non è applicabile alla mia situazione.

Altre ricerche mi indirizzano su questa nota tecnica in cui viene spiegato come resettare l’account di un DC utilizzando NETDOM. Purtroppo tre reboot più tardi il problema era irrisolto.

Decido, quindi di andare a botte di DCDIAG eseguendo i test uno alla volta.

Memore di questo avevo letto poco prima su EventID, eseguo tra i primi il test del DNS e qui salta fuori una cosa strana. Il test del DNS fallisce perché uno dei server DNS configurati nelle impostazioni di rete sembra non avere informazioni sul dominio. Utilizzando l’interfaccia grafica, avevo già visto che i DNS erano configurati correttamente; dal momento che avevo aperto CMD, digito IPCONFIG /ALL e mi ritrovo come terzo DNS server quello del provider, configurato dal SysAdmin che seguiva il cliente prima di me.

Rimosso il DNS dalle impostazione avanzate del TCP/IP, tutto è tornato a funzionare.

Un grazie di cuore e un augurio di un mese continuato da trascorrere entro 20 metri dalla toilette al genio del male che ha pensato di dividere in due l’interfaccia di configurazione dei server DNS anche nei server Windows: se per le versioni client è accettabile, per le versioni server è pericolosissimo.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “KRB_AP_ERR_MODIFIED”

Spazio per un commento