我最近添加了一个新的Server 2012 DC,并将之前的2003 DC离线。 Server 2012 DC现在是networking上唯一的DC。 我还添加了别名(CNAME),以便可以使用旧服务器的DNS名称访问新服务器。
我现在在事件日志中看到一个错误和几个警告,我怀疑这些警告与一些“剩菜”或其他尝试同步到旧服务器的configuration有关。 其中一个事件是:[错误] Kerberos事件ID 4 – Kerberos客户端从服务器new-srvr $收到一个KRB_AP_ERR_MODIFIED错误。 使用的目标名称是cifs / old-srvr。
我希望有人可以通过一个可能的解决办法来解决这个问题。
更新:添加一些更多的细节,我使用dcpromo降级2003年DC,然后再脱机。 我不得不使用强制选项,虽然因为我得到一个与DomainDnsZones和fSMORoleOwner相关的错误。 不知道为什么,因为我确认了所有这些angular色中的5个都将所有权转移给了新的服务器:架构主域命名主机基础架构主相对ID(RID)主PDC模拟器我遵循这里的指南。
其次,我添加CNAME的原因是针对SMB,而不是与域相关的。 我希望客户能够继续使用\旧服务器,所以我按照这里的说明。
我想知道这对于区议会来说是否是一个“危险”的做法,不能/不应该这样做。
“我还添加了一个别名(CNAME),以便使用旧服务器的DNS名称访问新服务器。”
不错的尝试,但KRB_AP_ERR_MODIFIED错误是Kerberos的方式告诉你$#@! 因为名字不匹配。 所有主机名,DNS Alogging和SPN必须匹配。 CNAME /别名logging不能在这种情况下使用。
(更具体地说,客户端使用主机客户端希望连接的服务的计算机的DNS名称来构buildKerberos的SPN,如果这个SPN没有在AD中的计算机对象上注册, ,因为新DC的名称与旧DC不同,Kerberos将无法工作。)
您需要执行旧DC的元数据清理。
https://technet.microsoft.com/en-us/library/Cc816907(v=WS.10).aspx
向下滚动到文章底部,介绍如何使用ntdsutil执行元数据清理。
删除该CNAME。 删除引用旧服务器的现有DNSlogging。 包括Alogging,SRVlogging,PTRlogging等
检查每个域成员,确保他们使用新域控制器的IP地址作为他们唯一的DNSparsing器。