Eventid 4 Kerberos

[hoogteijling]

Op onze server (Windows2003 SBS) komt er altijd een foutmelding als 1 bepaalde gebruiker zich aanmeld.
Nu weet ik vrijwel zeker dat dit te maken heeft met een duplicate computeraccount in de AD.
Ik begrijp alleen niet hoe ik dit kan verhelpen.
Iets met ADSI edit maar ik weet niet precies hoe dat werkt.
In het verleden heb ik al eens de pcnaam veranderd van LAPTOP-17 naar LAPTOP-17A

--------------------------
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server LAPTOP-17A$. The target name used was cifs/PC-06.XXXXXXXXXX.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (XXXXXXXX.LOCAL), and the client realm. Please contact your system administrator.
--------------------------

Groeten Marcel

 

[dnties]

Je praat over een hernoem-actie van een computeraccount. Als ik je goed begrijp heb je dat in AD gedaan ipv. op/via het werkstation. Je kunt inderdaad ADSIedit proberen om de naam aan te passen, maar ik zou persoonlijk de laptop opnieuw in het domein hangen:
1. Zet de laptop weer terug naar een werkgroep. Zet alvast de computernaam goed zoals je het uiteindelijk hebben wilt (dus LAPTOP-17 of LAPTOP-17A). Herstart de laptop als daar om gevraagd wordt (ben wel zeker dat je het wachtwoord van de lokale gebruiker Administrator kent!)
2. Je opent op de SBS-server het AD hierna (Active Directory Users and Computers). Als het goed is staat het computeraccount dan op gedeactiveerd. Rechtsklik op het computeraccount en kies voor: Account opnieuw instellen. Daarna weer rechtsklikken op het computeraccount en kiezen voor Account inschakelen.
Hernoem nu de computernaam in het domein naar hoe je het uiteindelijk hebben wilt (LAPTOP-17 danwel LAPTOP-17A).
3. Verwijder alle LAPTOP-17 en LAPTOP-17A gegevens uit de Forward en Reverse DNS-zones in de DNS.
4. Op de laptop: Meld de laptop weer opnieuw aan in het domein onder de juiste computernaam. Het gevraagde computeraccount zou automatisch gevonden moeten worden, want bestaat reeds (zie 2.) én is gereset, dus zal je gevraagd worden of je dat computeraccount wilt gebruiken. Zodra uitgevoerd en de laptop is geherstart, check de Logboeken op de laptop en op de server of alles in orde is.

Succes,

Tijs.

 

[hoogteijling]

het computeraccount heb ik (ooit een keer) hernoemd op de laptop zelf (computernaam).
Dit omdat hij wat problemen gaf, soms kon er opeens niet geprint worden, netwerktoegang geweigerd, exchange server onbereikbaar, vroeg soms opeens om eenwachtwoord etc.
Toen heb ik de computer inderdaad eerst in de werkgroep geplaatst, naam veranderd en daarna opnieuw in het AD geplaatst.
Ik weet echter niet meer wat de precieze volgorde geweest is.

Dat met die DNS heb ik nog nooit gedaan nadat ik de laptop had gewijzigd maar ik weet hoe dat moet.
Is dat echt noodzakelijk om het goed te krijgen?

Ik las ergens op internet iets over het controleren op duplicate computeraccounts m.b.v. ADSedit maar ik begreeop niet helemaal wat en waar ik iets moest zoeken.

Wanneer de laptop binnen is zal ik alles precies volgens jouw volgorde uitvoeren.

Groeten Marcel

 

[dnties]

Als je denkt dat er dubbele computernamen bestaan, dan zou je even in Active Directory Users and Computers kunnen kijken, en aldaar zoeken in je forest naar alle computeraccounts.

M.b.t. DNS: De laptop gaat het ip-adres + naam vanzelf opnieuw bij de de DNS aanmelden zodra opnieuw opgestart. Het eerst leegmaken is dus een goede maatregel om (DNS update-)problemen vóór te zijn.

Mocht het probleem na het volledige verhaal van mijn vorige posting en de eerste paragraaf boven niet voorbij zijn, dan kunnen we nog verder kijken naar middelen als ADSIedit. ADSIedit is een extreem krachtige tool die bij verkeerd gebruik je dik in de problemen kan brengen. ADSIedit wil ik dus pas in allerlaatste instantie inzetten.

Tijs.

 

[hoogteijling]

Ok, je hoort nog van me.
Bedankt zover :thumb:

Groeten Marcel

 

[hoogteijling]

Het werkt

Dank je

 

[dnties]

Graag gedaan. Fijn dat het opgelost is. :thumb:

Tijs.