Active Directory – Evento 4 – KRB_AP_ERR_MODIFIED – Refazendo canal seguro entre DCs

Olá pessoal,

Em um cliente de porte médio, Active Directory com dois Domain Controllers (Windows Server 2008 R2), ocorreu um incidente em que algumas estações de trabalho pararam de receber as politicas aplicadas nas GPOs, não mapeavam as pastas da rede e impressoras e não carregava o papel de parede.

Verifiquei que realmente estava ocorrendo falha, primeiro tentando forçar as políticas (gpupdate /force) e depois verificando quais políticas estavam sendo aplicadas (gpresult /R) em ambos os casos ocorreu falha.

Verificando os domain controllers (dcdiag) identifiquei que houve falha na replicação e evento ID 4 no log de um dos servidores identificando falha na conectividade via Kerberos entre o DCs onde o ticket emitido pelo servidor que contém as FSMOs (para identificar utilize netdom query fsmo) não estava sendo descriptografado pelo outro servidor devido à conta associada ao servidor (neste caso Administrator) estar divergente.

Para corrigir e refazer o canal seguro entre os servidores executem os passos abaixo:

• No servidor (vamos considerar Servidor2) que está com falha no sincronismo, pare o serviço KDC com o comando net stop KDC
• Agora será necessário redefinir a conta e a senha do controlador de dominio no Servidor2 utilizando o comando netdom /resetpwd /server:Servidor2 /userd:dominio.com.br\administrator /passwordd:xxxxxxxxx
• Force uma sincronização do domínio utilizando repadmin /syncall
• Inicie o serviço KDC no Servidor2 com o comando net start KDC
• Reinicie os servidores e o canal de segurança estará refeito