Срок Windows Server 2003 end of life закончился еще вчера (14 июля 2015), и хотя многие предприятия обновили свои контроллеры доменов с 2003, некоторые еще могут находиться в процессе обновления.
Первое, что важно решить при переходе- куда мы будем двигаться и на какую ОС. Сейчас выбор стоит так: 2008, 2008R2, 2012, или 2012R2. Однако, независимо от того, на какую новую ОС вы будете переходить с 2003, аккаунт krbtgt сбросит (reset) свой пароль при обновлении функционального уровня домена (DFL). И это может повлиять на доступность Exchange.
Примечание: Если Ваш текущий уровень домена уже установлен 2008 или выше, вам не нужно проделывать шаги статьи. 🙂
Хорошей отправной точкой будет понимание того, что во время процесса повышения функционального уровня домена системный аккаунт krbtgt сменит пароль. Репликация измененного пароля отдельный процесс и происходит уже после того, как уровень домена был повышен. Это изменение не повлияет на любые приложения, зависимые от Active Directory, но иногда это может повлиять на остановку аутентификации приложений, одним из которых является Exchange.
Хотя повышение функционального уровня необратимая ситуация (во многих случаях, но не всегда), оно должно быть тщательно спланировано и произведено только после проверки того, что приложения, полагающиеся на Directory Services в своей работе, продолжат корректную работу после обновления. В основном это могут быть продукты третьих фирм (или программы собственных разработок). В этом случае лабораторная среда для проверки будет лучшим решением, а в следствии этого- и рекомендацией лучших практик Microsoft.
После того, как Вы подняли уровень домена с 2003, находим ошибки в журналах событий Система на контроллерах домена за номерами Event ID 14 или Event ID 10.
Если Вы наблюдаете эти ошибки после повышения функционального уровня домена, то есть пара вариантов исправления ситуации для решения ошибки аутентификации.
Вариант 1: Перезапустите службу Kerberos Key Distribution Center на всех контроллерах домена (короткое прерывание сервиса, перезапуск)
- Воспользовавшись командной строкой:
- SC \\ComputerName Stop kdc
- SC \\ComputerName Start kdc
- Вариант с использованием модуля Active Directory PowerShell:
- $DC=Get-ADDomainController
- Get-Service KDC –ComputerName $DC | Restart-Service
- Через графический интерфейс GUI:
- Откройте оснастку Services (services.msc) на контроллерах
- Выберите службу Kerberos Key Distribution и щелкните “Перезапустить”
Вариант 2: Перезагрузка всех контроллеров в лесу (большее прерывание сервиса, перезагрузка серверов может занять длительное время)
- Вручную выполняем вход на каждый контроллер и перезагружаем, ИЛИ
- Все тем же Active Directory PowerShell module:
- $DC=Get-ADDomainController
- Restart-Computer $DC
Почему это важно?
Хотя влияние перехода должно быть нулевым для приложений, факт того, что пароль учетной записи krbtgt меняется и это может привести к остановке Exchange (или других приложений), которые могут ожидать успешной репликации измененного пароля в течение нормального цикла репликации AD.Рекомендуется выполнить шаги решения выше.
Почему это случается только при переходе с 2003 DFL?
Под капотом ситуации добавление новых хэшей AES, представленных в NT 6.0. Изменения только добавляют хэши AES во время изменения функционального режима домена на более высокий (’08, ‘08R2, ’12, ‘12R2). В будущем поддержка старых алгоритмов шифрования будет убираться, и Вы вновь можете наступить на эти же грабли.
Знание половина дела. Вероятность того, что Вы столкнетесь с описанной проблемой мала, но сейчас Вы знаете, как ее решить и будете готовыми к возможным неожиданностям. Планируйте переход, повышайте уровень контроллеров и домена; используйте все новые возможности, доступные сегодня, и не давайте Exchange ломаться!
Удачи.
IT in realworld 