Resetting Domain Controller computer account password
Cand vine vorba de replicarea intre domain controllere sunt multi factori care trebuie luati in calcul, insa unul este acela ca si DC-urile se autentifica unul la celalalt. Iar daca autentificarea nu merge, atunci nici replicarea nu o sa mearga.
Iar cand lucrul asta se intampla de obicei vedeti erori gen “The target principal name is incorrect", “Access denied” sau KRB_AP_ERR_MODIFIED.
http://support.microsoft.com/kb/2090913
Si de regula asta se intampla atunci cand exista o desincronizare intre parola computer account-ului unui domain controller. Adica un domain controller a trecut de mai mult de doua ori prin procesul de schimbare a parolei computer accountului, a scris informatia respectiva in AD-ul local, dar partenerii remote nu au noua parola.
Din cauza asta autentificarea prin Kerberos (ce cripteaza informatii pe baza parolei computer accountului) nu o sa mearga, deci nici replicarea.
Schimbarea parolei se poate face cu NETDOM:
netdom resetpwd /server:<remote DC> /userd:<user name> /passwordd:<password>
La parametrul /server trebuie pus numele DC-ului unde se doreste sa se faca schimbarea. Parola va fi schimbata in acelasi timp si local dar si pe DC-ul remote. Ignorati help-ul comenzii.
In acest timp, KDC-ul local trebuie oprit iar serverul trebuie facut sa-si obtina tickete noi de la un alt KDC.
Sunt multe articole cu informatii despre aceasta procedura insa cel mai complet mi s-a parut cel de aici:
http://support.microsoft.com/kb/2090913
Dar si http://support.microsoft.com/kb/260575 si
PS: NETDOM si NLTEST sunt de baza pentru aceasta operatiune.