Хоча підвищення функціонального рівня необоротна ситуація (у багатьох випадках, але не завжди), воно повинно бути ретельно сплановано і проведено тільки після перевірки того, що додатки, що покладаються на Directory Services в своїй роботі, продовжать коректну роботу після поновлення. В основному це можуть бути продукти третіх фірм (або програми власних розробок). В цьому випадку лабораторна середовище для перевірки буде кращим рішенням, а в слідстві цього-і рекомендацією кращих практик Microsoft.
Якщо Ви спостерігаєте ці помилки після підвищення функціонального рівня домену, тобто пара варіантів виправлення ситуації для вирішення помилки аутентифікації.
Варіант 1: Перезапустіть службу Kerberos Key Distribution Center на всіх контролерах домену (короткий переривання сервісу, перезапуск)
- За допомогою командного рядка:
- SC \\ ComputerName Stop kdc
- SC \\ ComputerName Start kdc
- Варіант з використанням модуля Active Directory PowerShell:
- $ DC = Get-ADDomainController
- Get-Service KDC -ComputerName $ DC | Restart-Service
- Через графічний інтерфейс GUI:
- Відкрийте оснастку Services (services.msc) на контролерах
- Виберіть службу Kerberos Key Distribution і клацніть «Запустити знову»
Варіант 2: Перезавантаження всіх контролерів в лісі (більше переривання сервісу, перезавантаження серверів може зайняти тривалий час)
Чому це важливо?
Хоча вплив переходу має бути нульовим для додатків, факт того, що пароль облікового запису krbtgt змінюється і це може привести до зупинки Exchange (або інших додатків), які можуть очікувати успішної реплікації зміненого пароля протягом нормального циклу реплікації AD.Рекомендуется виконати кроки рішення вище .
Під капотом ситуації додавання нових хеш AES, представлених в NT 6.0. Зміни тільки додають хеші AES під час зміни функціонального режиму домену на більш високий ('08, '08R2, '12,' 12R2). В майбутньому підтримка старих алгоритмів шифрування буде забиратися, і Ви знову можете наступити на ці ж граблі.
Знання половина справи. Імовірність того, що Ви зіткнетеся з описаної проблемою мала, але зараз Ви знаєте, як її вирішити і будете готовими до можливих несподіванок. Плануйте перехід, підвищуйте рівень контролерів і домена; використовуйте всі нові можливості. доступні сьогодні, і не давайте Exchange ламатися!