Início > Active Directory, Fore Front TMG 2010 > Perda da relação de confiança em uma infra estrutura de servidores Forefront TMG

Perda da relação de confiança em uma infra estrutura de servidores Forefront TMG

Saudações,

Essa semana a operação nos acionou para verificação de uma infra estrutura TMG em um de nossos clientes.

Temos um servidor EMS e dois nodes TMG em NLB servindo uma média de 7.000 usuários.

Ao tentar acesso no servidor TMG o administrador recebia a seguinte mensagem de erro:

 

image

Ao analisar o event viewer nos deparávamos com os seguintes erros:

Error      4/22/2013 10:05:33 AM GroupPolicy       1053      None
The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Log Name:      System
Source:        Microsoft-Windows-Security-Kerberos
Date:          4/22/2013 10:05:28 AM
Event ID:      5
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:     
Description:
The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server host/oesp0001.grpoesp.com.br. This indicates that the ticket used against that server is

not yet valid (in relationship to that server time).  Contact your system administrator to make sure the client and server times are in sync, and that the KDC in realm GRPOESP.COM.BR is in sync with the KDC in the client realm.

Podemos aqui verificar problemas de acesso do node TMG ao Domain Controller.

Para entender bem a importância do acesso do TMG no Domain Controller, vc pode usar como referência o artigo escrito a algum tempo pelo Yuri Diógenes clicando aqui.

Depois de um certo tempo ficou inviável o acesso ao servidor por uma perda de relação de confiança entre TMG Server e o Domain Controller, conforme mensagem abaixo:

 

image

Para resolver este problema você pode seguir um dos métodos abaixo usando uma conta local com direitos administrativos:

1. Remover a estação do domínio e recoloca-la:

Em uma infra estrutura pequena com apenas um node o processo é simples:

Remover do domínio / Reboot / Inserir novamente no domínio

Para infras com mais de um node em array (via EMS ou Stand Alone Array) vc precisa remover a máquina afetada do array, usando a opção “disjoin server from array” no painel Tasks conforme abaixo:

image

Feito o disjoin, você remove o servidor do domínio / reboot / insere novamente / reboot / logon com conta de domínio e faz o join do servidor no array conforme abaixo:

image

Clicando na opção “Join Array”, você vai inserir o node em um stand alone array ou em um EMS.

2. Corrigir a relação de confiança usando o utilitário netdom:

Em um command prompt com elevação de permissão digite o seguinte comando:

netdom.exe resetpwd /s:<server> /ud:<user> /pd:*

Reinicie o servidor e faça novo logon com sua conta de domínio.

Para informações sobre sintaxes do comando netdom vá no link abaixo:

http://support.microsoft.com/kb/325850

A opção 2 é a mais recomendada para que você tenha menos trabalho e consiga restaurar seu ambiente em menos tempo, mas, em algumas situações, a opção 1 é a mais indicada.

Espero que o artigo seja útil e possa ajudar.

Abraços

Uilson

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: