Nettoyage après avoir démoli le vieux DC

J'ai récemment ajouté un nouveau server 2012 DC et j'ai pris le DC 2003 précédent hors connection. Le server 2012 DC est maintenant le seul DC sur le réseau. J'ai également ajouté un alias (CNAME) afin d'accéder au nouveau server avec le nom DNS du server ancien.

Je vois maintenant une erreur et plusieurs avertissements dans le journal des events que je soupçonne sont liés à certains "rests" ou autrement configuration qui tente de synchroniser avec l'ancien server. L'un de ces events est: [Erreur] Kerberos Event ID 4 – Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du server new-srvr $. Le nom cible utilisé était cifs / old-srvr.

J'espérais que quelqu'un pourrait faire plus de lumière avec une résolution possible.

MISE À JOUR: En ajoutant plus de détails, j'ai démoli le DC 2003 en utilisant dcpromo avant de le mettre hors ligne. Je devais utiliser l'option force mais parce que j'avais une erreur liée à DomainDnsZones et fSMORoleOwner. Je ne sais pas pourquoi parce que j'ai vérifié que tous les 5 de ces rôles ont transféré la propriété sur le nouveau server: Maître de schéma Maître Maître ID Maître d'infrastructure Maître PDC Emulator J'ai suivi le guide ici .

Deuxièmement, la raison pour laquelle j'ai ajouté le CNAME est pour SMB et non sur le domaine. Je voulais que les clients puissent continuer à utiliser \ old-server et j'ai donc suivi les instructions ici .

Je me request si c'est peut-être une pratique "dangereuse" pour les DC et ne peut / ne doit pas être fait.

"J'ai également ajouté un alias (CNAME) afin d'accéder au nouveau server avec le nom DNS du server ancien."

Bon essai, mais l'erreur KRB_AP_ERR_MODIFIED est la manière de Kerberos de vous dire $ # @! parce que les noms ne correspondent pas. Tous les noms d'hôtes, les loggings DNS A et les SPN doivent correspondre. Les loggings CNAME / alias ne peuvent pas être utilisés dans cette situation.

(Pour être plus précis, les clients construisent des SPN pour Kerberos en utilisant le nom DNS de l'ordinateur qui héberge le service auquel le client souhaite se connecter. Si ce SPN n'est pas enregistré sur l'object informatique dans AD, ce ne sera pas , car le nouveau DC a un nom différent de l'ancien DC, Kerberos ne fonctionnera pas.)

Vous devez effectuer le nettoyage des métadonnées de l'ancien DC.

https://technet.microsoft.com/en-us/library/Cc816907(v=WS.10).aspx

Faites défiler vers le bas vers le bas de l'article où il explique comment utiliser ntdsutil pour effectuer le nettoyage des métadonnées.

Supprimez ce CNAME. Supprimez les loggings DNS existants qui se réfèrent à l'ancien server. Cela comprend les loggings A, les loggings SRV, les loggings PTR, etc.

Vérifiez tous les membres du domaine et assurez-vous qu'ils utilisent l'adresse IP du nouveau controller de domaine comme leur seul résolveur DNS.