Eine meiner bevorzugten Lektüren an einem Montagmorgen ist der Newsletter von Gostev (Veeam). Darin war heute ein sehr interessanter Link zum Microsoft Active Directory Team mit dem Titel:
It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers
Dabei kann es zu seltsamen Effekten in Bezug auf Kerberos kommen.
Event ID: 4
Source: Kerberos
Type: Error
“The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/myserver.domain.com. This indicates that the password used to encrypt the Kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain.com), and the client realm. Please contact your system administrator.”
Das Problem sind unterschiedliche Salt Verfahren zwischen Server 2012 R2 (AES) und Server 2003 (DES).
An einem Hotfix wird gearbeitet, jedoch ist dieser Stand heute noch nicht verfügbar. Der Artikel beschreibt jedoch ein Verfahren zur Umgehung des Probleme.