viernes, 11 de febrero de 2011

Ticket Kerberos problemática al restaurar maquinas virtuales

Una problematica común al restaurar una máquina virtualizada o no virtualizada.

Podemos entrar en un debate interesante.
¿Cual es el significado del termino backup?.
Backup = guardar en algún sitio lo realmente necesario, para una restauración en caso de conflicto critico.
Nos hemos olvidado del significado backup,  hacemos backup de todo.
Realmente somos los propios técnicos los que realizamos esto, o son nuestros responsables de IT los que nos obligan.
Nos tenemos que hacer la siguiente pregunta.
Todo el mundo hace backup de todo, en un entorno virtualizado. ¿.....?
Supongo que habrá miles de respuestas, pero tendremos que ser un poco sensatos, y hacer una pequeña reflexión de que estamos realizando.
Si creamos una pequeña tablita en excel, o con un simple papel y boli,.
Pensamos todo nuestro entorno........
Nos daremos cuenta...... tantas máquinas guardadas sin ningún sentido..
Si lo hiciesemos con sentido:
Podriamos reutilizar el espacio, en alta disponibilidad para nuestros servidores críticos.
Podrriamos realizar plantillas para realizar despliegues rápidamente.
Un ejemplo:
Un Domain Contoller?
Un servidor Xenapp?
Un servidor con un aplicativo y base de datos alojado en otro host?.
Si realizamos una pequeña reflexión nos daremos cuenta de una sencilla cuestión..
Estamos desaprovechando espacio,.
Nos comportamos como en casa, lo guardamos todo.
Absolutamente todo servirá en un futuro, pero cuando lo necesitamos..........
Con la tensión no recordamos donde guardamos ese bien tan preciado, o bien,  por el paso del tiempo estará obsoleto y no valdrá absolutamente para nada.
Una de las problematicas mas comunes a la hora de hacer un Restore de una máquina en un dominio, es la perdida del Ticket Kerberos.
Claro como somos un pelin insensatos y vemos cualquier error, enseguida le echamos la culpa al backup, pero.., no nos damos cuenta que el Ticket Kerberos caduca a los 90 días.

Unos pequeños trucos para que cuando arranques la máquina y te presente el siguiente error.... no te asustes.


The system cannot log you on due to the following error

Podremos utilizar Kerberos List (KList.exe) (RK) nstalaremos el Kit de Recursos de Windows 2003 para tener esta herramienta, en 2008 la tendremos por defecto.
Los comandos serian los siguientes
  • klist tgt displays the initial TGT.
  • klist tickets lists all cached tickets.
  • klist purge allows you to delete a specific ticket in a dialog.
Here is an example of such a dialog:
C:\>klist purge
       Cached Tickets: (10)

          Server: krbtgt/SUBDOM.NET.DOM@NET.DOM
             KerbTicket Encryption Type: RSADSI RC4-HMAC (NT)
             End Time: 6/12/2002 1:33:40
             Renew Time: 6/18/2002 15:33:40

       Purge? (y/n) : y
               Deleting ticket:
                  ServerName = krbtgt/SUBDOM.NET.DOM (cb=42)
                  RealmName = NET.DOM (cb=14)
       Submit Buffer size = 84
               Ticket purged!

También podremos utilizar Netdom.exe

C:\DocumentsandSettings\Administrator>netdom mimaquinarota /midominio /User:enterpriseadmin /Password : seguro que la tengo en el pos-it

Gpedit:

Gpedit.msc, . Expandimos Local Computer Policy, Windows Settings,  Security Settings,  Local Policies, Security Settings,  Local Policies,  Security Options. Configure the following settings:


Domain Member: Disable machine account password changes (DisablePasswordChange)
Domain Member: Maximum machine account password age (MaximumPasswordAge)
Domain Controller: Refuse machine account password changes (RefusePasswordChange)
Nos fijaremos que la configuración horaria sea correcta en la máquina que tenga la problematica. 

Unos link de referencia


No hay comentarios:

Publicar un comentario