Event ID 4: The kerberos client received a KRB_AP_ERR_MODIFIED error from the server

Когато в мрежа от няколко домейн контролера (всички в един домейн) паролата за регистрация на машините по някаква причина изтече или е променена, всички домейн контролери от домейна спират да репликират данни с основния домейн контролер.

В резултат на това започват проблеми с DFS Replication, достъпа до папките на основния домейн контролер и др.

Проблема може да се реши, като се смени паролата на машините и се създаде нов канал за комуникация между отделните домейн контролери.

Това става по следния начин:

1. На всички домейн контролери се инсталира Windows Support Tools за съответната операционна система (за да ползваме netdom.exe). За Windows 2003 SP2 адреса е http://www.microsoft.com/downloads/details.aspx?FamilyID=96a35011-fd83-419d-939b-9a772ea2df90&displaylang=en.

2. На всички домейн контролери (освен на основния) се спира service Kerberos Key Distribution Center, задава и се "Manual startup" и се рестартира машината. След рестарта се изпълнява командата:

netdom resetpwd /server:server_name /userd:domain_name\administrator
/passwordd:administrator_password

Тук за server_name попълваме името на машината на основния домейн контролер.

Ако командата не се изпълни успешно в HOSTS файла (c:\windows\system32\drivers\etc\hosts) се добавя временен запис за адреса на основния домейн контролер. След изпълнението на комадата записа трябва да се изтрие.

3. След успешно изпълнение на комнадата на домейн контролерите те се рестартират и отново се стартира Kerberos Key Distribution Center, като и се задава "Automatic startup".

Изтточник:
http://support.microsoft.com/kb/288167