Tijdens een migratie van Domain Controllers waarbij oude Server 2012R2 DC’s vervangen werden door Server 2019 DC’s. De migratie verliep probleemloos en om heel veel werk te besparen heb ik de IP adressen van de nieuwe DC’s gelijk gemaakt aan de oude DC’s.
Hierdoor hoef je niet alle devices af om DNS etc. aan te passen en dat scheelde bij deze klant heel veel werk.
Hoe je het IP adres of de naam van een Domain Controller moet wijzigen vindt je in dit artikel!
Het probleem:
Helaas liep ik na het demoten van de oude DC’s tegen een probleem aan bij het aanmelden op SAP Business Objects.
Gebruikers konden niet meer aangemeld worden bij SAP en kregen de volgende foutmelding:
Account information not recognized: Active Directory Authentication failed to log you on. Please contact your system administrator to make sure you are a member of a valid mapped group and try again. If you are not a member of the default domain, enter your user name as UserName@DNS_DomainName, and then try again. (FWM 00006)
Tijdens het uitzoeken zagen we in de Central Management Console van SAP dat authenticatie niet plaats vindt met LDAP maar over Kerberos. Met LDAP was er niets aan de hand geweest en had alles normaal gewerkt.
In de Central Management Console lijkt alles goed te staan, credentials kloppen, groepen en gebruikers was niets aan gewijzigd maar aan de server configuratie kon eigenlijk niets gewijzigd worden.
Dan nog maar dieper in de materie duiken en diverse logs bekeken.
Ik kwam uit bij Tomcat, de webserver waarop de Central Management Console draait. Hier vond ik een logbestand STDOUT.log waarin authenticatie foutmeldingen te vinden waren.
Hierin zag ik dat er naar de oude DC verwezen werd op poort 88 maar dat werkt dus niet meer.
Ergens in de configuratie moest dus een verwijzing naar die server staan.
De oplossing :
Uiteindelijk vond ik een handleiding waarin diverse configuraties staan en hoe dit in te richten valt. Daarbij werd verwezen naar het bestand krb5.ini waarin je aan kunt geven welke domain controller gebruikt moest worden. In de handleiding stond dat deze in C:\Windows geplaatst dient te worden maar daar vond ik het bestand niet.
In dit geval stond het bestand in C:\Winnt, waarom weet ik niet maar dat zal enkele jaren geleden zo door de SAP consultants ingericht zijn.
Dit bestand heb ik aan kunnen passen door de volgende regel te voorzien van de nieuwe DC :
kdc = NIEUWEDC.DOMEIN.LOCAL
Vervolgens het bestand opgeslagen en de server geherstart.
Na enkele minuten waarna SAP weer opgestart was geprobeerd weer aan te melden en dit keer met succes!
Het probleem was opgelost en de gebruikers konden weer aanmelden en verder met hun werk!
Een kleinigheidje dus maar ook hier moet je maar net weer even weten waar je het moet zoeken.