Ich hatte nach einer sonst erfolgreichen Domänen Migration von 2003 nach 2012 R2 das Problem, dass sich diverse Clients, Server, ja sogar die Domänen Controller selbst, keine Anmeldung mehr erlaubten. Es kam die Meldung:
“Anmeldung verweigert”. Nach dem Reboot, war alles für eine unbestimmt Zeit wieder OK.
Folgende Meldung erschien auf dem betroffenden Domänen Controller
<Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server “CLIENTNAME$” empfangen. Der verwendete Zielname war CLIENTNAME$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DOMAINFQDN) von der Clientdomäne DOMAINFQDN) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.>
In den Foren fand man schnell heraus, dass das Problem scheinbar herumschwirrt, aber noch keine Lösung vorhanden ist. Der Microsoft Case wurde mir geschenkt, da jetzt ein offizieller Hotfix vorhanden ist.
http://support.microsoft.com/kb/2989971
Prerequs beachten:

