14
AD Replikation zwischen Standorten schlägt fehl nach Level auf 2008R2
Hallo zusammen,
ich habe ein (mittelschweres?) Problem mit dem AD.
Ausgangssituation:
Standort A:
3 DCs unter Win 2008R2
Standort B:
1 DC unter Win 2008R2
Das ganze ist Konfiguriert über AD Standorte- und Dienste.
Beide Level waren auf Server 2003.
Dann habe ich am Standort A beide Level auf 2008R2 angehoben.
Leider hat das Standort B nicht mitbekommen und seitdem läuft die Replikation von A nach B vor die Wand. Im Event Viewer von Standort B stehen jede Menge Fehler 1925 unter Verzeichnisdienst und dem Zusatz
Fehlerwert:
2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt.
Ich habe auf allen DCs daraufhin in der Lokalen Sicherheitsrichtlinie unter Security Settings\ Local Policies\ Security Options” wird die Einstellung “Network security: Configure encryption types allowed for Kerberos" die Verschlüsselungen wieder aktiviert und auch der Registry Key wird korrekt mit "0x7FFFFFFF" angezeigt.
Leider passt der Sync noch immer nicht.
Hat jemand vielleicht den entscheidenden Hinweis wie ich die Replikation wieder in Gang bekomme?
Vielen Dank!
ich habe ein (mittelschweres?) Problem mit dem AD.
Ausgangssituation:
Standort A:
3 DCs unter Win 2008R2
Standort B:
1 DC unter Win 2008R2
Das ganze ist Konfiguriert über AD Standorte- und Dienste.
Beide Level waren auf Server 2003.
Dann habe ich am Standort A beide Level auf 2008R2 angehoben.
Leider hat das Standort B nicht mitbekommen und seitdem läuft die Replikation von A nach B vor die Wand. Im Event Viewer von Standort B stehen jede Menge Fehler 1925 unter Verzeichnisdienst und dem Zusatz
Fehlerwert:
2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt.
Ich habe auf allen DCs daraufhin in der Lokalen Sicherheitsrichtlinie unter Security Settings\ Local Policies\ Security Options” wird die Einstellung “Network security: Configure encryption types allowed for Kerberos" die Verschlüsselungen wieder aktiviert und auch der Registry Key wird korrekt mit "0x7FFFFFFF" angezeigt.
Leider passt der Sync noch immer nicht.
Hat jemand vielleicht den entscheidenden Hinweis wie ich die Replikation wieder in Gang bekomme?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 752240619
Url: https://administrator.de/contentid/752240619
Printed on: April 24, 2024 at 10:04 o'clock
14 Comments
Latest comment
Moin,
im WWW findet sich ja ein wenig was dazu:
starte mal den Kerberos Key Distribution Service neu
https://social.technet.microsoft.com/Forums/en-US/9fe02655-bab9-43e4-977 ...
https://social.technet.microsoft.com/Forums/Lync/en-US/a0f9bf4d-8c00-4ca ...
Das ist aber auch nur das, was ich gefunden habe - selbst hatte ich das Problem (zum Glück) noch nie.
Gruß
em-pie
im WWW findet sich ja ein wenig was dazu:
starte mal den Kerberos Key Distribution Service neu
https://social.technet.microsoft.com/Forums/en-US/9fe02655-bab9-43e4-977 ...
https://social.technet.microsoft.com/Forums/Lync/en-US/a0f9bf4d-8c00-4ca ...
Das ist aber auch nur das, was ich gefunden habe - selbst hatte ich das Problem (zum Glück) noch nie.
Gruß
em-pie
Hab schon alles neugestartet. Hat leider nix gebracht.
Was hast du wo neugestartet?
Den KDC am Standort A?
Den gesamten DC am Standort B?
Was gibt ein repadmin /showrepl an allen DCs zurück
bzw. gibt es fehler, wenn du ein dcdiag ausführst?
Edit: die Suche führt immer auf die KDC-Dienste zurück
https://niedhorn.de/2015/12/02/replikationsfehler-zum-standort-der-angef ...
Den KDC am Standort A?
Den gesamten DC am Standort B?
Was gibt ein repadmin /showrepl an allen DCs zurück
bzw. gibt es fehler, wenn du ein dcdiag ausführst?
Edit: die Suche führt immer auf die KDC-Dienste zurück
https://niedhorn.de/2015/12/02/replikationsfehler-zum-standort-der-angef ...
Hi,
vielleicht hilft Dir das hier: https://www.winsysadminblog.com/2013/02/fixing-kdc-authentication-proble ...
bzw. das hier http://clintboessen.blogspot.com/2014/11/problems-when-upgrading-your-d ...
Habt ihr auch noch ältere Exchange Server im Einsatz?
Gruß
cykes
vielleicht hilft Dir das hier: https://www.winsysadminblog.com/2013/02/fixing-kdc-authentication-proble ...
bzw. das hier http://clintboessen.blogspot.com/2014/11/problems-when-upgrading-your-d ...
Habt ihr auch noch ältere Exchange Server im Einsatz?
Gruß
cykes
Alle DCs wurden neugestartet.
repadmin meldet auch "Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt."
Die KDC-Dienste werden ja automatisch mit dem reboot neugestartet.
repadmin meldet auch "Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt."
Die KDC-Dienste werden ja automatisch mit dem reboot neugestartet.
Notfalls demotest du ihn und fügst ihn neu hinzu...?!?
Das müsste sogar nahtlos gehen, weil die Clients im Standort B automatisch den DC des Standorts A finden sollten, ich hoffe ihr habt das in der VPN Verbindung nicht gesperrt.
Das müsste sogar nahtlos gehen, weil die Clients im Standort B automatisch den DC des Standorts A finden sollten, ich hoffe ihr habt das in der VPN Verbindung nicht gesperrt.
Daran hatte ich auch schon gedacht. Geht vermutlich schneller.
Ggf. einen temporären DC vor Ort platzieren, sofern eine VM vor Ort mal eben hochgezogen werden kann.
Würde vermutlich auch als VM auf einem Notebook/ PC ausreichen...
Ggf. einen temporären DC vor Ort platzieren, sofern eine VM vor Ort mal eben hochgezogen werden kann.
Würde vermutlich auch als VM auf einem Notebook/ PC ausreichen...
Demote hab ich auch schon dran gedacht bzw probiert.
Leider funktioniert das mittels dcpromo.exe nicht da er den DC am Standort A nicht findet.
Bliebe also nur dcpromo.exe /forceremoval aber da hab ich bisschen Respekt vor das Command auf dem DC am Standort B auszuführen....
Leider funktioniert das mittels dcpromo.exe nicht da er den DC am Standort A nicht findet.
Bliebe also nur dcpromo.exe /forceremoval aber da hab ich bisschen Respekt vor das Command auf dem DC am Standort B auszuführen....
Finden die Clients im Standort B einen der DC's vom Standort A, wenn der DC vom Standort B herunter gefahren ist?
Ist der DC im Standort B eine VM?
Ist der DC im Standort B eine VM?
Muss ich noch testen indem ich den DC an B runterfahre und dann einen User anmelden lasse. Im Besten Fall sollte es ja dann funktionieren.
VM, nein. Sollte aber kein Problem sein, oder?
VM, nein. Sollte aber kein Problem sein, oder?
Mal eine andere Frage: die Replikation hat vor dem Hochziehen des Levels sauber funktioniert?
Nicht, dass du/ wir hier gerade nur an einem Folgeproblem herumdoktern...
Nicht, dass du/ wir hier gerade nur an einem Folgeproblem herumdoktern...
VM, nein. Sollte aber kein Problem sein, oder?
Es wäre dann einfacher einfach eine zweite VM parallel dazu aufzusetzen. So musst du im Notfall neu installieren, SCSI Treiber suchen usw...Muss ich noch testen indem ich den DC an B runterfahre und dann einen User anmelden lasse.
Dieser wird im Client aus dem Cache angemeldet. Versuch dann einen anderen User am Client anzumelden, der noch nicht an dem PC angemeldet war, dann "muss" der DC gesucht werden und du siehst die Fehlermeldung sofort.Mit "ping domainname" sollte ein DC vom Standort A antworten - also nicht den Host direkt anpingen, sondern wirklich nur den Domain Namen.
Die Replikation hat funktioniert.
Okay, probiere ich. DC_B raus, Neuer Testuser am Client an B anmelden und dann mal gucken ob es klappt und was ping domainname sagt.
Wenn das funktionieren sollte, kann ich ja eigentlich ohne Probleme dcpromo.exe /forceremoval ausführen und den DC_B abschießen und an A das Active directory säubern, oder?
Okay, probiere ich. DC_B raus, Neuer Testuser am Client an B anmelden und dann mal gucken ob es klappt und was ping domainname sagt.
Wenn das funktionieren sollte, kann ich ja eigentlich ohne Probleme dcpromo.exe /forceremoval ausführen und den DC_B abschießen und an A das Active directory säubern, oder?
Richtig ... Du hast dann auch alle Zeit der Welt den DC neu einzurichten.
Gut, Anmeldung wird etwas länger dauern, weil die Rechner immer noch im Cache haben, dass der DC vom Standort B ihr letzter Anmeldeserver war. Nach einem Timeout werden dann die anderen DCs angesprochen.
Gut, Anmeldung wird etwas länger dauern, weil die Rechner immer noch im Cache haben, dass der DC vom Standort B ihr letzter Anmeldeserver war. Nach einem Timeout werden dann die anderen DCs angesprochen.
