AD Replikation zwischen Standorten schlägt fehl nach Level auf 2008R2
Hallo zusammen,
ich habe ein (mittelschweres?) Problem mit dem AD.
Ausgangssituation:
Standort A:
3 DCs unter Win 2008R2
Standort B:
1 DC unter Win 2008R2
Das ganze ist Konfiguriert über AD Standorte- und Dienste.
Beide Level waren auf Server 2003.
Dann habe ich am Standort A beide Level auf 2008R2 angehoben.
Leider hat das Standort B nicht mitbekommen und seitdem läuft die Replikation von A nach B vor die Wand. Im Event Viewer von Standort B stehen jede Menge Fehler 1925 unter Verzeichnisdienst und dem Zusatz
Fehlerwert:
2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt.
Ich habe auf allen DCs daraufhin in der Lokalen Sicherheitsrichtlinie unter Security Settings\ Local Policies\ Security Options” wird die Einstellung “Network security: Configure encryption types allowed for Kerberos" die Verschlüsselungen wieder aktiviert und auch der Registry Key wird korrekt mit "0x7FFFFFFF" angezeigt.
Leider passt der Sync noch immer nicht.
Hat jemand vielleicht den entscheidenden Hinweis wie ich die Replikation wieder in Gang bekomme?
Vielen Dank!
ich habe ein (mittelschweres?) Problem mit dem AD.
Ausgangssituation:
Standort A:
3 DCs unter Win 2008R2
Standort B:
1 DC unter Win 2008R2
Das ganze ist Konfiguriert über AD Standorte- und Dienste.
Beide Level waren auf Server 2003.
Dann habe ich am Standort A beide Level auf 2008R2 angehoben.
Leider hat das Standort B nicht mitbekommen und seitdem läuft die Replikation von A nach B vor die Wand. Im Event Viewer von Standort B stehen jede Menge Fehler 1925 unter Verzeichnisdienst und dem Zusatz
Fehlerwert:
2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt.
Ich habe auf allen DCs daraufhin in der Lokalen Sicherheitsrichtlinie unter Security Settings\ Local Policies\ Security Options” wird die Einstellung “Network security: Configure encryption types allowed for Kerberos" die Verschlüsselungen wieder aktiviert und auch der Registry Key wird korrekt mit "0x7FFFFFFF" angezeigt.
Leider passt der Sync noch immer nicht.
Hat jemand vielleicht den entscheidenden Hinweis wie ich die Replikation wieder in Gang bekomme?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 752240619
Url: https://administrator.de/forum/ad-replikation-zwischen-standorten-schlaegt-fehl-nach-level-auf-2008r2-752240619.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
im WWW findet sich ja ein wenig was dazu:
starte mal den Kerberos Key Distribution Service neu
https://social.technet.microsoft.com/Forums/en-US/9fe02655-bab9-43e4-977 ...
https://social.technet.microsoft.com/Forums/Lync/en-US/a0f9bf4d-8c00-4ca ...
Das ist aber auch nur das, was ich gefunden habe - selbst hatte ich das Problem (zum Glück) noch nie.
Gruß
em-pie
im WWW findet sich ja ein wenig was dazu:
starte mal den Kerberos Key Distribution Service neu
https://social.technet.microsoft.com/Forums/en-US/9fe02655-bab9-43e4-977 ...
https://social.technet.microsoft.com/Forums/Lync/en-US/a0f9bf4d-8c00-4ca ...
Das ist aber auch nur das, was ich gefunden habe - selbst hatte ich das Problem (zum Glück) noch nie.
Gruß
em-pie
Was hast du wo neugestartet?
Den KDC am Standort A?
Den gesamten DC am Standort B?
Was gibt ein repadmin /showrepl an allen DCs zurück
bzw. gibt es fehler, wenn du ein dcdiag ausführst?
Edit: die Suche führt immer auf die KDC-Dienste zurück
https://niedhorn.de/2015/12/02/replikationsfehler-zum-standort-der-angef ...
Den KDC am Standort A?
Den gesamten DC am Standort B?
Was gibt ein repadmin /showrepl an allen DCs zurück
bzw. gibt es fehler, wenn du ein dcdiag ausführst?
Edit: die Suche führt immer auf die KDC-Dienste zurück
https://niedhorn.de/2015/12/02/replikationsfehler-zum-standort-der-angef ...
Hi,
vielleicht hilft Dir das hier: https://www.winsysadminblog.com/2013/02/fixing-kdc-authentication-proble ...
bzw. das hier http://clintboessen.blogspot.com/2014/11/problems-when-upgrading-your-d ...
Habt ihr auch noch ältere Exchange Server im Einsatz?
Gruß
cykes
vielleicht hilft Dir das hier: https://www.winsysadminblog.com/2013/02/fixing-kdc-authentication-proble ...
bzw. das hier http://clintboessen.blogspot.com/2014/11/problems-when-upgrading-your-d ...
Habt ihr auch noch ältere Exchange Server im Einsatz?
Gruß
cykes
Daran hatte ich auch schon gedacht. Geht vermutlich schneller.
Ggf. einen temporären DC vor Ort platzieren, sofern eine VM vor Ort mal eben hochgezogen werden kann.
Würde vermutlich auch als VM auf einem Notebook/ PC ausreichen...
Ggf. einen temporären DC vor Ort platzieren, sofern eine VM vor Ort mal eben hochgezogen werden kann.
Würde vermutlich auch als VM auf einem Notebook/ PC ausreichen...
VM, nein. Sollte aber kein Problem sein, oder?
Es wäre dann einfacher einfach eine zweite VM parallel dazu aufzusetzen. So musst du im Notfall neu installieren, SCSI Treiber suchen usw...Muss ich noch testen indem ich den DC an B runterfahre und dann einen User anmelden lasse.
Dieser wird im Client aus dem Cache angemeldet. Versuch dann einen anderen User am Client anzumelden, der noch nicht an dem PC angemeldet war, dann "muss" der DC gesucht werden und du siehst die Fehlermeldung sofort.Mit "ping domainname" sollte ein DC vom Standort A antworten - also nicht den Host direkt anpingen, sondern wirklich nur den Domain Namen.