diematrix125
Goto Top

AD Replikation zwischen Standorten schlägt fehl nach Level auf 2008R2

Hallo zusammen,

ich habe ein (mittelschweres?) Problem mit dem AD.

Ausgangssituation:

Standort A:
3 DCs unter Win 2008R2

Standort B:
1 DC unter Win 2008R2

Das ganze ist Konfiguriert über AD Standorte- und Dienste.

Beide Level waren auf Server 2003.


Dann habe ich am Standort A beide Level auf 2008R2 angehoben.
Leider hat das Standort B nicht mitbekommen und seitdem läuft die Replikation von A nach B vor die Wand. Im Event Viewer von Standort B stehen jede Menge Fehler 1925 unter Verzeichnisdienst und dem Zusatz

Fehlerwert:
2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt.


Ich habe auf allen DCs daraufhin in der Lokalen Sicherheitsrichtlinie unter Security Settings\ Local Policies\ Security Options” wird die Einstellung “Network security: Configure encryption types allowed for Kerberos" die Verschlüsselungen wieder aktiviert und auch der Registry Key wird korrekt mit "0x7FFFFFFF" angezeigt.

Leider passt der Sync noch immer nicht.


Hat jemand vielleicht den entscheidenden Hinweis wie ich die Replikation wieder in Gang bekomme?


Vielen Dank!

Content-Key: 752240619

Url: https://administrator.de/contentid/752240619

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: em-pie
em-pie 20.06.2021 um 17:33:42 Uhr
Goto Top
Moin,

im WWW findet sich ja ein wenig was dazu:
starte mal den Kerberos Key Distribution Service neu

https://social.technet.microsoft.com/Forums/en-US/9fe02655-bab9-43e4-977 ...
https://social.technet.microsoft.com/Forums/Lync/en-US/a0f9bf4d-8c00-4ca ...

Das ist aber auch nur das, was ich gefunden habe - selbst hatte ich das Problem (zum Glück) noch nie.

Gruß
em-pie
Mitglied: diematrix125
diematrix125 20.06.2021 um 17:42:08 Uhr
Goto Top
Hab schon alles neugestartet. Hat leider nix gebracht.
Mitglied: em-pie
em-pie 20.06.2021 aktualisiert um 17:53:27 Uhr
Goto Top
Was hast du wo neugestartet?

Den KDC am Standort A?
Den gesamten DC am Standort B?

Was gibt ein repadmin /showrepl an allen DCs zurück
bzw. gibt es fehler, wenn du ein dcdiag ausführst?


Edit: die Suche führt immer auf die KDC-Dienste zurück
https://niedhorn.de/2015/12/02/replikationsfehler-zum-standort-der-angef ...
Mitglied: cykes
cykes 20.06.2021 aktualisiert um 18:00:59 Uhr
Goto Top
Hi,

vielleicht hilft Dir das hier: https://www.winsysadminblog.com/2013/02/fixing-kdc-authentication-proble ...

bzw. das hier http://clintboessen.blogspot.com/2014/11/problems-when-upgrading-your-d ...

Habt ihr auch noch ältere Exchange Server im Einsatz?

Gruß

cykes
Mitglied: diematrix125
diematrix125 20.06.2021 um 22:24:53 Uhr
Goto Top
Alle DCs wurden neugestartet.

repadmin meldet auch "Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt."


Die KDC-Dienste werden ja automatisch mit dem reboot neugestartet.
Mitglied: NordicMike
NordicMike 21.06.2021 um 08:31:16 Uhr
Goto Top
Notfalls demotest du ihn und fügst ihn neu hinzu...?!?

Das müsste sogar nahtlos gehen, weil die Clients im Standort B automatisch den DC des Standorts A finden sollten, ich hoffe ihr habt das in der VPN Verbindung nicht gesperrt.
Mitglied: em-pie
em-pie 21.06.2021 um 09:26:44 Uhr
Goto Top
Zitat von @NordicMike:

Notfalls demotest du ihn und fügst ihn neu hinzu...?!?
Daran hatte ich auch schon gedacht. Geht vermutlich schneller.
Ggf. einen temporären DC vor Ort platzieren, sofern eine VM vor Ort mal eben hochgezogen werden kann.
Würde vermutlich auch als VM auf einem Notebook/ PC ausreichen...
Mitglied: diematrix125
diematrix125 21.06.2021 um 09:49:07 Uhr
Goto Top
Demote hab ich auch schon dran gedacht bzw probiert.

Leider funktioniert das mittels dcpromo.exe nicht da er den DC am Standort A nicht findet.


Bliebe also nur dcpromo.exe /forceremoval aber da hab ich bisschen Respekt vor das Command auf dem DC am Standort B auszuführen....
Mitglied: NordicMike
NordicMike 21.06.2021 um 09:55:15 Uhr
Goto Top
Finden die Clients im Standort B einen der DC's vom Standort A, wenn der DC vom Standort B herunter gefahren ist?
Ist der DC im Standort B eine VM?
Mitglied: diematrix125
diematrix125 21.06.2021 um 09:57:13 Uhr
Goto Top
Muss ich noch testen indem ich den DC an B runterfahre und dann einen User anmelden lasse. Im Besten Fall sollte es ja dann funktionieren.

VM, nein. Sollte aber kein Problem sein, oder?
Mitglied: em-pie
em-pie 21.06.2021 um 09:58:53 Uhr
Goto Top
Mal eine andere Frage: die Replikation hat vor dem Hochziehen des Levels sauber funktioniert?
Nicht, dass du/ wir hier gerade nur an einem Folgeproblem herumdoktern...
Mitglied: NordicMike
NordicMike 21.06.2021 um 10:01:31 Uhr
Goto Top
VM, nein. Sollte aber kein Problem sein, oder?
Es wäre dann einfacher einfach eine zweite VM parallel dazu aufzusetzen. So musst du im Notfall neu installieren, SCSI Treiber suchen usw...

Muss ich noch testen indem ich den DC an B runterfahre und dann einen User anmelden lasse.
Dieser wird im Client aus dem Cache angemeldet. Versuch dann einen anderen User am Client anzumelden, der noch nicht an dem PC angemeldet war, dann "muss" der DC gesucht werden und du siehst die Fehlermeldung sofort.

Mit "ping domainname" sollte ein DC vom Standort A antworten - also nicht den Host direkt anpingen, sondern wirklich nur den Domain Namen.
Mitglied: diematrix125
diematrix125 21.06.2021 um 10:04:10 Uhr
Goto Top
Die Replikation hat funktioniert.


Okay, probiere ich. DC_B raus, Neuer Testuser am Client an B anmelden und dann mal gucken ob es klappt und was ping domainname sagt.

Wenn das funktionieren sollte, kann ich ja eigentlich ohne Probleme dcpromo.exe /forceremoval ausführen und den DC_B abschießen und an A das Active directory säubern, oder?
Mitglied: NordicMike
NordicMike 21.06.2021 um 10:09:02 Uhr
Goto Top
Richtig ... Du hast dann auch alle Zeit der Welt den DC neu einzurichten.

Gut, Anmeldung wird etwas länger dauern, weil die Rechner immer noch im Cache haben, dass der DC vom Standort B ihr letzter Anmeldeserver war. Nach einem Timeout werden dann die anderen DCs angesprochen.