03.11.2023, aktualisiert um 10:40:10 Uhr

3592

Anmeldung an neuem DC schlägt fehl

Moin,
wir versuchen gerade unserer 2012er DC's abzulösen. Dazu möchten wir neue 2022er promoten. Die Domäne ansich existiert seit 2001.

Leider klappt das bisher so semi-gut. DNS und NTP sind inzwischen glattgezogen, da gabs doch einige verwaiste Einträge bzw. NTP war nicht sauber verteilt. Um 2022 auszuschließen wurde testweise auch ein 2016er aufgesetzt, gleiches Problem:

Die Anmeldung am 2022er Desktop schlägt fehl: Benutzername / Passwort falsch.

Per Enter-PSSession komme ich allerdings schon auf den 2022er!

Die Hoffnung liegt nun im folgenden Artikel:
https://learn.microsoft.com/de-de/troubleshoot/windows-server/user-profi ... gestoßen.

Uns fehlt tatsächlich der msds-PasswordSettingsContainer Container.

Allerdings verstehe ich Schritt 4 "Löschen Sie die Container der Vorgänge, die Sie erneut ausführen müssen" nicht.
cn=Operations,cn=DomainUpdates,cn=System ist gefüllt mit meheren duzend Einträgen.

Welche soll ich nun löschen? Alle?!

Vielen Dank für eure Unterstützung

Michael

Hier noch ein paar Logs zum eigentlichen Problem

Server7 = einer von zwei 2012R2 DC's
server-dchw2022 = der neue

C:\Users\Administrator.DOM>dcdiag /s:server7

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER7
      Starting test: Connectivity
         ......................... SERVER7 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER7
      Starting test: Advertising
         ......................... SERVER7 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... SERVER7 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
         SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
         haben.
         ......................... Der Test DFSREvent für SERVER7 ist
         fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... SERVER7 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... SERVER7 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... SERVER7 hat den Test KnowsOfRoleHolders
         bestanden.
      Starting test: MachineAccount
         ......................... SERVER7 hat den Test MachineAccount
         bestanden.
      Starting test: NCSecDesc
         ......................... SERVER7 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... SERVER7 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... SERVER7 hat den Test ObjectsReplicated
         bestanden.
      Starting test: Replications
         ......................... SERVER7 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... SERVER7 hat den Test RidManager bestanden.
      Starting test: Services
         ......................... SERVER7 hat den Test Services bestanden.
      Starting test: SystemLog
         ......................... SERVER7 hat den Test SystemLog bestanden.
      Starting test: VerifyReferences
         ......................... SERVER7 hat den Test VerifyReferences
         bestanden.


   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation
         bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DOM
      Starting test: CheckSDRefDom
         ......................... DOMhat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... DOM hat den Test CrossRefValidation
         bestanden.

   Unternehmenstests werden ausgeführt auf: DOM.de
      Starting test: LocatorCheck
         ......................... DOM.de hat den Test LocatorCheck
         bestanden.
      Starting test: Intersite
         ......................... DOM.de hat den Test Intersite
         bestanden.

C:\Users\Administrator.DOM>dcdiag /s:server-dchw2022

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022
      Starting test: Connectivity
         ......................... SERVER-DCHW2022 hat den Test Connectivity
         bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022
      Starting test: Advertising
         ......................... SERVER-DCHW2022 hat den Test Advertising
         bestanden.
      Starting test: FrsEvent
         ......................... SERVER-DCHW2022 hat den Test FrsEvent
         bestanden.
      Starting test: DFSREvent
         Das Ereignisprotokoll DFS Replication auf dem Server
         server-dchw2022.DOM.de konnte nicht abgefragt werden. Fehler:
         0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test DFSREvent für SERVER-DCHW2022 ist
         fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... SERVER-DCHW2022 hat den Test SysVolCheck
         bestanden.
      Starting test: KccEvent
         Das Ereignisprotokoll Directory Service auf dem Server
         server-dchw2022.DOM.de konnte nicht abgefragt werden. Fehler:
         0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test KccEvent für SERVER-DCHW2022 ist
         fehlgeschlagen.
      Starting test: KnowsOfRoleHolders
         ......................... SERVER-DCHW2022 hat den Test
         KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... SERVER-DCHW2022 hat den Test MachineAccount
         bestanden.
      Starting test: NCSecDesc
         ......................... SERVER-DCHW2022 hat den Test NCSecDesc
         bestanden.
      Starting test: NetLogons
         ......................... SERVER-DCHW2022 hat den Test NetLogons
         bestanden.
      Starting test: ObjectsReplicated
         ......................... SERVER-DCHW2022 hat den Test
         ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... SERVER-DCHW2022 hat den Test Replications
         bestanden.
      Starting test: RidManager
         ......................... SERVER-DCHW2022 hat den Test RidManager
         bestanden.
      Starting test: Services
         ......................... SERVER-DCHW2022 hat den Test Services
         bestanden.
      Starting test: SystemLog
         Das Ereignisprotokoll System auf dem Server
         server-dchw2022.DOM.de konnte nicht abgefragt werden. Fehler:
         0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test SystemLog für SERVER-DCHW2022 ist
         fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... SERVER-DCHW2022 hat den Test
         VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation
         bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test
         CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DOM
      Starting test: CheckSDRefDom
         ......................... DOM hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... DOM hat den Test CrossRefValidation
         bestanden.

   Unternehmenstests werden ausgeführt auf:DOM.de
      Starting test: LocatorCheck
         ......................... DOM.de hat den Test LocatorCheck
         bestanden.
      Starting test: Intersite
         ......................... DOM.de hat den Test Intersite
         bestanden.

[server-dchw2022]: PS C:\Users\administrator.DOM\Documents> DCDiag /test:DNS /a

Verzeichnisserverdiagnose

Anfangssetup wird ausgef?hrt:

   Der Homeserver wird gesucht...

   Homeserver = server-dchw2022

   * Identifizierte AD-Gesamtstruktur.
   [SERVER7] LDAP-Bindungsfehler 8341,

   Ein Verzeichnisdienstfehler ist aufgetreten..
   Fehler beim sberpr?fen des Dom"nencontrollers auf Verwendung von FRS oder  

   DFSR. Fehler: Ein Verzeichnisdienstfehler ist aufgetreten. Die Tests

   "VerifyReferences", "FrsEvent" und "DfsrEvent" k"nnen aufgrund dieses  

   Fehlers m"glicherweise nicht ausgef?hrt werden.  

   [SERVER5] LDAP-Bindungsfehler 8341,

   Ein Verzeichnisdienstfehler ist aufgetreten..
   Fehler beim sberpr?fen des Dom"nencontrollers auf Verwendung von FRS oder  

   DFSR. Fehler: Ein Verzeichnisdienstfehler ist aufgetreten. Die Tests

   "VerifyReferences", "FrsEvent" und "DfsrEvent" k"nnen aufgrund dieses  

   Fehlers m"glicherweise nicht ausgef?hrt werden.  

   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgef?hrt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER7

      Starting test: Connectivity

         Fehler beim sberpr?fen der LDAP- und RPC-Konnektivit"t. sberpr?fen Sie  

         die Firewalleinstellungen.

         ......................... Der Test Connectivity f?r SERVER7 ist

         fehlgeschlagen.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER5

      Starting test: Connectivity

         Fehler beim sberpr?fen der LDAP- und RPC-Konnektivit"t. sberpr?fen Sie  

         die Firewalleinstellungen.

         ......................... Der Test Connectivity f?r SERVER5 ist

         fehlgeschlagen.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022

      Starting test: Connectivity

         ......................... SERVER-DCHW2022 hat den Test Connectivity

         bestanden.

Prim"rtests werden ausgef?hrt.  

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER7

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER5

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022

      Starting test: DNS

            DNS-Tests werden ordnungsgem"á ausgef?hrt. Warten Sie einige  

            Minuten...

               Starting test: DNS

                        Starting test: DNS

                           ......................... Der Test DNS f?r SERVER7

                           ist fehlgeschlagen.

                  ......................... Der Test DNS f?r SERVER5 ist

                  fehlgeschlagen.

         ......................... SERVER-DCHW2022 hat den Test DNS bestanden.

   Partitionstests werden ausgef?hrt auf: ForestDnsZones

   Partitionstests werden ausgef?hrt auf: DomainDnsZones

   Partitionstests werden ausgef?hrt auf: Schema

   Partitionstests werden ausgef?hrt auf: Configuration

   Partitionstests werden ausgef?hrt auf: DOM

   Unternehmenstests werden ausgef?hrt auf: DOM.de

      Starting test: DNS

         Testergebnisse f?r Dom"nencontroller:  

            Dom"nencontroller: Server7.DOM.de  

            Dom"ne: DOM.de  

               TEST: Authentication (Auth)
                  Error: Authentication failed with specified credentials

               TEST: Basic (Basc)
                  Fehler: Keine LDAP-Konnektivit"t  
                  Error: No WMI connectivity
                  F?r diesen Dom"nencontroller wurden keine Hosteintr"ge (A  

                  oder AAAA) gefunden.

            Dom"nencontroller: server-dchw2022.DOM.de  

            Dom"ne: DOM.de  

               TEST: Dynamic update (Dyn)
                  Warning: Failed to add the test record dcdiag-test-record in zone DOM.de

            Dom"nencontroller: Server5.DOM.de  

            Dom"ne: DOM.de  

               TEST: Authentication (Auth)
                  Error: Authentication failed with specified credentials

               TEST: Basic (Basc)
                  Fehler: Keine LDAP-Konnektivit"t  
                  Error: No WMI connectivity
                  F?r diesen Dom"nencontroller wurden keine Hosteintr"ge (A  

                  oder AAAA) gefunden.

         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.

            RReg. Erw.
            _________________________________________________________________
            Dom"ne: DOM.de  

               Server7                      FAIL FAIL n/a  n/a  n/a  n/a  n/a
               server-dchw2022              PASS PASS PASS PASS WARN PASS n/a
               Server5                      FAIL FAIL n/a  n/a  n/a  n/a  n/a

         ......................... Der Test DNS f?r DOM.de ist

         fehlgeschlagen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 8325236646

Url: https://administrator.de/contentid/8325236646

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

22 Kommentare

Neuester Kommentar

msds-PasswordSettingsContainer-Container: Versuch mal

repadmin /syncall /force

und

repadmin /showrepl /all

um den Container zu erstellen und dann zu prüfen ob er wieder da ist.

Keine Veränderung

C:\Users\Administrator.DOM>repadmin /syncall /force
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
    Von: edaf279b-cf8d-4eca-9504-4079d0d98866._msdcs.DOM.de
    An : b5d09162-d572-49ec-9807-981d7d6358ae._msdcs.DOM.de
RÜCKRUFMELDUNG: Die folgende Replikation wurde erfolgreich abgeschlossen:
    Von: edaf279b-cf8d-4eca-9504-4079d0d98866._msdcs.DOM.de
    An : b5d09162-d572-49ec-9807-981d7d6358ae._msdcs.DOM.de
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
    Von: ea83eaf1-6923-4577-b312-914d0aff2124._msdcs.DOM.de
    An : b5d09162-d572-49ec-9807-981d7d6358ae._msdcs.DOM.de
RÜCKRUFMELDUNG: Die folgende Replikation wurde erfolgreich abgeschlossen:
    Von: ea83eaf1-6923-4577-b312-914d0aff2124._msdcs.DOM.de
    An : b5d09162-d572-49ec-9807-981d7d6358ae._msdcs.DOM.de
RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen.
SyncAll wurde ohne Fehler beendet.


C:\Users\Administrator.DOM>repadmin /showrepl /all

Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführ  
t
Standardname-des-ersten-Standorts\SERVER7
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: b5d09162-d572-49ec-9807-981d7d6358ae
DSA-Aufrufkennung: 22f54fb1-0888-4e22-ba8c-a86c78195599

==== EINGEHENDE NACHBARN=====================================

DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 10:30:02 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 10:37:31 war erfolgreich.

CN=Configuration,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 10:38:12 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 10:38:12 war erfolgreich.

CN=Schema,CN=Configuration,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 09:46:39 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 09:46:39 war erfolgreich.

DC=ForestDnsZones,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 09:46:39 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 09:46:39 war erfolgreich.

DC=DomainDnsZones,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 10:07:45 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 10:07:57 war erfolgreich.

==== AUSGEHENDE NACHBARN FÜR ÄNDERUNGSBENACHRICHTIGUNGEN ====

DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 10:06:10 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 10:09:59 war erfolgreich.

CN=Configuration,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 09:51:54 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 09:51:57 war erfolgreich.

CN=Schema,CN=Configuration,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-10-29 06:57:21 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-01 10:30:46 war erfolgreich.

DC=ForestDnsZones,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-01 10:34:04 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-01 10:34:07 war erfolgreich.

DC=DomainDnsZones,DC=DOM,DC=de
    Standardname-des-ersten-Standorts\SERVER-DCHW2022 über RPC
        DSA-Objekt-GUID: ea83eaf1-6923-4577-b312-914d0aff2124
        Letzter Versuch am 2023-11-03 09:46:53 war erfolgreich.
    Standardname-des-ersten-Standorts\SERVER5 über RPC
        DSA-Objekt-GUID: edaf279b-cf8d-4eca-9504-4079d0d98866
        Letzter Versuch am 2023-11-03 09:46:56 war erfolgreich.

==== KCC-VERBINDUNGSOBJEKTE ============================================
Verbindung --
    Verbindungsname : ad9fa6b5-42d1-42b2-9b65-5ce72fa6d2ec
    Server-DNS-Name : Server7.DOM.de
    Server-DN-Name  : CN=NTDS Settings,CN=SERVER7,CN=Servers,CN=Standardname-des
-ersten-Standorts,CN=Sites,CN=Configuration,DC=DOM,DC=de
        Quelle: Standardname-des-ersten-Standorts\SERVER-DCHW2022
                Keine Fehler.
        Transporttyp: standortübergreifender RPC
        Optionen:  isGenerated
        Replikats-NC: DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: DC=ForestDnsZones,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: CN=Configuration,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: CN=Schema,CN=Configuration,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: DC=DomainDnsZones,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
Verbindung --
    Verbindungsname : 8c214473-dafe-48a2-864c-1597f0636eeb
    Server-DNS-Name : Server7.DOM.de
    Server-DN-Name  : CN=NTDS Settings,CN=SERVER7,CN=Servers,CN=Standardname-des
-ersten-Standorts,CN=Sites,CN=Configuration,DC=DOM,DC=de
        Quelle: Standardname-des-ersten-Standorts\SERVER5
                Keine Fehler.
        Transporttyp: standortübergreifender RPC
        Optionen:  isGenerated
        Replikats-NC: DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: DC=ForestDnsZones,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: CN=Configuration,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: CN=Schema,CN=Configuration,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
        Replikats-NC: DC=DomainDnsZones,DC=DOM,DC=de
        Ursache:  RingTopology
                Replikatsverknüpfung wurde hinzugefügt.
2 Verbindungen wurden gefunden.

Moin

Zitat von @Michi91:
Um 2022 auszuschließen wurde testweise auch ein 2016er aufgesetzt, gleiches Problem:

bei der Vorgabe würde ich "zurück auf Anfang" gehen und erst einmal schauen, was bei meinem alten DC im argen ist.

Gruß

Moin,

Zitat von @Michi91:

> Leider klappt das bisher so semi-gut. DNS und NTP sind inzwischen glattgezogen, da gabs doch einige verwaiste Einträge bzw. NTP war nicht sauber verteilt.

Nur so nebenbei: Finger weg von der Zeitsynchronisierung in der Windows-Domain. Das ist schon richtig so, wie es automatisch implementiert wird.

Um 2022 auszuschließen wurde testweise auch ein 2016er aufgesetzt, gleiches Problem:

Das Schema wurde angepasst?

Liebe Grüße

Erik

Nur so nebenbei: Finger weg von der Zeitsynchronisierung in der Windows-Domain. Das ist schon richtig so, wie es automatisch implementiert wird.

Jop, vorher war vieles händisch eingestellt/überschrieben, diese Dinge habe ich entfernt. Nun wird die Zeit wieder über die Domäne geregelt.

Das Schema wurde angepasst?

Funktionales Level ist 88, also aktuell / angepasst, Domainmode ist 2012R2

Liebe Grüße zurück

Hallo,

habt Ihr die typischen Zwischenschritte mit einem 2016/2019er gemacht?
Direkt von 2012 auf 2022 geht soweit ich weiß nicht.

Stefan

Zitat von @StefanKittel:

Hallo,

habt Ihr die typischen Zwischenschritte mit einem 2016/2019er gemacht?
Direkt von 2012 auf 2022 geht soweit ich weiß nicht.

Stefan

Hey,
was sind die typischen Zwischschritte? Du meinst ich soll erst einen 2016er promoten, dann einen 2019er und dann 2022? Oder gibt weitere Zwischenschritte zu beachten?

Grüße

Hallo

Zitat von @Michi91:

Funktionales Level ist 88, also aktuell / angepasst, Domainmode ist 2012R2

Was soll den ein Funktionales Level 88 sein?
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-d ...

Zitat von @Michi91:

Hey,
was sind die typischen Zwischschritte?

Was gerne vergessen wird ist das Einrichten von DFS-R. Der 2022 hätte hier aber meiner Erfahrung nach meckern müssen. Lediglich 2016 meckert hier (leider nicht). Habe ich mal schmerzlich bei einem kundengesehen...

Wenn du die Verwaltungswerkzeuge für DFS-R auf einem der DCs installierst (zum Beispiel dem neuen), sollte unter der Replikation eine für die SYSVOL-Freigabe vorhanden sein.

Wenn nicht kannst du so vorgehen:
https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...

---

In deinem Einführungsbeitrag sagtest du hast um den Windows Server 2022 als Fehlerquelle auszuschließen einen Windows Server 2016 probiert. Soll das heißen du hast einen 2016er Server zum Domänencontroller gemacht oder diesen als Mitglied in die Domäne aufgenommen?

Gruß

Zitat von @CH3COOH:

Funktionales Level ist 88, also aktuell / angepasst, Domainmode ist 2012R2

Was soll den ein Funktionales Level 88 sein?
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-d ...

Ich glaube ich habe ein Verständnisproblem bezüglich Schema und Funktionslevels.
Schema scheint 2016 zu sein & Funktionslevel 2012R2.

Soweit ich verstanden habe, müssen alle 2012R2 DC's aus der Domäne sein, damit das Funktionslevel angehoben werden kann. Richtig?

Windows PowerShell
Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\Users\Administrator.DOM> Get-ADDomain | fl Name,DomainMode
Name       : DOM
DomainMode : Windows2012R2Domain


PS C:\Users\Administrator.DOM> Get-ADForest | fl Name,ForestMode
Name       : DOM.de
ForestMode : Windows2012R2Forest

C:\Users\Administrator.DOM>dsquery * CN=Schema,CN=Configuration,DC=DOM,DC=DE -Scope Base -attr objectVersion
  objectVersion
  88

Netterweise hat der 2022 gemeckert und ich habe entsprechend von FRS auf DFS migriert.

In deinem Einführungsbeitrag sagtest du hast um den Windows Server 2022 als Fehlerquelle auszuschließen einen Windows Server 2016 probiert. Soll das heißen du hast einen 2016er Server zum Domänencontroller gemacht oder diesen als Mitglied in die Domäne aufgenommen?

Zum DC gemacht

Zitat von @StefanKittel:

Hallo,

habt Ihr die typischen Zwischenschritte mit einem 2016/2019er gemacht?
Direkt von 2012 auf 2022 geht soweit ich weiß nicht.

Stefan

Das verwechselst Du mit dem Upgrade. Der TO hat ja einen zusätzlichen DC aufgesetzt.

Hi,
das Funktionslevel auf 2012 R2 ist erstmal nicht schlimm. Und ja, erst wenn du alle Controller auf einer höheren Windows Server-Version hast ist das anheben "möglich".

Wie war das Vorgehen bei dem 2016er Domain Controller? Das war nachdem du DFS-R eingeführt hast?

Hast du schon mal geguckt ob das DFS-R einen Backlog erzeugt hat/Fehler meldet?
Edit: Das angeben vom Source / Destination-Server genügt vollkommen.
https://learn.microsoft.com/en-us/powershell/module/dfsr/get-dfsrbacklog ...
Ich würde dies vom 2022 Server ausführen, nachdem ich dort das DFS-R Management installiert habe. Sofern nicht bereits vorhanden.

Gruß

Zitat von @StefanKittel:
Hallo,
habt Ihr die typischen Zwischenschritte mit einem 2016/2019er gemacht?
Direkt von 2012 auf 2022 geht soweit ich weiß nicht.
Stefan

Wieso sollte das nicht gehen?

Zitat von @Michi91:
Netterweise hat der 2022 gemeckert und ich habe entsprechend von FRS auf DFS migriert.

Hattest Du vorher geprüft, ob FRS auch überhaupt funktioniert? Das ist oftmals nicht der Fall. Nicht ganz ohne Grund wird es ja so nicht mehr genutzt. Sollte das nicht richtig funktioniert haben, so wird auch DFSR Probleme machen.
(Ist mir allerdings nur einmal passiert, weil ich hinterher immer erst mal FRS geprüft und ggf. repariert habe.)

Prüfe bitte das Eventlog auf dem alten Server!

      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
         SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
         haben.
         ......................... Der Test DFSREvent für SERVER7 ist
         fehlgeschlagen.

Wie war das Vorgehen bei dem 2016er Domain Controller? Das war nachdem du DFS-R eingeführt hast?

Wir wollten direkt auf 2022, dort kam dann beim promoten die Fehlermeldung das FRS nicht ginge und auf DFS umgestellt werden müsse. Dies haben wir dann nach https://blog.stueber.de/posts/sysvol-dfsr-migration/ gemacht.
Der 2016er kam erst später, nachdem wir die Probleme mit dem 2022 bekamen.

Hast du schon mal geguckt ob das DFS-R einen Backlog erzeugt hat/Fehler meldet?

Vom Server7

PS C:\Users\Administrator.DOM> repadmin /replsum
Startzeit der Replikationszusammenfassung: 2023-11-03 12:10:05

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
  ......


Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
 SERVER-DCHW2022           23m:26s    0 /  10    0
 SERVER5                   23m:31s    0 /  10    0
 SERVER7                   23m:31s    0 /  10    0


Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
 SERVER-DCHW2022           23m:32s    0 /  10    0
 SERVER5                   17m:55s    0 /  10    0
 SERVER7                   23m:26s    0 /  10    0



PS C:\Users\Administrator.DOM> DFSRDIAG backlog /smem:server7 /rmem:server5 /rgname:"domain system volume" /rfn  
ame:"sysvol share"  

Kein Rückstandsprotokoll - Mitglied <server5> ist mit Partner <server7> synchron

Vorgang erfolgreich

PS C:\Users\Administrator.DOM> DFSRDIAG backlog /smem:server7 /rmem:server-dchw2022 /rgname:"domain system volu  
me" /rfname:"sysvol share"  
[FEHLER] Fehler beim Herstellen einer Verbindung mit einem Domänencontroller für die Domäne des Computers: "server-dchw2  
022", Fehler: "1722" (0x6ba)  

Fehler bei Vorgang

Und vom Server 2022

[server-dchw2022]: PS C:\Users\administrator.DOM\Documents>
Startzeit der Replikationszusammenfassung: 2023-11-03 12:26:22


Datensammlung f?r Replikationszusammenfassung wird gestartet.

Dieser Vorgang kann einige Zeit dauern.

  ......


Quell-DSA          Gr"átes Delta    Fehler/gesamt %%  Fehler  

 SERVER5                   07m:02s    0 /   5    0

 SERVER7                   07m:02s    0 /   5    0


Ziel-DSA           Gr"átes Delta    Fehler/gesamt %%  Fehler  

 SERVER-DCHW2022           07m:02s    0 /  10    0


Bei dem Versuch Replikationsinformationen abzurufen, sind folgende

Ausf?hrungsfehler aufgetreten:

        8341 - Server7.DOM.de

        8341 - Server5.DOM.de



[server-dchw2022]: PS C:\Users\administrator.DOM\Documents> DFSRDIAG backlog /smem:server7 /rmem:server-dchw202
2 /rgname:"domain system volume" /rfname:"sysvol share"  
[FEHLER] Fehler beim Herstellen einer Verbindung mit einem Dom"nencontroller f?r die Dom"ne des Computers: "server7", Fe  
hler: "5" (0x5)  

Fehler bei Vorgang


[server-dchw2022]: PS C:\Users\administrator.DOM\Documents> Get-DfsrBacklog -SourceComputerName server7 -Destin
ationComputerName server-dchw2022
Get-DfsrBacklog : Die Rückstandsinformationen konnten nicht abgerufen werden. Replikationsgruppe: "*" Replizierter  
Ordner: "*" Quellcomputer: "server7" Zielcomputer: "server-dchw2022" Stellen Sie sicher, dass der Vorgang in einer  
Windows PowerShell-Sitzung mit erhöhten Rechten ausgeführt wird und dass Sie ein Mitglied der lokalen
Administratorgruppe auf dem Zielcomputer sind. Auf den Zielcomputer muss darüber hinaus über das Netzwerk zugegriffen
werden können, und der DFSR-Dienst muss ausgeführt werden. Dieses Cmdlet bietet keine Unterstützung für WMI-Aufrufe
für die folgenden Betriebssysteme und ältere Versionen: Windows Server 2012. Details: Die Anforderung kann von WinRM
nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode
0x80090311  aufgetreten: Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht
verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie
es erneut. Wenn Sie sich auf diesem Gerät zuvor mit anderen Anmeldeinformationen angemeldet haben, können Sie sich mit
diesen Anmeldeinformationen anmelden.
. Mögliche Ursachen:
  - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
  - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
  - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
  - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
  - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine
Vertrauensbeziehung besteht.
 Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
  - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
  - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts"  
für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
 Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind.
  - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help  
config".  
    + CategoryInfo          : Protokollfehler: (server7:String) [Get-DfsrBacklog], DfsrException
    + FullyQualifiedErrorId : Get-DfsrBacklog.CimException,Microsoft.DistributedFileSystemReplication.Commands.GetDfsr
   BacklogCommand

[server-dchw2022]: PS C:\Users\administrator.DOM\Documents> Get-DfsrBacklog -SourceComputerName server-dchw2022
 -DestinationComputerName server7
Get-DfsrBacklog : Die Rückstandsinformationen konnten nicht abgerufen werden. Replikationsgruppe: "*" Replizierter  
Ordner: "*" Quellcomputer: "server-dchw2022" Zielcomputer: "server7" Stellen Sie sicher, dass der Vorgang in einer  
Windows PowerShell-Sitzung mit erhöhten Rechten ausgeführt wird und dass Sie ein Mitglied der lokalen
Administratorgruppe auf dem Zielcomputer sind. Auf den Zielcomputer muss darüber hinaus über das Netzwerk zugegriffen
werden können, und der DFSR-Dienst muss ausgeführt werden. Dieses Cmdlet bietet keine Unterstützung für WMI-Aufrufe
für die folgenden Betriebssysteme und ältere Versionen: Windows Server 2012. Details: Die Anforderung kann von WinRM
nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode
0x80090311  aufgetreten: Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht
verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie
es erneut. Wenn Sie sich auf diesem Gerät zuvor mit anderen Anmeldeinformationen angemeldet haben, können Sie sich mit
diesen Anmeldeinformationen anmelden.
. Mögliche Ursachen:
  - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
  - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
  - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
  - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
  - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine
Vertrauensbeziehung besteht.
 Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
  - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
  - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts"  
für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
 Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind.
  - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help  
config".  
    + CategoryInfo          : Protokollfehler: (server-dchw2022:String) [Get-DfsrBacklog], DfsrException
    + FullyQualifiedErrorId : Get-DfsrBacklog.CimException,Microsoft.DistributedFileSystemReplication.Commands.GetDfsr
   BacklogCommand

Grüße

Zitat von @Hubert.N:
Prüfe bitte das Eventlog auf dem alten Server!

Es finden sich diverse Einträge bezüglich server-dchw2022, teilweise auch weil wir den server-dchw2022 zeitweise auch ausgeschaltet hatten

Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "SERVER-DCHW2022" für Replikationsgruppe "Domain System Volume". Dieser Fehler kann auftreten, wenn der Host nicht erreichbar ist oder der DFS-Replikationsdienst nicht auf dem Server ausgeführt wird.    
 
Partner-DNS-Adresse: server-dchw2022.DOM.de 
 
Optionale Daten, falls verfügbar: 
Partner-WINS-Adresse: server-dchw2022  
Partner-IP-Adresse: 10.x.x.20 
 
Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen. 
 
Weitere Informationen: 
Fehler: 1722 (Der RPC-Server ist nicht verfügbar.) 
Verbindungs-ID: 888FB13B-0C38-41C3-A4C9-3F232C8B4F27 
Replikationsgruppen-ID: 29425F1C-4BCC-4312-82C4-741686BA8A16

Vielleicht noch interessant:

Vom server-dchw2022 aus:

[server-dchw2022]: PS C:\Users\administrator.DOM\Documents> DCDIAG /TEST:CheckSecurityError /s:server7

Verzeichnisserverdiagnose

Anfangssetup wird ausgef?hrt:

   [server7] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..

Vom Server7 aus:

PS C:\Users\Administrator.DOM> DCDIAG /TEST:CheckSecurityError /s:server-dchw2022

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022
      Starting test: Connectivity
         ......................... SERVER-DCHW2022 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER-DCHW2022
      Starting test: CheckSecurityError
         [SERVER-DCHW2022] Auf dem Domänencontroller wurden keine sicherheitsbedingten Replikationsfehler gefunden.
         Verwenden Sie den folgenden Befehl, um die Verbindung an einen bestimmten Quelldomänencontroller zu richten:
         /ReplSource:<Domänencontroller>.
         ......................... SERVER-DCHW2022 hat den Test CheckSecurityError bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones
   Partitionstests werden ausgeführt auf: DomainDnsZones
   Partitionstests werden ausgeführt auf: Schema
   Partitionstests werden ausgeführt auf: Configuration
   Partitionstests werden ausgeführt auf: DOM
   Unternehmenstests werden ausgeführt auf: DOM.de
PS C:\Users\Administrator.DOM>

Moin,

[FEHLER] Fehler beim Herstellen einer Verbindung mit einem Domänencontroller für die Domäne des Computers: "server-dchw2022", Fehler: "1722" (0x6ba)

Die Error ID deutet auf ein RPC Problem hin. Fangen wir mal den Basics an:

Laufen die Services RPC Locator, RPC, and Kerberos Key Distribution Center auf dem neuen Server?
Was findest du im Event Viewer an Errors in System, Application, DFS, DNS DS, etc.?
nslookup auf server5.domäne.de, server7.domäne.de, 2022.domäne.de zeigt auf die korrekten IP-Adressen?
nslookup IP des server5, IP des servers7, IP des 222 zeigt auf den richtigen FQDN?
Werden bei nslookup domäne.de alle drei IP-Adressen angezeigt?
Stehen die DCs alle im selben VLAN/Subnetz, welches nicht mit Firewalls o. . geschützt ist?

DFSRDIAG backlog /smem:server7 /rmem:server5 /rgname:"domain system volume" /rfn

ame:"sysvol share"
Wie es anders herum aus, sprich /smem:server5 /rmem:server7. Da auch alles fehlerfrei?

Get-DfsrBacklog -SourceComputerName server7 -DestinationComputerName server-dchw2022

Der Befehl funktioniert auf den bestehenden DCs ohne Fehler?

Gruß,
Dani

Guten Morgen & schönen Wochenstart

Zitat von @Dani:
Die Error ID deutet auf ein RPC Problem hin

das denken wir auch. Es scheint auch Probleme zu geben, wenn Server / PC's versuchen sich vom server-dchw2022 versuchen ein Kerberosticket zu beziehen. Gab im gesamten Zeitraum immer wieder Probleme mit Anmeldungen/Anwendungen, die sofort behoben waren, wenn wir den neuen DC herunterfuhren.

Interessanterweise funktioniert "alles", wenn der KDC Dienst am Server beendet & deaktiviert und der Server neu gestartet ist. Das Anmelden ansich, aber auch die Ergebnisse aus dcdiag und repl sehen gut aus. I

Ich liefere morgen die erfragten Infos & noch Eventeinträge vom KDC. Vielen Dank schonmal @Dani und den anderen

Grüße

Laufen die Services RPC Locator, RPC, and Kerberos Key Distribution Center auf dem neuen Server?

RPC-Locator steht auf Manuell und ist derzeit nicht gestartet, RPC automatisch und gestartet. KDC normalerweise gestartet, jetz gerade gestopt. Siehe auch Beitrag zuvor

nslookup auf server5.domäne.de, server7.domäne.de, 2022.domäne.de zeigt auf die korrekten IP-Adressen?
nslookup IP des server5, IP des servers7, IP des 222 zeigt auf den richtigen FQDN?

Getestet von server-dchw2022 und server7: Einträge soweit in Ordnung.
Was sich allerdings zwischen Server7/5 und dem neuen 2022er unterscheidet ist scheinbar die Art wie aufgelöst wird.

C:\Users\administrator.dom>nslookup 10.x.x.17
Server:  UnKnown
Address:  ::1

Name:    server7.dom.de
Address:  10.x.x.17

vs.

C:\Users\Administrator.dom>nslookup 10.x.x.17
Server:  server7.dom.de
Address:  10.x.x.17

Name:    server7.dom.de
Address:  10.x.x.17

Bei uns im Netzwerk ist ipv6 auf allen Netzwerkkarten aktiviert, aber nicht konfiguriert.

Werden bei nslookup domäne.de alle drei IP-Adressen angezeigt?

ja, von allen DC's und einem Client getestet

Stehen die DCs alle im selben VLAN/Subnetz, welches nicht mit Firewalls o. . geschützt ist?

Alle im selben VLAN und Subnetz. Server7 ist virtuell, Server5 und der 2022er sind direkt auf Hardware. Steht alles in einem Netzwerkschrank und hängen am selben Switchstack

DFSRDIAG backlog /smem:server7 /rmem:server5 /rgname:"domain system volume" /rfname:"sysvol share"

Wie es anders herum aus, sprich /smem:server5 /rmem:server7. Da auch alles fehlerfrei?

Von allen Servern in die eine, als auch die andere Richtung getestet. In Ordnung. Kein Rückstandsprotokoll - Mitglied X ist mit Partner Y synchron

Get-DfsrBacklog -SourceComputerName server7 -DestinationComputerName server-dchw2022

Das cmdlet war nicht installiert, habe das entsprechende rsat tool nachinstalliert. Allerdings bleibt die Ausgabe nach der Eingabe leer bzw. es gibt halt keine Ausgabe. Auf allen 3 Servern. Die Rollen DFS-Namespace und DFS-Replikation sind derzeit nicht installiert.

Ereignisprotokoll folgt. Ich versuche die zeitlichen Zusammenhänge zwischen Kerberos Key Distribution Center und den erfolgreichen bzw. auch nicht erfolgreichen Anmeldungen und daraus resultierende Events nochmal nachzustellen.

Grüße

Zitat von @Michi91:

Get-DfsrBacklog -SourceComputerName server7 -DestinationComputerName server-dchw2022

Beim Ausführen des Kommandos am Ende einfach folgendes Anhängen; dann gibt es auf jeden Fall eine Ausgabe.

-verbose

Welche DNS-Server hast du bei deinen DCs vergeben?

Gruß

Hier der Ablauf:

11:27 Kerberos-Key-Distribution Dienst wieder gestartet
Ereignisse:
--> System
11:27:01 FEHLER: EreignisID 36928
Die OCSP-Antwort konnte nicht abgerufen werden. Der Grund für den Fehler ist: REASON_OCSP_RESPONSE_RETRIEVAL_ERROR Die OCSP-URL lautet:

--> Anwendungen & Dienstprotokoll -> Microsoft -> Windows -> Kerberos-Key-Distribution-Center -> Bertriebsbereit
11:27:01 INFO: EreignisID 302
Das Schlüsselverteilungscenter (KDC) verwendet das folgende Zertifikat für die Smartcard- oder Zertifikatauthentifizierung.KDC-Zertifikatinformationen: Ausstellername: DOM-SERVER7-CA Vorlage: Kerberos-Authentifizierung
==> Ich habe dies mit den anderen beiden DC's vergliechen: Diese verwenden die Vorlage Domaincontroller? Vielleicht schon der entscheidende Hinweis?!

11:35 Anmeldeversuch
Anmeldung schlägt fehl
---> System
11:35:35 FEHLER: Ereignis-ID3:
Eine Kerberos-Fehlermeldung wurde empfangen:
Anmeldesitzung: DOM.DE\Administrator
Clientzeit:
Serverzeit: 10:35:35.0000 11/8/2023 Z
Fehlercode: 0x1d KDC_ERR_SVC_UNAVAILABLE
Erweiterter Fehler: 0xc00000dd KLIN(0)
Clientbereich:
Clientname:
Serverbereich: DOM.DE
Servername: krbtgt/DOM.DE
Zielname: krbtgt/DOM.DE@DOM.DE
Fehlertext:
Datei: onecore\ds\security\protocols\kerberos\client2\logonapi.cxx
Zeile: e0f
Die Fehlerdaten sind in den Eintragsdaten enthalten.

11:35 KDC wieder gestoppt und erneut Anmeldung versucht
funktioniert, aber folgende Meldung im Log:
Eine Kerberos-Fehlermeldung wurde empfangen:
Anmeldesitzung: DOM.DE\Administrator
Fehlercode: 0x19 KDC_ERR_PREAUTH_REQUIRED
Serverbereich: DOM.DE
Servername: krbtgt/DOM.DE
Zielname: krbtgt/DOM.DE@DOM.DE
Fehlertext:
Datei: onecore\ds\security\protocols\kerberos\client2\logonapi.cxx
Zeile: e0f

Noch ein wichtiger Hinweis vielleicht:
Wenn ich mich versuche per RDP anzumelden, kommt zunächst die Frage nach den Anmeldeinformationen,
dann sehe ich den Sperrbildschirm mit dem Hinweis dass Benutzername/Passwort falsch seien. Wenn ich Anmeldedaten tatsächlich falsch eingebe, wird die RDP Anmeldung direkt verhindert "Anmeldeversuch fehlgeschlagen" und ich komme nicht bis zum Sperrbildschirm

@CH3COOH

*facepalm* danke für den Hinweis, da hätte ich natürlich selbst drauf kommen sollen...
"AUSFÜHRLICH: Kein Rückstand für den replizierten Ordner "SYSVOL Share"."

Bezüglich DNS:
Server7 hat als ersten Eintrag den Server5
Server5 hat als ersten Eintrag den Server7
Server-DCHW2022 hat als ersten Eintrag den Server7
zweiter Eintrag immer die 127.0.0.1

In der DNS Rolle sind alle 3 Server Nameserver für die Reverse und Forwardzonen

Moin,

Was sich allerdings zwischen Server7/5 und dem neuen 2022er unterscheidet ist scheinbar die Art wie aufgelöst wird.

Ist zwar nicht schön, aber die solange der DNS Server antwortet, ist die Welt is Ordnung.

Ich habe dies mit den anderen beiden DC's vergliechen: Diese verwenden die Vorlage Domaincontroller? Vielleicht schon der entscheidende Hinweis?

Der Name der Vorlage ist wurscht. Die Frage ist, ob sich die beiden Vorlagen von der Konfiguration unterscheiden. Wichtig ist z.B. dass bei Intended Purposes u.a. KDC Authentification aktiv ist.
Kannst du über das Tool lpd.exe eine Verbindung zum neuen Server aufbauen. Bitte den FQDN, SSL und Port 636 verwenden. Funktioniert das?

Fehlercode: 0x19 KDC_ERR_PREAUTH_REQUIRED

Erklärung dazu kannst du hier nachlesen: https://www.der-windows-papst.de/2019/07/03/kdc_err_preauth_required-eve ...

Starte den 2022er Server neu. Notiere die Uhrzeit als der Anmeldebildschirm wieder ersichtlich war. Danach stelle auf allen Server das Event Viewer auf dem Kopf.
Und zwar nicht nur hinsichtlich Fehler, sondern auch Warnungen und Infos. Da muss es mehr geben, als die beiden Fehler.

Dinge wie korrekten Datum und Uhrzeit hast du bereits kontrolliert?

Gruß,
Dani

Kannst du über das Tool lpd.exe eine Verbindung zum neuen Server aufbauen.

Jap funktioniert scheinbar:

ld = ldap_sslinit("server-dchw2022.DOM.de", 636, 1);  
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 0 = ldap_connect(hLdap, NULL);
Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv);
Host supports SSL, SSL cipher strength = 256 bits
Established connection to server-dchw2022.DOM.de.
Retrieving base DSA information...
Getting 1 entries:
Dn: (RootDSE)
configurationNamingContext: CN=Configuration,DC=DOM,DC=de; 
currentTime: 14.11.2023 15:22:38 Mitteleuropäische Zeit; 
defaultNamingContext: DC=DOM,DC=de; 
dnsHostName: server-dchw2022.DOM.de; 
domainControllerFunctionality: 7 = ( WIN2016 ); 
domainFunctionality: 6 = ( WIN2012R2 ); 
dsServiceName: CN=NTDS Settings,CN=SERVER-DCHW2022,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=DOM,DC=de; 
forestFunctionality: 6 = ( WIN2012R2 ); 
highestCommittedUSN: 131950; 
isGlobalCatalogReady: TRUE; 
isSynchronized: TRUE; 
ldapServiceName: DOM.de:server-dchw2022$@DOM.DE; 
namingContexts (5): DC=DOM,DC=de; CN=Configuration,DC=DOM,DC=de; CN=Schema,CN=Configuration,DC=DOM,DC=de; DC=DomainDnsZones,DC=DOM,DC=de; DC=ForestDnsZones,DC=DOM,DC=de; 
rootDomainNamingContext: DC=DOM,DC=de; 
schemaNamingContext: CN=Schema,CN=Configuration,DC=DOM,DC=de; 
serverName: CN=SERVER-DCHW2022,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=DOM,DC=de; 
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=DOM,DC=de; 
supportedCapabilities (6): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 1.2.840.113556.1.4.1935 = ( ACTIVE_DIRECTORY_V61 ); 1.2.840.113556.1.4.2080 = ( ACTIVE_DIRECTORY_V61_R2 ); 1.2.840.113556.1.4.2237 = ( ACTIVE_DIRECTORY_W8 ); 
supportedControl (40): 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.619 = ( LAZY_COMMIT ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.521 = ( CROSSDOM_MOVE_TARGET ); 1.2.840.113556.1.4.970 = ( GET_STATS ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.474 = ( RESP_SORT ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 2.16.840.1.113730.3.4.10 = ( VLVRESPONSE ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.1852 = ( QUOTA_CONTROL ); 1.2.840.113556.1.4.802 = ( RANGE_OPTION ); 1.2.840.113556.1.4.1907 = ( SHUTDOWN_NOTIFY ); 1.2.840.113556.1.4.1948 = ( RANGE_RETRIEVAL_NOERR ); 1.2.840.113556.1.4.1974 = ( FORCE_UPDATE ); 1.2.840.113556.1.4.1341 = ( RODC_DCPROMO ); 1.2.840.113556.1.4.2026 = ( DN_INPUT ); 1.2.840.113556.1.4.2064 = ( SHOW_RECYCLED ); 1.2.840.113556.1.4.2065 = ( SHOW_DEACTIVATED_LINK ); 1.2.840.113556.1.4.2066 = ( POLICY_HINTS_DEPRECATED ); 1.2.840.113556.1.4.2090 = ( DIRSYNC_EX ); 1.2.840.113556.1.4.2205 = ( UPDATE_STATS ); 1.2.840.113556.1.4.2204 = ( TREE_DELETE_EX ); 1.2.840.113556.1.4.2206 = ( SEARCH_HINTS ); 1.2.840.113556.1.4.2211 = ( EXPECTED_ENTRY_COUNT ); 1.2.840.113556.1.4.2239 = ( POLICY_HINTS ); 1.2.840.113556.1.4.2255; 1.2.840.113556.1.4.2256; 1.2.840.113556.1.4.2309; 1.2.840.113556.1.4.2330; 1.2.840.113556.1.4.2354; 
supportedLDAPPolicies (20): MaxPoolThreads; MaxPercentDirSyncRequests; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxBatchReturnMessages; MaxQueryDuration; MaxDirSyncDuration; MaxTempTableSize; MaxResultSetSize; MinResultSets; MaxResultSetsPerConn; MaxNotificationPerConn; MaxValRange; MaxValRangeTransitive; ThreadMemoryLimit; SystemMemoryLimitPercent; 
supportedLDAPVersion (2): 3; 2; 
supportedSASLMechanisms (4): GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 

-----------

Der Name der Vorlage ist wurscht. Die Frage ist, ob sich die beiden Vorlagen von der Konfiguration unterscheiden.

Habe zwischenzeitig das Zertfikat / die Vorlagen angepasst, sodass auf dem Server2022 nun auch die Vorlage verwendet wird, die auf den anderen verwendet wurde.

Dinge wie korrekten Datum und Uhrzeit hast du bereits kontrolliert?

Jap, die Server bekommen alle vom Server7 ihre Zeit. Mit w32tm /query /status geprüft.

Bezüglich Ereignisanzeige melde ich mich nochmal

Frage Windows Server

Mehr von Michi91

Software zum zentralen Sperren von USB-Geräten, Bluetooth, WLAN-NetzenMichi91 - 6 Kommentare

OpenStreetMap: 2000 Hydranten einpflegenMichi91 - 4 Kommentare

2 Fritzboxen hintereinander, jeweils ein SIP-AnschlussMichi91 - 5 Kommentare

Genehmigungs Workflow für OnlinebuchungMichi91 - 12 Kommentare

Heiß diskutiert