13
Authentifizierungsfehler Verschlüsselungstyp wird vom Kerberos DC nicht unterstützt
Hallo
Vorhanden sind 2 DC Server, welche bisher anstandlos funktionierten. (WinSrv2019 Umgebung)
Gestern wurde der primäre DC unabsichtlich neugestartet, gut alles lief weiter und daher keine weiteren Massnahmen notwendig.
Einzig das der DC beim Neustart gleich ein Update noch ausführte.
Wohlgemerkt der zweite DC lief immer durch.
Heute morgen früh konnten sich dann viele User nicht mehr am RDS anmelden.
Fehlermeldung gemäss Anhang.
Anmeldung am lokalen Client PC geht und die Laufwerke werden dort auch sauber geladen.
Teilweise oder oft kann der Client den PC neugestartet werden und schon funktioniert das Login auf den RDS.
Leider zeigt das gleiche Fehlerbild auch eine direkte RDP Verbindung mit unserem AD Admin, was glücklicherweise durch den Client PC Neustart teilweise wieder geht, mich aber sehr nervös macht.
Ein DCDIAG zeigt Fehlermeldungen, wo ich aber nicht sagen kann woher.
Letzter DCDIAG Anfang Januar war noch iO.
Beide DC's wurden heute bereits manuell neugestartet.
Was ich sehr auffällig finde ist der Eintrag mit dem Konto "krbtgt"
Dieses Passwort wurde vor nicht allzulanger Zeit gewechselt, ich habe aber keine Details wie das vorgehen damals war.
Ich danke euch für eure Hilfe!
Vorhanden sind 2 DC Server, welche bisher anstandlos funktionierten. (WinSrv2019 Umgebung)
Gestern wurde der primäre DC unabsichtlich neugestartet, gut alles lief weiter und daher keine weiteren Massnahmen notwendig.
Einzig das der DC beim Neustart gleich ein Update noch ausführte.
Wohlgemerkt der zweite DC lief immer durch.
Heute morgen früh konnten sich dann viele User nicht mehr am RDS anmelden.
Fehlermeldung gemäss Anhang.
Anmeldung am lokalen Client PC geht und die Laufwerke werden dort auch sauber geladen.
Teilweise oder oft kann der Client den PC neugestartet werden und schon funktioniert das Login auf den RDS.
Leider zeigt das gleiche Fehlerbild auch eine direkte RDP Verbindung mit unserem AD Admin, was glücklicherweise durch den Client PC Neustart teilweise wieder geht, mich aber sehr nervös macht.
Ein DCDIAG zeigt Fehlermeldungen, wo ich aber nicht sagen kann woher.
Letzter DCDIAG Anfang Januar war noch iO.
Beide DC's wurden heute bereits manuell neugestartet.
Was ich sehr auffällig finde ist der Eintrag mit dem Konto "krbtgt"
Dieses Passwort wurde vor nicht allzulanger Zeit gewechselt, ich habe aber keine Details wie das vorgehen damals war.
Ich danke euch für eure Hilfe!
C:\Windows\system32>dcdiag /e
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = xx-xx-DC01
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Connectivity
......................... xx-xx-DC01 hat den Test Connectivity bestanden.
Server wird getestet: DCS\xx-xx-DC02
Starting test: Connectivity
......................... xx-xx-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Advertising
......................... xx-xx-DC01 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... xx-xx-DC01 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für xx-xx-DC01 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... xx-xx-DC01 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... xx-xx-DC01 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... xx-xx-DC01 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... xx-xx-DC01 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... xx-xx-DC01 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... xx-xx-DC01 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... xx-xx-DC01 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... xx-xx-DC01 hat den Test Replications bestanden.
Starting test: RidManager
......................... xx-xx-DC01 hat den Test RidManager bestanden.
Starting test: Services
Der Dienst IsmServ auf [xx-xx-DC01] wurde beendet.
......................... Der Test Services für xx-xx-DC01 ist fehlgeschlagen.
Starting test: SystemLog
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:42:36
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:50:13
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:52:33
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:53:23
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:56:18
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:09:24
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:13:38
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:14:44
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:05
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:06
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:26
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:27
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:48
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:17:52
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:13
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:13
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:18:22
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:34
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:34
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:18:38
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:55
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x8000002A
Erstellungszeitpunkt: 01/26/2023 14:25:56
Ereigniszeichenfolge: Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto ,krbtgt.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:28:40
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:01
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:01
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:22
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:22
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:43
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
......................... Der Test SystemLog für xx-xx-DC01 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... xx-xx-DC01 hat den Test VerifyReferences bestanden.
Server wird getestet: DCS\xx-xx-DC02
Starting test: Advertising
......................... xx-xx-DC02 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... xx-xx-DC02 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Das Ereignisprotokoll DFS Replication auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test DFSREvent für xx-xx-DC02 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... xx-xx-DC02 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
Das Ereignisprotokoll Directory Service auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test KccEvent für xx-xx-DC02 ist fehlgeschlagen.
Starting test: KnowsOfRoleHolders
......................... xx-xx-DC02 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... xx-xx-DC02 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... xx-xx-DC02 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... xx-xx-DC02 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... xx-xx-DC02 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... xx-xx-DC02 hat den Test Replications bestanden.
Starting test: RidManager
......................... xx-xx-DC02 hat den Test RidManager bestanden.
Starting test: Services
......................... xx-xx-DC02 hat den Test Services bestanden.
Starting test: SystemLog
Das Ereignisprotokoll System auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test SystemLog für xx-xx-DC02 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... xx-xx-DC02 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: bag-int
Starting test: CheckSDRefDom
......................... bag-int hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... bag-int hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: contoso.com
Starting test: LocatorCheck
......................... contoso.com hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... contoso.com hat den Test Intersite bestanden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 26.01.2023 um 17:15:04 Uhr
Titel angepasst.
Content-ID: 5654365472
Url: https://administrator.de/contentid/5654365472
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
13 Kommentare
Neuester Kommentar
Alternative Idee:
Ich schalte heute Abend beide DC Maschinen aus und Restore beide gleichzeitig aus einem VM Backup von gestern morgen.
Es wurden heute keine Mutationen von Benutzern, Gruppen oder Computern gemacht, daher müsste dies doch problemlos gehen?
Gruss
Philippe
Ich schalte heute Abend beide DC Maschinen aus und Restore beide gleichzeitig aus einem VM Backup von gestern morgen.
Es wurden heute keine Mutationen von Benutzern, Gruppen oder Computern gemacht, daher müsste dies doch problemlos gehen?
Gruss
Philippe
Hi
Bitte prüfe das mal
https://www.der-windows-papst.de/2022/11/13/kerberos-key-distribution-ce ...
Einfach so nen Restore beider vms halte ich für ein sehr großes Risiko
Dann ist morgen früh Schluss mit arbeiten
Aber es ist ja dann Freitag
Bitte prüfe das mal
https://www.der-windows-papst.de/2022/11/13/kerberos-key-distribution-ce ...
Einfach so nen Restore beider vms halte ich für ein sehr großes Risiko
Dann ist morgen früh Schluss mit arbeiten
Aber es ist ja dann Freitag
Danke, der Wert beträgt bereits "28" und müsste daher auch RC4 & AES Unterstützten.
Hi,
Welches Update wurde denn installiert?
Funktioniert es, wenn nur der 2. DC alleine läuft?
Wie aktuell ist der 2.?
Sg Dirm
Welches Update wurde denn installiert?
Funktioniert es, wenn nur der 2. DC alleine läuft?
Wie aktuell ist der 2.?
Sg Dirm
Update sah ich nur eines vom 12.01.2022, dachte es wäre durch die Meldung gestern installiert worden..
Anbei als Vergleich den DC01 und DC02 -> DC02 findet das Update nicht
Gerade ausprobiert:
- wenn ich DC01 ausschalte geht alles
- wenn ich DC02 ausschalte geht fast nichts mehr
Ergo muss es am DC01 liegen.
Leider ist dies auch der Primäre DC inkl. Rollen und enthält auch noch die Druckerserverdienste.
Wie könnte man dies beheben?
Danke und Gruss
Philippe
Anbei als Vergleich den DC01 und DC02 -> DC02 findet das Update nicht
Gerade ausprobiert:
- wenn ich DC01 ausschalte geht alles
- wenn ich DC02 ausschalte geht fast nichts mehr
Ergo muss es am DC01 liegen.
Leider ist dies auch der Primäre DC inkl. Rollen und enthält auch noch die Druckerserverdienste.
Wie könnte man dies beheben?
Danke und Gruss
Philippe
Hi
Hast du den Wert mal bei Usern und Computerobjekte geprüft ?
Und vor allem explizit auf deinem DC 1 ?
Nicht nur bei einem Managed Service Account.
Das mit dem das nur ein DC davon betroffen ist, siehst du an der neustarterrei wenn der client sich den dc2 nimmt geht alles und sonst halt nicht.
Mit freundlichen Grüßen Nemesis
Hast du den Wert mal bei Usern und Computerobjekte geprüft ?
Und vor allem explizit auf deinem DC 1 ?
Nicht nur bei einem Managed Service Account.
Das mit dem das nur ein DC davon betroffen ist, siehst du an der neustarterrei wenn der client sich den dc2 nimmt geht alles und sonst halt nicht.
Mit freundlichen Grüßen Nemesis
Es sollte sich rumgesprochen haben, dass der Patchday schon etwas zurückliegt. Wenn einer der DCs jetzt erst die Patches bekommt (welche überhaupt???), dann liefere bitte zur Sicherheit die Buildnummern aller DCs (Ausgabe des Befehls
)
Sollte der "Problem-DC" auf dem Stand vom 8. November sein (=Build 17763.3650), dann solltest Du diesem das letzt kumulative Update servieren. Das erste Novemberupdate hatte unter bestimmten Umständen Anmeldeprobleme verursacht.
verSollte der "Problem-DC" auf dem Stand vom 8. November sein (=Build 17763.3650), dann solltest Du diesem das letzt kumulative Update servieren. Das erste Novemberupdate hatte unter bestimmten Umständen Anmeldeprobleme verursacht.
Danke euch bereits für die Rückmeldungen.
Zu Thema Update: (Ausgabe von "Ver"
Build DC01: Microsoft Windows [Version 10.0.17763.3887]
Build DC02: Microsoft Windows [Version 10.0.17763.3887]
Ich habe heute Abend dennoch den DC01 als gesamte VM wiederhergestellt, da es ohne den DC01 Reibungslos ging.
Ergebnis nach dem Restore, es funktioniert weiterhin, aber es scheint das der DC01 nun nicht mehr repliziert werden kann.
Nachfolgenden der Auszug aus DC01.
Wie wäre das beste Vorgehen damit der DC02 auf den DC01 zurück repliziert und meine AD wieder beide DC's am laufen hat?
Ich würde auch den Aufwand nicht scheuen die FSMO Rollen auf den DC02 zu verschieben und einfach einen DC03 anstelle des DC01 aufzusetzten, nur was macht mehr Sinn?
Zu Thema Update: (Ausgabe von "Ver"
Build DC01: Microsoft Windows [Version 10.0.17763.3887]
Build DC02: Microsoft Windows [Version 10.0.17763.3887]
Ich habe heute Abend dennoch den DC01 als gesamte VM wiederhergestellt, da es ohne den DC01 Reibungslos ging.
Ergebnis nach dem Restore, es funktioniert weiterhin, aber es scheint das der DC01 nun nicht mehr repliziert werden kann.
Nachfolgenden der Auszug aus DC01.
Wie wäre das beste Vorgehen damit der DC02 auf den DC01 zurück repliziert und meine AD wieder beide DC's am laufen hat?
Ich würde auch den Aufwand nicht scheuen die FSMO Rollen auf den DC02 zu verschieben und einfach einen DC03 anstelle des DC01 aufzusetzten, nur was macht mehr Sinn?
C:\Windows\system32>dcdiag
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = xx-xx-DC01
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Connectivity
......................... xx-xx-DC01 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Advertising
Achtung: Bei dem Versuch, xx-xx-DC01 zu erreichen, wurden von DsGetDcName Informationen für
\\xx-xx-DC02.contoso.com zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... Der Test Advertising für xx-xx-DC01 ist fehlgeschlagen.
Starting test: FrsEvent
......................... xx-xx-DC01 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... xx-xx-DC01 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... xx-xx-DC01 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... xx-xx-DC01 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... xx-xx-DC01 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... xx-xx-DC01 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... xx-xx-DC01 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... xx-xx-DC01 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... xx-xx-DC01 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[Replikationsüberprüfung, Replications Check] Die eingehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" aus.
[Replikationsüberprüfung, xx-xx-DC01] Die ausgehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_OUTBOUND_REPL" aus.
......................... Der Test Replications für xx-xx-DC01 ist fehlgeschlagen.
Starting test: RidManager
......................... xx-xx-DC01 hat den Test RidManager bestanden.
Starting test: Services
Der Dienst NETLOGON auf [xx-xx-DC01] wurde angehalten.
......................... Der Test Services für xx-xx-DC01 ist fehlgeschlagen.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x8000002A
Erstellungszeitpunkt: 01/26/2023 21:45:50
Ereigniszeichenfolge:
Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto ,krbtgt.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 21:48:11
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 21:53:11
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 21:58:12
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:03:12
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:08:12
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:13:12
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:18:13
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:23:13
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:28:14
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:33:14
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:38:14
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
Fehler. Ereignis-ID: 0x00000449
Erstellungszeitpunkt: 01/26/2023 22:43:15
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
......................... Der Test SystemLog für xx-xx-DC01 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... xx-xx-DC01 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: contoso
Starting test: CheckSDRefDom
......................... contoso hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... contoso hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: contoso.com
Starting test: LocatorCheck
......................... contoso.com hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... contoso.com hat den Test Intersite bestanden.
Wäre nachfolgende Idee machbar?
Auszug aus der DCDIAG Meldung:
Starting test: Replications
[Replikationsüberprüfung, Replications Check] Die eingehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" aus.
[Replikationsüberprüfung, xx-xx-DC01] Die ausgehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_OUTBOUND_REPL" aus.
Der Test Replications für xx-xx-DC01 ist fehlgeschlagen.
Wenn ich nun auf dem DC01 den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" ausführe, müsste dieser wieder eingegende Replikationen erlauben und sich mit dem gesunden DC02 synchronisieren.
Was denkt Ihr?
Danke und Gruss
Philippe
Auszug aus der DCDIAG Meldung:
Starting test: Replications
[Replikationsüberprüfung, Replications Check] Die eingehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" aus.
[Replikationsüberprüfung, xx-xx-DC01] Die ausgehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_OUTBOUND_REPL" aus.
Der Test Replications für xx-xx-DC01 ist fehlgeschlagen.
Wenn ich nun auf dem DC01 den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" ausführe, müsste dieser wieder eingegende Replikationen erlauben und sich mit dem gesunden DC02 synchronisieren.
Was denkt Ihr?
Danke und Gruss
Philippe
Hat niemand eine Idee?
Oder soll ich den DC01 ausschalten, die FSMO Rollen übertragen und einen neuen DC hochfahren?
Hier habe ich einfach Angst das etwas schief geht und dann die AD zerstört ist.
Für den Notfall habe ich auf dem DC02 eine Sicherung über die integrierte "Windows Server Sicherung" aktiv, sollten alle Stricke reissen müsste diese doch ausreichen für einen neuen DC. Korrekt? (Dies wäre besser als die komplette VM Backup Lösung)
Danke und Gruss
Philippe
Oder soll ich den DC01 ausschalten, die FSMO Rollen übertragen und einen neuen DC hochfahren?
Hier habe ich einfach Angst das etwas schief geht und dann die AD zerstört ist.
Für den Notfall habe ich auf dem DC02 eine Sicherung über die integrierte "Windows Server Sicherung" aktiv, sollten alle Stricke reissen müsste diese doch ausreichen für einen neuen DC. Korrekt? (Dies wäre besser als die komplette VM Backup Lösung)
Danke und Gruss
Philippe
Philippe, ich habe beobachtet und geschwiegen, da ich nicht gerne Leute ins Verderben schicke, die bei so wichtigen Dingen auf Tipps aus Foren vertrauen (selbst wenn das Forum hier oft sehr gute Ratschläge bereit hält).
Wie man DCs restored (auch in VMs, und was es bei deren Snapshots zu beachten gibt) ist seit Jahrzehnten Thema und bei MS dokumentiert.
Das übt man, bevor der Ernstfall kommt. Du solltest es jetzt mit einer Testdomäne auf VMs üben und auch deinen Fall einmal nachstellen.
Wie man DCs restored (auch in VMs, und was es bei deren Snapshots zu beachten gibt) ist seit Jahrzehnten Thema und bei MS dokumentiert.
Das übt man, bevor der Ernstfall kommt. Du solltest es jetzt mit einer Testdomäne auf VMs üben und auch deinen Fall einmal nachstellen.
Hallo zusammen
Als Rückmeldung:
Kurzzeitig konnte ich eine Replikation durch Definition des Master DC's erzielen.
Danach brach diese wieder ab und der DC01 zeigte wieder Fehler an.
Kurzfassung:
Neuer DC03 erstellt und der AD hinzugefügt.
DC01 wurde ausgeschalten und über die "hässliche" Methode aus der Domaine entfernt.
Seither läuft alles wieder einwandfrei.
Die FSMO Rollen hat nun der DC02 und der DC03 den AD Sync sowie Druckserver.
Backup ist nun via integrierte Windows Server Sicherung gelöst.
Dies sollte so ausreichen und einem zukünftigen Restore nichts mehr im Wege stehen.
Korrekt?
Danke und Gruss
Philippe
Als Rückmeldung:
Kurzzeitig konnte ich eine Replikation durch Definition des Master DC's erzielen.
Danach brach diese wieder ab und der DC01 zeigte wieder Fehler an.
Kurzfassung:
Neuer DC03 erstellt und der AD hinzugefügt.
DC01 wurde ausgeschalten und über die "hässliche" Methode aus der Domaine entfernt.
Seither läuft alles wieder einwandfrei.
Die FSMO Rollen hat nun der DC02 und der DC03 den AD Sync sowie Druckserver.
Backup ist nun via integrierte Windows Server Sicherung gelöst.
Dies sollte so ausreichen und einem zukünftigen Restore nichts mehr im Wege stehen.
Korrekt?
Danke und Gruss
Philippe
Das integrierte Backup ist die von MS empfohlene Methode.
