philippe27
Goto Top

Authentifizierungsfehler Verschlüsselungstyp wird vom Kerberos DC nicht unterstützt

Hallo

Vorhanden sind 2 DC Server, welche bisher anstandlos funktionierten. (WinSrv2019 Umgebung)

Gestern wurde der primäre DC unabsichtlich neugestartet, gut alles lief weiter und daher keine weiteren Massnahmen notwendig.
Einzig das der DC beim Neustart gleich ein Update noch ausführte.
Wohlgemerkt der zweite DC lief immer durch.

Heute morgen früh konnten sich dann viele User nicht mehr am RDS anmelden.
Fehlermeldung gemäss Anhang.

Anmeldung am lokalen Client PC geht und die Laufwerke werden dort auch sauber geladen.

Teilweise oder oft kann der Client den PC neugestartet werden und schon funktioniert das Login auf den RDS.

Leider zeigt das gleiche Fehlerbild auch eine direkte RDP Verbindung mit unserem AD Admin, was glücklicherweise durch den Client PC Neustart teilweise wieder geht, mich aber sehr nervös macht.

Ein DCDIAG zeigt Fehlermeldungen, wo ich aber nicht sagen kann woher.
Letzter DCDIAG Anfang Januar war noch iO.
Beide DC's wurden heute bereits manuell neugestartet.

Was ich sehr auffällig finde ist der Eintrag mit dem Konto "krbtgt"
Dieses Passwort wurde vor nicht allzulanger Zeit gewechselt, ich habe aber keine Details wie das vorgehen damals war.

Ich danke euch für eure Hilfe!

C:\Windows\system32>dcdiag /e

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = xx-xx-DC01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: DCS\xx-xx-DC01
      Starting test: Connectivity
         ......................... xx-xx-DC01 hat den Test Connectivity bestanden.

   Server wird getestet: DCS\xx-xx-DC02
      Starting test: Connectivity
         ......................... xx-xx-DC02 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: DCS\xx-xx-DC01
      Starting test: Advertising
         ......................... xx-xx-DC01 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... xx-xx-DC01 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... Der Test DFSREvent für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... xx-xx-DC01 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... xx-xx-DC01 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... xx-xx-DC01 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... xx-xx-DC01 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... xx-xx-DC01 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... xx-xx-DC01 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... xx-xx-DC01 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... xx-xx-DC01 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... xx-xx-DC01 hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst IsmServ auf [xx-xx-DC01] wurde beendet.
         ......................... Der Test Services für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: SystemLog
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   13:42:36
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   13:50:13
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   13:52:33
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   13:53:23
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   13:56:18
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   14:09:24
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   14:13:38
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:14:44
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:15:05
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:15:06
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:15:26
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:15:27
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:15:48
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:17:52
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:18:13
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:18:13
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   14:18:22
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:18:34
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:18:34
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Warnung. Ereignis-ID: 0x00001798
            Erstellungszeitpunkt: 01/26/2023   14:18:38
            Ereigniszeichenfolge:
            Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:18:55
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x8000002A
            Erstellungszeitpunkt: 01/26/2023   14:25:56
            Ereigniszeichenfolge: Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto ,krbtgt.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:28:40
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:29:01
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:29:01
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:29:22
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:29:22
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 01/26/2023   14:29:43
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID      664 (C:\Windows\system32\dcdiag.exe) angefordert.
         ......................... Der Test SystemLog für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... xx-xx-DC01 hat den Test VerifyReferences bestanden.

   Server wird getestet: DCS\xx-xx-DC02
      Starting test: Advertising
         ......................... xx-xx-DC02 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... xx-xx-DC02 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Das Ereignisprotokoll DFS Replication auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test DFSREvent für xx-xx-DC02 ist fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... xx-xx-DC02 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         Das Ereignisprotokoll Directory Service auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test KccEvent für xx-xx-DC02 ist fehlgeschlagen.
      Starting test: KnowsOfRoleHolders
         ......................... xx-xx-DC02 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... xx-xx-DC02 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... xx-xx-DC02 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... xx-xx-DC02 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... xx-xx-DC02 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... xx-xx-DC02 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... xx-xx-DC02 hat den Test RidManager bestanden.
      Starting test: Services
         ......................... xx-xx-DC02 hat den Test Services bestanden.
      Starting test: SystemLog
         Das Ereignisprotokoll System auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."  
         ......................... Der Test SystemLog für xx-xx-DC02 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... xx-xx-DC02 hat den Test VerifyReferences bestanden.



   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: bag-int
      Starting test: CheckSDRefDom
         ......................... bag-int hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... bag-int hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: contoso.com
      Starting test: LocatorCheck
         ......................... contoso.com hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... contoso.com hat den Test Intersite bestanden.
kerberos meldung
Kommentar vom Moderator Dani am 26.01.2023 um 17:15:04 Uhr
Titel angepasst.

Content-ID: 5654365472

Url: https://administrator.de/forum/authentifizierungsfehler-verschluesselungstyp-wird-vom-kerberos-dc-nicht-unterstuetzt-5654365472.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Philippe27
Philippe27 26.01.2023 um 15:05:32 Uhr
Goto Top
Alternative Idee:
Ich schalte heute Abend beide DC Maschinen aus und Restore beide gleichzeitig aus einem VM Backup von gestern morgen.

Es wurden heute keine Mutationen von Benutzern, Gruppen oder Computern gemacht, daher müsste dies doch problemlos gehen?

Gruss
Philippe
nEmEsIs
nEmEsIs 26.01.2023 um 15:18:29 Uhr
Goto Top
Hi

Bitte prüfe das mal
https://www.der-windows-papst.de/2022/11/13/kerberos-key-distribution-ce ...

Einfach so nen Restore beider vms halte ich für ein sehr großes Risiko
Dann ist morgen früh Schluss mit arbeiten
Aber es ist ja dann Freitag
Philippe27
Philippe27 26.01.2023 um 15:26:43 Uhr
Goto Top
Danke, der Wert beträgt bereits "28" und müsste daher auch RC4 & AES Unterstützten.
bild 1
Dirmhirn
Dirmhirn 26.01.2023 um 16:15:38 Uhr
Goto Top
Hi,
Welches Update wurde denn installiert?

Funktioniert es, wenn nur der 2. DC alleine läuft?
Wie aktuell ist der 2.?

Sg Dirm
Philippe27
Philippe27 26.01.2023 um 17:19:55 Uhr
Goto Top
Update sah ich nur eines vom 12.01.2022, dachte es wäre durch die Meldung gestern installiert worden..
Anbei als Vergleich den DC01 und DC02 -> DC02 findet das Update nicht

Gerade ausprobiert:
- wenn ich DC01 ausschalte geht alles
- wenn ich DC02 ausschalte geht fast nichts mehr

Ergo muss es am DC01 liegen.
Leider ist dies auch der Primäre DC inkl. Rollen und enthält auch noch die Druckerserverdienste.

Wie könnte man dies beheben?

Danke und Gruss
Philippe
nEmEsIs
nEmEsIs 26.01.2023 aktualisiert um 17:33:29 Uhr
Goto Top
Hi

Hast du den Wert mal bei Usern und Computerobjekte geprüft ?
Und vor allem explizit auf deinem DC 1 ?

Nicht nur bei einem Managed Service Account.

Das mit dem das nur ein DC davon betroffen ist, siehst du an der neustarterrei wenn der client sich den dc2 nimmt geht alles und sonst halt nicht.


Mit freundlichen Grüßen Nemesis
DerWoWusste
DerWoWusste 26.01.2023 um 20:19:37 Uhr
Goto Top
Es sollte sich rumgesprochen haben, dass der Patchday schon etwas zurückliegt. Wenn einer der DCs jetzt erst die Patches bekommt (welche überhaupt???), dann liefere bitte zur Sicherheit die Buildnummern aller DCs (Ausgabe des Befehls
ver
)

Sollte der "Problem-DC" auf dem Stand vom 8. November sein (=Build 17763.3650), dann solltest Du diesem das letzt kumulative Update servieren. Das erste Novemberupdate hatte unter bestimmten Umständen Anmeldeprobleme verursacht.
Philippe27
Philippe27 26.01.2023 um 23:02:12 Uhr
Goto Top
Danke euch bereits für die Rückmeldungen.

Zu Thema Update: (Ausgabe von "Ver"
Build DC01: Microsoft Windows [Version 10.0.17763.3887]
Build DC02: Microsoft Windows [Version 10.0.17763.3887]


Ich habe heute Abend dennoch den DC01 als gesamte VM wiederhergestellt, da es ohne den DC01 Reibungslos ging.
Ergebnis nach dem Restore, es funktioniert weiterhin, aber es scheint das der DC01 nun nicht mehr repliziert werden kann.
Nachfolgenden der Auszug aus DC01.

Wie wäre das beste Vorgehen damit der DC02 auf den DC01 zurück repliziert und meine AD wieder beide DC's am laufen hat?
Ich würde auch den Aufwand nicht scheuen die FSMO Rollen auf den DC02 zu verschieben und einfach einen DC03 anstelle des DC01 aufzusetzten, nur was macht mehr Sinn?

C:\Windows\system32>dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = xx-xx-DC01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: DCS\xx-xx-DC01
      Starting test: Connectivity
         ......................... xx-xx-DC01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: DCS\xx-xx-DC01
      Starting test: Advertising
         Achtung: Bei dem Versuch, xx-xx-DC01 zu erreichen, wurden von DsGetDcName Informationen für
         \\xx-xx-DC02.contoso.com zurückgegeben.
         DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
         ......................... Der Test Advertising für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: FrsEvent
         ......................... xx-xx-DC01 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
         vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... xx-xx-DC01 hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... xx-xx-DC01 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... xx-xx-DC01 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... xx-xx-DC01 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... xx-xx-DC01 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... xx-xx-DC01 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... xx-xx-DC01 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... xx-xx-DC01 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         [Replikationsüberprüfung, Replications Check] Die eingehende Replikation ist deaktiviert.
         Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" aus.  
         [Replikationsüberprüfung, xx-xx-DC01] Die ausgehende Replikation ist deaktiviert.
         Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_OUTBOUND_REPL" aus.  
         ......................... Der Test Replications für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: RidManager
         ......................... xx-xx-DC01 hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst NETLOGON auf [xx-xx-DC01] wurde angehalten.
         ......................... Der Test Services für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x8000002A
            Erstellungszeitpunkt: 01/26/2023   21:45:50
            Ereigniszeichenfolge:
            Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto ,krbtgt.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   21:48:11
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   21:53:11
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   21:58:12
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:03:12
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:08:12
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:13:12
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:18:13
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:23:13
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:28:14
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:33:14
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:38:14
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         Fehler. Ereignis-ID: 0x00000449
            Erstellungszeitpunkt: 01/26/2023   22:43:15
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Das Computerkonto zum Erzwingen der Gruppenrichtlinieneinstellungen konnte nicht bestimmt werden. Dies ist möglicherweise ein vorübergehender Fehler. Gruppenrichtlinieneinstellungen, einschließlich Computerkonfiguration, werden für diesen Computer nicht erzwungen.
         ......................... Der Test SystemLog für xx-xx-DC01 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... xx-xx-DC01 hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: contoso
      Starting test: CheckSDRefDom
         ......................... contoso hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... contoso hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: contoso.com
      Starting test: LocatorCheck
         ......................... contoso.com hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... contoso.com hat den Test Intersite bestanden.
Philippe27
Philippe27 28.01.2023 um 11:18:57 Uhr
Goto Top
Wäre nachfolgende Idee machbar?

Auszug aus der DCDIAG Meldung:
Starting test: Replications
[Replikationsüberprüfung, Replications Check] Die eingehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" aus.
[Replikationsüberprüfung, xx-xx-DC01] Die ausgehende Replikation ist deaktiviert.
Führen Sie zum Beheben dieses Zustands den Befehl "repadmin /options xx-xx-DC01 -DISABLE_OUTBOUND_REPL" aus.
Der Test Replications für xx-xx-DC01 ist fehlgeschlagen.

Wenn ich nun auf dem DC01 den Befehl "repadmin /options xx-xx-DC01 -DISABLE_INBOUND_REPL" ausführe, müsste dieser wieder eingegende Replikationen erlauben und sich mit dem gesunden DC02 synchronisieren.

Was denkt Ihr?

Danke und Gruss
Philippe
Philippe27
Philippe27 30.01.2023 um 16:59:24 Uhr
Goto Top
Hat niemand eine Idee?

Oder soll ich den DC01 ausschalten, die FSMO Rollen übertragen und einen neuen DC hochfahren?
Hier habe ich einfach Angst das etwas schief geht und dann die AD zerstört ist.

Für den Notfall habe ich auf dem DC02 eine Sicherung über die integrierte "Windows Server Sicherung" aktiv, sollten alle Stricke reissen müsste diese doch ausreichen für einen neuen DC. Korrekt? (Dies wäre besser als die komplette VM Backup Lösung)

Danke und Gruss
Philippe
DerWoWusste
DerWoWusste 01.02.2023 um 12:08:07 Uhr
Goto Top
Philippe, ich habe beobachtet und geschwiegen, da ich nicht gerne Leute ins Verderben schicke, die bei so wichtigen Dingen auf Tipps aus Foren vertrauen (selbst wenn das Forum hier oft sehr gute Ratschläge bereit hält).

Wie man DCs restored (auch in VMs, und was es bei deren Snapshots zu beachten gibt) ist seit Jahrzehnten Thema und bei MS dokumentiert.
Das übt man, bevor der Ernstfall kommt. Du solltest es jetzt mit einer Testdomäne auf VMs üben und auch deinen Fall einmal nachstellen.
Philippe27
Philippe27 22.02.2023 um 08:49:00 Uhr
Goto Top
Hallo zusammen

Als Rückmeldung:
Kurzzeitig konnte ich eine Replikation durch Definition des Master DC's erzielen.
Danach brach diese wieder ab und der DC01 zeigte wieder Fehler an.

Kurzfassung:
Neuer DC03 erstellt und der AD hinzugefügt.
DC01 wurde ausgeschalten und über die "hässliche" Methode aus der Domaine entfernt.
Seither läuft alles wieder einwandfrei.

Die FSMO Rollen hat nun der DC02 und der DC03 den AD Sync sowie Druckserver.

Backup ist nun via integrierte Windows Server Sicherung gelöst.
Dies sollte so ausreichen und einem zukünftigen Restore nichts mehr im Wege stehen.
Korrekt?

Danke und Gruss
Philippe
DerWoWusste
Lösung DerWoWusste 22.02.2023 um 10:49:25 Uhr
Goto Top
Das integrierte Backup ist die von MS empfohlene Methode.