Authentifizierungsfehler Verschlüsselungstyp wird vom Kerberos DC nicht unterstützt
Hallo
Vorhanden sind 2 DC Server, welche bisher anstandlos funktionierten. (WinSrv2019 Umgebung)
Gestern wurde der primäre DC unabsichtlich neugestartet, gut alles lief weiter und daher keine weiteren Massnahmen notwendig.
Einzig das der DC beim Neustart gleich ein Update noch ausführte.
Wohlgemerkt der zweite DC lief immer durch.
Heute morgen früh konnten sich dann viele User nicht mehr am RDS anmelden.
Fehlermeldung gemäss Anhang.
Anmeldung am lokalen Client PC geht und die Laufwerke werden dort auch sauber geladen.
Teilweise oder oft kann der Client den PC neugestartet werden und schon funktioniert das Login auf den RDS.
Leider zeigt das gleiche Fehlerbild auch eine direkte RDP Verbindung mit unserem AD Admin, was glücklicherweise durch den Client PC Neustart teilweise wieder geht, mich aber sehr nervös macht.
Ein DCDIAG zeigt Fehlermeldungen, wo ich aber nicht sagen kann woher.
Letzter DCDIAG Anfang Januar war noch iO.
Beide DC's wurden heute bereits manuell neugestartet.
Was ich sehr auffällig finde ist der Eintrag mit dem Konto "krbtgt"
Dieses Passwort wurde vor nicht allzulanger Zeit gewechselt, ich habe aber keine Details wie das vorgehen damals war.
Ich danke euch für eure Hilfe!
Vorhanden sind 2 DC Server, welche bisher anstandlos funktionierten. (WinSrv2019 Umgebung)
Gestern wurde der primäre DC unabsichtlich neugestartet, gut alles lief weiter und daher keine weiteren Massnahmen notwendig.
Einzig das der DC beim Neustart gleich ein Update noch ausführte.
Wohlgemerkt der zweite DC lief immer durch.
Heute morgen früh konnten sich dann viele User nicht mehr am RDS anmelden.
Fehlermeldung gemäss Anhang.
Anmeldung am lokalen Client PC geht und die Laufwerke werden dort auch sauber geladen.
Teilweise oder oft kann der Client den PC neugestartet werden und schon funktioniert das Login auf den RDS.
Leider zeigt das gleiche Fehlerbild auch eine direkte RDP Verbindung mit unserem AD Admin, was glücklicherweise durch den Client PC Neustart teilweise wieder geht, mich aber sehr nervös macht.
Ein DCDIAG zeigt Fehlermeldungen, wo ich aber nicht sagen kann woher.
Letzter DCDIAG Anfang Januar war noch iO.
Beide DC's wurden heute bereits manuell neugestartet.
Was ich sehr auffällig finde ist der Eintrag mit dem Konto "krbtgt"
Dieses Passwort wurde vor nicht allzulanger Zeit gewechselt, ich habe aber keine Details wie das vorgehen damals war.
Ich danke euch für eure Hilfe!
C:\Windows\system32>dcdiag /e
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = xx-xx-DC01
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Connectivity
......................... xx-xx-DC01 hat den Test Connectivity bestanden.
Server wird getestet: DCS\xx-xx-DC02
Starting test: Connectivity
......................... xx-xx-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: DCS\xx-xx-DC01
Starting test: Advertising
......................... xx-xx-DC01 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... xx-xx-DC01 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für xx-xx-DC01 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... xx-xx-DC01 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... xx-xx-DC01 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... xx-xx-DC01 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... xx-xx-DC01 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... xx-xx-DC01 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... xx-xx-DC01 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... xx-xx-DC01 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... xx-xx-DC01 hat den Test Replications bestanden.
Starting test: RidManager
......................... xx-xx-DC01 hat den Test RidManager bestanden.
Starting test: Services
Der Dienst IsmServ auf [xx-xx-DC01] wurde beendet.
......................... Der Test Services für xx-xx-DC01 ist fehlgeschlagen.
Starting test: SystemLog
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:42:36
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:50:13
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:52:33
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:53:23
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 13:56:18
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:09:24
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:13:38
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:14:44
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:05
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:06
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:26
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:27
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:15:48
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 1b98 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:17:52
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:13
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:13
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:18:22
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:34
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:34
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Warnung. Ereignis-ID: 0x00001798
Erstellungszeitpunkt: 01/26/2023 14:18:38
Ereigniszeichenfolge:
Eine Authentifizierungsanforderung für das Paket "NTLM" wurde abgelehnt, weil die Zielinformationen ungültig waren. Die Authentifizierungsanforderung stimmte nicht mit dem Zielnamen von "NAS-xxx" überein.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:18:55
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 8d0 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x8000002A
Erstellungszeitpunkt: 01/26/2023 14:25:56
Ereigniszeichenfolge: Im Kerberos-Schlüsselverteilungscenter fehlen starke Schlüssel für das Konto ,krbtgt.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:28:40
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 1.1.1.1 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:01
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.4.4 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:01
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.1.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:22
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 8.8.8.8 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:22
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 195.186.4.162 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
Fehler. Ereignis-ID: 0x0000272C
Erstellungszeitpunkt: 01/26/2023 14:29:43
Ereigniszeichenfolge:
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer 9.9.9.9 kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID 664 (C:\Windows\system32\dcdiag.exe) angefordert.
......................... Der Test SystemLog für xx-xx-DC01 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... xx-xx-DC01 hat den Test VerifyReferences bestanden.
Server wird getestet: DCS\xx-xx-DC02
Starting test: Advertising
......................... xx-xx-DC02 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... xx-xx-DC02 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Das Ereignisprotokoll DFS Replication auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test DFSREvent für xx-xx-DC02 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... xx-xx-DC02 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
Das Ereignisprotokoll Directory Service auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test KccEvent für xx-xx-DC02 ist fehlgeschlagen.
Starting test: KnowsOfRoleHolders
......................... xx-xx-DC02 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... xx-xx-DC02 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... xx-xx-DC02 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... xx-xx-DC02 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... xx-xx-DC02 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... xx-xx-DC02 hat den Test Replications bestanden.
Starting test: RidManager
......................... xx-xx-DC02 hat den Test RidManager bestanden.
Starting test: Services
......................... xx-xx-DC02 hat den Test Services bestanden.
Starting test: SystemLog
Das Ereignisprotokoll System auf dem Server xx-xx-DC02.contoso.com konnte nicht abgefragt werden. Fehler: 0x6ba "Der RPC-Server ist nicht verfügbar."
......................... Der Test SystemLog für xx-xx-DC02 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... xx-xx-DC02 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: bag-int
Starting test: CheckSDRefDom
......................... bag-int hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... bag-int hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: contoso.com
Starting test: LocatorCheck
......................... contoso.com hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... contoso.com hat den Test Intersite bestanden.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 26.01.2023 um 17:15:04 Uhr
Titel angepasst.
Content-ID: 5654365472
Url: https://administrator.de/forum/authentifizierungsfehler-verschluesselungstyp-wird-vom-kerberos-dc-nicht-unterstuetzt-5654365472.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
13 Kommentare
Neuester Kommentar
Hi
Bitte prüfe das mal
https://www.der-windows-papst.de/2022/11/13/kerberos-key-distribution-ce ...
Einfach so nen Restore beider vms halte ich für ein sehr großes Risiko
Dann ist morgen früh Schluss mit arbeiten
Aber es ist ja dann Freitag
Bitte prüfe das mal
https://www.der-windows-papst.de/2022/11/13/kerberos-key-distribution-ce ...
Einfach so nen Restore beider vms halte ich für ein sehr großes Risiko
Dann ist morgen früh Schluss mit arbeiten
Aber es ist ja dann Freitag
Hi
Hast du den Wert mal bei Usern und Computerobjekte geprüft ?
Und vor allem explizit auf deinem DC 1 ?
Nicht nur bei einem Managed Service Account.
Das mit dem das nur ein DC davon betroffen ist, siehst du an der neustarterrei wenn der client sich den dc2 nimmt geht alles und sonst halt nicht.
Mit freundlichen Grüßen Nemesis
Hast du den Wert mal bei Usern und Computerobjekte geprüft ?
Und vor allem explizit auf deinem DC 1 ?
Nicht nur bei einem Managed Service Account.
Das mit dem das nur ein DC davon betroffen ist, siehst du an der neustarterrei wenn der client sich den dc2 nimmt geht alles und sonst halt nicht.
Mit freundlichen Grüßen Nemesis
Es sollte sich rumgesprochen haben, dass der Patchday schon etwas zurückliegt. Wenn einer der DCs jetzt erst die Patches bekommt (welche überhaupt???), dann liefere bitte zur Sicherheit die Buildnummern aller DCs (Ausgabe des Befehls
)
Sollte der "Problem-DC" auf dem Stand vom 8. November sein (=Build 17763.3650), dann solltest Du diesem das letzt kumulative Update servieren. Das erste Novemberupdate hatte unter bestimmten Umständen Anmeldeprobleme verursacht.
ver
Sollte der "Problem-DC" auf dem Stand vom 8. November sein (=Build 17763.3650), dann solltest Du diesem das letzt kumulative Update servieren. Das erste Novemberupdate hatte unter bestimmten Umständen Anmeldeprobleme verursacht.
Philippe, ich habe beobachtet und geschwiegen, da ich nicht gerne Leute ins Verderben schicke, die bei so wichtigen Dingen auf Tipps aus Foren vertrauen (selbst wenn das Forum hier oft sehr gute Ratschläge bereit hält).
Wie man DCs restored (auch in VMs, und was es bei deren Snapshots zu beachten gibt) ist seit Jahrzehnten Thema und bei MS dokumentiert.
Das übt man, bevor der Ernstfall kommt. Du solltest es jetzt mit einer Testdomäne auf VMs üben und auch deinen Fall einmal nachstellen.
Wie man DCs restored (auch in VMs, und was es bei deren Snapshots zu beachten gibt) ist seit Jahrzehnten Thema und bei MS dokumentiert.
Das übt man, bevor der Ernstfall kommt. Du solltest es jetzt mit einer Testdomäne auf VMs üben und auch deinen Fall einmal nachstellen.