Der Kerberos-Client hat einen KRB AP ERR MODIFIED Fehler von Server

Guten Tag,

Der DC02 kann nicht mehr mit dem DC01 replizieren. Nach einer 6 Stündigen downtime (1.3.21 auf 2.3.21 Nachts) weil der Switch sich verabschiedet hat, konnte ich mich erst per RPD verbinden nachdem ich den Switch neugestartet habe.

Ereignislog am DC02
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "dc01$" empfangen. Der verwendete Zielname war ldap/DC01.wien.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (WIEN.LOCAL) von der Clientdomäne (WIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren

Ein Ping und Nltest wurde am DC02 abgesetzt

C:\Windows\system32>nltest /sc_query:wien.local
Kennzeichen: 30 HAS_IP HAS_TIMESERV
Vertrauenswürdiger Domänencontrollername \\DC01.wien.local
Vertrauenswürdiger Verbindungsstatus für Domänencontroller Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

C:\Windows\system32>ping dc01

Ping wird ausgeführt für DC01.wien.local [192.168.1.11] mit 32 Bytes Daten:
Antwort von 192.168.1.11: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.11: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.11: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.11: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.11:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

Ein Ping und Nltest wurde am DC01 abgesetzt (nltest mit Fehlermeldung)
C:\Windows\system32>nltest /sc_query:wien.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

C:\Windows\system32>ping dc02

Ping wird ausgeführt für DC02.wien.local [192.168.1.12] mit 32 Bytes Daten:
Antwort von 192.168.1.12: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.12: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.12: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.12: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.12:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms


Vom DC02 kann nicht auf dem DC01 über den Explorer zugegriffen werden. Der Zielkontoname ist ungültig

Vom DC01 kann auf dem DC02 über den Explorer zugegriffen werden. (Von allen anderen Servern kann man auf DC01/DC02 über den Explorer zugreifen.)



Repadmin /Replsum auf dem DC02.

C:\Windows\system32>repadmin /replsum
Startzeit der Replikationszusammenfassung: 2021-03-04 09:42:14

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
.....


Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
DC01 02d.03h:56m:18s 5 / 5 100 (2148074274) Der Zielprinzipalname ist falsch.


Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
DC02 02d.03h:56m:18s 5 / 5 100 (2148074274) Der Zielprinzipalname ist falsch.


Bei dem Versuch Replikationsinformationen abzurufen, sind folgende
Ausführungsfehler aufgetreten:
8341 - DC01.wien.local

Repadmin /Replsum auf dem DC01.

C:\Windows\system32>Repadmin /Replsum
Startzeit der Replikationszusammenfassung: 2021-03-04 09:45:05

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
.....


Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
DC01 02d.03h:59m:09s 5 / 5 100 (2148074274) Der Zielprinzipalname ist falsch.
DC02 55m:31s 0 / 5 0


Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
DC01 55m:31s 0 / 5 0
DC02 02d.03h:59m:09s 5 / 5 100 (2148074274) Der Zielprinzipalname ist falsch.


dcdiag auf dem DC02

C:\Windows\system32>dcdiag
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XXXDC02

• Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

Server wird getestet: Default-First-Site-Name\XXXDC02
Starting test: Connectivity
......................... XXXDC02 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

Server wird getestet: Default-First-Site-Name\XXXDC02
Starting test: Advertising
......................... XXXDC02 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... XXXDC02 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für XXXDC02 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... XXXDC02 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... XXXDC02 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
[XXXDC01] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Achtung: XXXDC01 ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
[XXXDC01] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: XXXDC01 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: XXXDC01 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: XXXDC01 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: XXXDC01 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: XXXDC01 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: XXXDC01 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: XXXDC01 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: XXXDC01 ist Infrastructure Update Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: XXXDC01 ist Infrastructure Update Owner, reagiert jedoch nicht auf die LDAP-Bindung.
......................... Der Test KnowsOfRoleHolders für XXXDC02 ist fehlgeschlagen.
Starting test: MachineAccount
......................... XXXDC02 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... XXXDC02 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... XXXDC02 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... XXXDC02 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[Replications Check,XXXDC02] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von XXXDC01 nach XXXDC02
Namenskontext: DC=ForestDnsZones,DC=XXXwien,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Auftreten des Fehlers: 2021-03-04 09:53:44.
Letzter erfolgreicher Vorgang: 2021-03-02 05:46:00.
Seit dem letzten erfolgreichen Vorgang sind 67 Fehler aufgetreten.
[Replications Check,XXXDC02] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von XXXDC01 nach XXXDC02
Namenskontext: DC=DomainDnsZones,DC=XXXwien,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Auftreten des Fehlers: 2021-03-04 09:53:44.
Letzter erfolgreicher Vorgang: 2021-03-02 05:45:56.
Seit dem letzten erfolgreichen Vorgang sind 85 Fehler aufgetreten.
[Replications Check,XXXDC02] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von XXXDC01 nach XXXDC02
Namenskontext: CN=Schema,CN=Configuration,DC=XXXwien,DC=local
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2021-03-04 09:53:44.
Letzter erfolgreicher Vorgang: 2021-03-02 05:45:56.
Seit dem letzten erfolgreichen Vorgang sind 61 Fehler aufgetreten.
[Replications Check,XXXDC02] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von XXXDC01 nach XXXDC02
Namenskontext: CN=Configuration,DC=XXXwien,DC=local
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2021-03-04 09:53:44.
Letzter erfolgreicher Vorgang: 2021-03-02 07:59:25.
Seit dem letzten erfolgreichen Vorgang sind 101 Fehler aufgetreten.
[Replications Check,XXXDC02] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von XXXDC01 nach XXXDC02
Namenskontext: DC=XXXwien,DC=local
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2021-03-04 09:53:44.
Letzter erfolgreicher Vorgang: 2021-03-02 08:23:32.
Seit dem letzten erfolgreichen Vorgang sind 2199 Fehler aufgetreten.
......................... Der Test Replications für XXXDC02 ist fehlgeschlagen.
Starting test: RidManager
......................... Der Test RidManager für XXXDC02 ist fehlgeschlagen.
Starting test: Services
......................... XXXDC02 hat den Test Services bestanden.
Starting test: SystemLog
Warnung. Ereignis-ID: 0x00001796
Erstellungszeitpunkt: 03/04/2021 08:56:19
Ereigniszeichenfolge:
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:04:23
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war cifs/XXXdc01. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:04:33
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war ldap/XXXDC01.XXXwien.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:17:30
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war cifs/XXXDC01. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:41:25
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/c04f92bf-9ee2-4d8e-9e1e-b5ff5f6b3b78/XXXwien.local@XXXwien.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:49:15
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war XXXWIEN\XXXDC01$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 03/04/2021 09:53:54
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "XXXdc01$" empfangen. Der verwendete Zielname war LDAP/c04f92bf-9ee2-4d8e-9e1e-b5ff5f6b3b78._msdcs.XXXwien.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (XXXWIEN.LOCAL) von der Clientdomäne (XXXWIEN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
......................... Der Test SystemLog für XXXDC02 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... XXXDC02 hat den Test VerifyReferences bestanden.


Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: XXXwien
Starting test: CheckSDRefDom
......................... XXXwien hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... XXXwien hat den Test CrossRefValidation bestanden.

Unternehmenstests werden ausgeführt auf: XXXwien.local
Starting test: LocatorCheck
......................... XXXwien.local hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... XXXwien.local hat den Test Intersite bestanden.


dcdiag auf dem DC01

C:\Windows\system32>dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XXXDC01

• Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

Server wird getestet: Default-First-Site-Name\XXXDC01
Starting test: Connectivity
......................... XXXDC01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

Server wird getestet: Default-First-Site-Name\XXXDC01
Starting test: Advertising
......................... XXXDC01 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... XXXDC01 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für XXXDC01 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... XXXDC01 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
Warnung. Ereignis-ID: 0x8000082E
Erstellungszeitpunkt: 03/04/2021 09:49:50
Ereigniszeichenfolge:
Leistungswarnung: Die Replikation wurde aufgrund der Übernahme von Änderungen für das folgende Objekt verzögert. Wenn diese Meldung häufig angezeigt wird, deutet dies darauf hin, dass die Replikation langsam ist, und dass der Server Probleme hat, diese zeitgerecht zu verarbeiten.
......................... XXXDC01 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... XXXDC01 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... XXXDC01 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... XXXDC01 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... XXXDC01 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... XXXDC01 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... XXXDC01 hat den Test Replications bestanden.
Starting test: RidManager
......................... XXXDC01 hat den Test RidManager bestanden.
Starting test: Services
......................... XXXDC01 hat den Test Services bestanden.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x00002720
Erstellungszeitpunkt: 03/04/2021 09:31:39
Ereigniszeichenfolge:
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
Fehler. Ereignis-ID: 0x00002720
Erstellungszeitpunkt: 03/04/2021 09:44:32
Ereigniszeichenfolge:
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
......................... Der Test SystemLog für XXXDC01 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... XXXDC01 hat den Test VerifyReferences bestanden.


Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: XXXwien
Starting test: CheckSDRefDom
......................... XXXwien hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... XXXwien hat den Test CrossRefValidation bestanden.

Unternehmenstests werden ausgeführt auf: XXXwien.local
Starting test: LocatorCheck
......................... XXXwien.local hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... XXXwien.local hat den Test Intersite bestanden.

Die Zeit sollte ist auch Synchron

W32tm /query /status am DC02

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 5 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0384003s
Stammabweichung: 0.1536734s
Referenz-ID: 0xC0A8010B (Quell-IP: 192.168.1.11)
Letzte erfolgr. Synchronisierungszeit: 04.03.2021 09:58:23
Quelle: dc01.wien.local
Abrufintervall: 6 (64s)

W32tm /query /status am DC01

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 4 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0377086s
Stammabweichung: 0.1372776s
Referenz-ID: 0x3369D0AD (Quell-IP: 51.105.208.173)
Letzte erfolgr. Synchronisierungszeit: 04.03.2021 09:54:24
Quelle: time.windows.com,0x1
Abrufintervall: 10 (1024s)

W32tm /monitor am DC01
C:\Windows\system32>w32tm /monitor
DC02.wien.local[192.168.1.12:123]:
ICMP: 0ms Verzögerung
NTP: -0.0130988s Offset von DC01.wien.local
RefID: DC01.wien.local [192.168.1.11]
Stratum: 5
DC01.wien.local * PDC *[[::1]:123]:
ICMP: 0ms Verzögerung
NTP: +0.0000000s Offset von DC01.wien.local
RefID: (unbekannt) [0xADD06933]
Stratum: 4
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.


Weiteres habe ich mir die pwLastSet Attribute angeschaut um zu sehen ob sie abweichen und siehe da ...
pwLastSet am 28.02.2021 DC02
pwLastSet am 02.03.2021 DC01


Die ServicePrincipalNames Attribute vom DC01 und DC02. Bis auf den Ntfrs sehen alle Attribute gleich aus

Mit freundlichen Grüßen
zola