Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Domänencontroller (W2K DC nicht PDC) meldet Ziel-Prinzipalname falsch

Mitglied: ju2015

Nachdem einer unserer DC's (W2K) keine Netzwerkverbindung mehr aufbaute und deshalb nicht mal die Anmeldung brachte, haben wir ein GHOST Image
zurückgespielt. Dieses Image war ca 2 Wochen alt und deshalb was das AD nicht mehr aktuell. Jetzt kann man sich zwar anmelden wieder - Scripte laufen
nicht!! - aber das AD wird leider nicht vom PDC (windows 2003 Server) auf den DC repliziert. Es kommt immer dieselbe Fehlermeldung - Ziel-Prinzipalname
ist falsch.....

Hi Ihr Alle,

es ist schon zum aus der Haut fahren.....

Folgende Umgebung liegt bei uns vor:

Windows 2003 Server + Windows 2000 Server sowie 1 NT Server im MiX-Betrieb - KEIN Native Mode.

Ein Windows 2003 Server ist Master aller FSMO Rollen. (PDC)

4 weitere DC's - einer NT4 - Altlast, zwei Windows 2000, 1 Windows 2003.

Nun zu dem Grund der ganzen Problematik:
Wir haben nach Änderungen an einem der Windows 2000 Server in der Registrierung
Einstellungen vorgenommen, weil ein Software-Hersteller (IBM) seine Programme nicht
sauber schreiben kann und nur mit den Registry Änderungen eine Stabilität der Anwendung
garantiert. -> Zähneknirschend haben wir also geändert.....

Erster Neustart machte keine Probleme - Server lief einwandfrei und alles schien ok.
Nach einer Woche mussten wir den Server ein weiteresmal neu booten und danach
blieb er bei der Meldung Netzwerkverbindungen werden vorbereitet hängen. Er war
über PING erreichbar, aber keine Freigaben waren verfügbar. Anmelden war nicht mehr
möglich - PRIMA! Das zu den prächtigen Änderungen vorher........

Wir haben nun erst versucht mitteln Spezieller Boot-CD die Registrierung unseres DC's
zu überprüfen und zu versuchen, dass die Netzwerkverbindungen wieder hergestellt werden....
War leider vergeblich, das brachte nix mehr....

Jetzt hatten wir aus MISSTRAUEN vor der Registry Änderung ein IMAGE mittel GHOST angefertigt.
Auch werden natürlich jedes WOchenende KOmplettsicherungen angefertigt.... Backup Exec....

Um schnell wieder an die Daten ranzukommen, haben wir die Bootpartition wieder auf dem
Ghost-Image hergestellt. Super klasse - wir bekamen wieder einen Login Bildschirm und konnten
uns anmelden als Administratoren (Netzwerk/Domäne). Alles schien ok, bis wir versucht haben
von den Clients auf den DC zuzugreifen. Nichts - wir bekamen keine Verbindung. Auch von
den anderen Servern war keine Verbindung zu dem DC herzustellen.... Es kamen nur Fehlermeldungen.
Von dem DC konnten wir aber alle anderen Server sehen und sogar Daten übertragen.
Was für ein Mist.... Wir vermuteten Zugriffsverletzungen - aber warum... das Image lief doch vor
2 Wochen noch einwandfrei auf diesem DC..... Ziemlich schnell haben wir dann in den MMC gemerkt,
dass die Domäne nicht verfügbar war. So wie es aussah, hatte der DC (???) keinen Zugriff mehr auf
den PDC und alle Userkonten und so weiter.... grausam.....

In den Ereignisprotokollen des AD haben wir dann auch schnell den "Grund" gefunden. Dort erschien
ziemlich oft der Eintrag - Ziel-Prinzipalname falsch. Um es gleich zu sagen, hier standen wir erstmal wie
der Ochs vor dem Berg...... Was bitte... Was soll das denn sein... selbst recherchen im Netz brachten da
nicht den gewohnten AHA Effekt. Wir haben ziemlich schnell gemerkt, dass die Meldung immer dann
erschien, wenn der Wiederhergestellte DC irgendwas mit dem AD machen wollte. Auch von dem "P"DC
konnten wir keine Replikation auf den dort noch eingetragenen DC machen - es erschien stets eine Fehler-
meldung.

Hilfe! was können wir denn jetzt noch tun.... Ratlos und Hilflos - der DC hat wichtige Daten gespeichert. Er
ist unser einziges RAID5 System und sollte wenn möglich bitte schnell wieder Kontakt mit unserem einwandfrei
funktionierenden AD aufnehmen und sich abgleichen.

Kann es sein, dass der DC bei der Anmeldung mit dem Domänen Admin User keine Rechte bekommt? Wie können
wir den Trust wieder herstellen zu unserer Domäne? die Support Tools brachten keinen Erfolg, da hier immer
Zugriff verweigert kommt und nix geht..... Es scheint, dass die Anmeldung auf dem DC zwar durchgeht, aber
das nur weil der User ja noch lokal gespeichert ist. Leider hat ein DC ja keine lokalen User folglich geht eine
richtige lokale ANmeldung gar nicht. Ein dcpromo zur Herabstufung des DC funktioniert auch nicht und schlägt fehl.

Für eine schnelle Lösung wären wir sehr dankbar! Der Server beheimatet unser Software-Verwaltungsprogramm, was ja
zu dem ganzen Maleur geführt hat.

Content-Key: 1971

Url: https://administrator.de/contentid/1971

Ausgedruckt am: 28.07.2021 um 00:07 Uhr

Mitglied: ju2015
ju2015 16.08.2004 um 12:02:06 Uhr
Goto Top
Nach dem kostenplichtigen Support bei Microsoft wurde uns die Lösung für diese blödsinnige Fehlermeldung (Ziel-Prinzipalname ist falsch) übermittelt.

Es handelt sich hier um ein Problem der AD-Sicherheit. Das AD übermittelt Daten über einen
sicheren Kanal. Dieser ist mit einem Kerberos-Passwort geschützt. Dieses Passwort ändert sich
des öffteren und wird den laufenden DC's mitgeteilt, weshalb kein Problem im laufenden
Betrieb auftreten kann. Wird nun ein Backup eingespielt, oder ein Server wegen Umbaumaßnahmen oder anderem für wenige Tage ausgeschaltet, so ist das Kerberos-Passwort veraltet.

Ein DC ist nun leider so doof und fordert nicht automatisch das neue aktuelle Passwort an, sondern verhält sich so, als ob er die Domäne gar nicht kennen würde. Alle Fehlermeldungen und Funktionsprobleme sind nur darauf zurückzuführen. Wenn man nun aber den Kerberos Dienst deaktiviert und wie in den Whitepapers 260575 sowie 288167 beschrieben mittels NETDOM den DC auffordert sich das neue Kerberos-Passwort vom PDC zu holen, dann funktioniert plötzlich nach Neustart wieder alles. Das hat uns nun 160? gekostet. Wir hoffen aber damit nun allen anderen, die ähnliche Probleme haben darauf hingewiesen zu haben. Es gab bislang dazu keine unter der Fehlermeldung zu findende Lösung.

Wir finden, dass es schon ziemlich bescheuert ist, wenn ein DC, der offiziell DC war, nicht selbstständig in der Lage ist, sich das aktuell gültige Kerberos-Passwort zu beschaffen, was uns viel Zeit und Nerven erspart hätte.

MfG
V.Seitz
Mitglied: MrRagoo
MrRagoo 12.08.2005 um 13:42:54 Uhr
Goto Top
UNS hat es sehr geholfen. Wir hatten die gleichen Probleme, nachdem wir ein älteres Image zurückspielen mussten. Da wir noch nicht lange ADS benutzen, hatten wir auch dementsprechend Probleme, den Fehler und die Lösung zu finden.
Vielen Dank für euer Posting hier
MrRagoo
Mitglied: adminbald
adminbald 04.11.2010 um 13:18:42 Uhr
Goto Top
Schön, dass du das hier eingestellt hast.

Das Problem besteht auch heute noch bei Win2008-Servern .

Ich war schon nahe daran, den DC neu aufzusetzen, als ich hier die Lösung fand. Es steht zwar auch verklausuliert in der Windows-Hilfe, aber aus den maschinell übersetzten Artikeln wird man nicht richtig schlau.

Vielen Dank nochmal!
Heiß diskutierte Beiträge
question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 16 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...

question
Kein ActiveSync über Mobilfunknetz gelöst darodeskVor 1 TagFrageExchange Server14 Kommentare

Hallo zusammen, Wir haben einen Windows Server 2016 mit Exchange 2016 aktuell gepatched (Stand 26.07.2021). Gültiges Zertifikat, feste IP, funktionierendes Autodiscover und MS Connectivity Test ...

question
Powershellskript für workfoldersD-ViperVor 13 StundenFrageWindows Server22 Kommentare

Moin Moin, bitte verschieben sollte es hier nicht rein gehören. Ich bin auf der Suche nach einem Powershellskript das meine vorhanden Userdaten aus den Homelaufwerken ...