7
Domäne mit zwei Standorten und insgesamt 3 Servern - AD und DNS Replikation klappt nicht und diverse andere Fehler!
Hallo, ich bin der neue :-P
Ich verzweifle an einem Problem, bzw. traue ich mich nicht "einfach so" drauf los, da es für mich nicht so einfach überschaubar ist.
Ich habe alle Daten anonymisiert. Das bedeutet, es werden nicht wirklich diese IP-Adressen / Hostnamen verwendet.
Vorab: Es besteht aus Urzeiten eine single label domain. Ich weiß, dies ist nicht förderlich... Sie ist aber nunmal da.
Umgebung:
Standort A: SRVA1 (Betriebsmaster, erster DC)
Standort B: SRVB1 / SRVB2 (Beide halten AD / DNS als Replikat)
Standort A (Hauptstandort):
Host: SRVA1
IP: 192.168.0.7
DNS: 192.168.0.7
Windows Server 2008 R2
Haupt Domain Controller
Standort A ist soweit alles OK (augenscheinlich)
Standort B:
Host: SRVB1
192.168.1.8
DNS: 192.168.0.7
Windows Server 2003 STD SP2 (alt, soll bald aus, sobald alles geklärt ist)
Domain Controller für den Standort seit Ewigkeiten.
Bei Aufruf \\SRVA1\ kommt die meldung „Anmeldung Fehlgeschlagen: Der Zielkontoname ist ungültig.“
Gleiche Meldung erscheint beim Aufruf \\SRVA1.DOMAIN\
Aufruf über \\192.168.0.7\ funktioniert
Aufruf \\SRVB2\ funktioniert
DNS Abfragen funktionieren (IP, Host, FQDN geprüft)
Host: SRVB2
IP: 192.168.1.11
DNS: 192.168.0.7
Windows Server 2012 R2
Soll alten Domain Controller ersetzen.
Kann „ganz normal“ alle Server per Host aufrufen.
DNS Abfragen funktionieren.
Alle Server untereinander lassen sich anpingen. Nach der Inbetriebnahme des Servers SRVB2 gab es für ca. eine Woche keine Fehlereinträge im Protokoll. Auch wurde das AD und DNS "sauber" repliziert auf den neuen Server SRVB2. Alles lief ohne Probleme.
Öffne ich jetzt am Standort B an einem der beiden Server das ActiveDirectory und rufe per rechtsklick auf die Domäne den Betriebsmaster auf, wird mir angezeigt, dass dieser Offline ist (alle Reiter). Die AD Replikation funktioniert selbstverständlich in diesem Fall nicht.
Ich möchte gerne die Installation ASAP finalisieren und den alten Server herunterstufen / abschalten. Weiß jedoch nicht genau wie ich vorgehen soll. Es handelt sich (natürlich) um ein Produktivsystem.
Habe nun viele Stunden gelesen gelesen gelesen, aber bin dabei über so viele mögliche Lösungen gestolpert, dass ich den Überblick nun ganz verloren habe bzw. mich nicht ran traue einfach etwas "zu testen".
Mir schien ein KDC Passwort Reset sinnvoll zu sein - ob ich es jedoch tun sollte weiß ich nicht...
Wäre über jede Hilfe dankbar –auch mit Bezahlung wenn notwendig und gewünscht. Weiter unten findet sich von jedem Server die DCDIAG Ausgabe.
SRVA1
SRVB1
SRVB2
Ich verzweifle an einem Problem, bzw. traue ich mich nicht "einfach so" drauf los, da es für mich nicht so einfach überschaubar ist.
Ich habe alle Daten anonymisiert. Das bedeutet, es werden nicht wirklich diese IP-Adressen / Hostnamen verwendet.
Vorab: Es besteht aus Urzeiten eine single label domain. Ich weiß, dies ist nicht förderlich... Sie ist aber nunmal da.
Umgebung:
Standort A: SRVA1 (Betriebsmaster, erster DC)
Standort B: SRVB1 / SRVB2 (Beide halten AD / DNS als Replikat)
Standort A (Hauptstandort):
Host: SRVA1
IP: 192.168.0.7
DNS: 192.168.0.7
Windows Server 2008 R2
Haupt Domain Controller
Standort A ist soweit alles OK (augenscheinlich)
Standort B:
Host: SRVB1
192.168.1.8
DNS: 192.168.0.7
Windows Server 2003 STD SP2 (alt, soll bald aus, sobald alles geklärt ist)
Domain Controller für den Standort seit Ewigkeiten.
Bei Aufruf \\SRVA1\ kommt die meldung „Anmeldung Fehlgeschlagen: Der Zielkontoname ist ungültig.“
Gleiche Meldung erscheint beim Aufruf \\SRVA1.DOMAIN\
Aufruf über \\192.168.0.7\ funktioniert
Aufruf \\SRVB2\ funktioniert
DNS Abfragen funktionieren (IP, Host, FQDN geprüft)
Host: SRVB2
IP: 192.168.1.11
DNS: 192.168.0.7
Windows Server 2012 R2
Soll alten Domain Controller ersetzen.
Kann „ganz normal“ alle Server per Host aufrufen.
DNS Abfragen funktionieren.
Alle Server untereinander lassen sich anpingen. Nach der Inbetriebnahme des Servers SRVB2 gab es für ca. eine Woche keine Fehlereinträge im Protokoll. Auch wurde das AD und DNS "sauber" repliziert auf den neuen Server SRVB2. Alles lief ohne Probleme.
Öffne ich jetzt am Standort B an einem der beiden Server das ActiveDirectory und rufe per rechtsklick auf die Domäne den Betriebsmaster auf, wird mir angezeigt, dass dieser Offline ist (alle Reiter). Die AD Replikation funktioniert selbstverständlich in diesem Fall nicht.
Ich möchte gerne die Installation ASAP finalisieren und den alten Server herunterstufen / abschalten. Weiß jedoch nicht genau wie ich vorgehen soll. Es handelt sich (natürlich) um ein Produktivsystem.
Habe nun viele Stunden gelesen gelesen gelesen, aber bin dabei über so viele mögliche Lösungen gestolpert, dass ich den Überblick nun ganz verloren habe bzw. mich nicht ran traue einfach etwas "zu testen".
Mir schien ein KDC Passwort Reset sinnvoll zu sein - ob ich es jedoch tun sollte weiß ich nicht...
Wäre über jede Hilfe dankbar –auch mit Bezahlung wenn notwendig und gewünscht. Weiter unten findet sich von jedem Server die DCDIAG Ausgabe.
SRVA1
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SRVA1
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\SRVA1
Starting test: Connectivity
......................... SRVA1 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\SRVA1
Starting test: Advertising
......................... SRVA1 hat den Test Advertising bestanden.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... SRVA1 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... SRVA1 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... SRVA1 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... SRVA1 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... SRVA1 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... SRVA1 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=DOMAENE
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=DOMAENE
......................... SRVA1 hat den Test NCSecDesc nicht bestanden.
Starting test: NetLogons
......................... SRVA1 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... SRVA1 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... SRVA1 hat den Test Replications bestanden.
Starting test: RidManager
......................... SRVA1 hat den Test RidManager bestanden.
Starting test: Services
......................... SRVA1 hat den Test Services bestanden.
Starting test: SystemLog
Warnung. Ereignis-ID: 0x8000001D
Erstellungszeitpunkt: 12/20/2017 15:48:08
Ereigniszeichenfolge: Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
......................... SRVA1 hat den Test SystemLog bestanden.
Starting test: VerifyReferences
......................... SRVA1 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DOMAENE
Starting test: CheckSDRefDom
......................... DOMAENE hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DOMAENE hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: DOMAENE
Starting test: LocatorCheck
......................... DOMAENE hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... DOMAENE hat den Test Intersite bestanden.
C:\Users\administrator.DOMAENE>SRVB1
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: ZWEITER-STANDORT\SRVB1
Starting test: Connectivity
......................... SRVB1 passed test Connectivity
Doing primary tests
Testing server: ZWEITER-STANDORT\SRVB1
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
SRVB1: Current time is 2017-12-20 16:06:46.
DC=DomainDnsZones,DC=DOMAENE
Last replication recieved from SRVA1 at 2017-11-28 09:32:16.
DC=ForestDnsZones,DC=DOMAENE
Last replication recieved from SRVA1 at 2017-11-28 09:32:16.
CN=Schema,CN=Configuration,DC=DOMAENE
Last replication recieved from SRVA1 at 2017-11-28 09:32:15.
CN=Configuration,DC=DOMAENE
Last replication recieved from SRVA1 at 2017-11-28 09:32:15.
DC=DOMAENE
Last replication recieved from SRVA1 at 2017-11-28 09:32:15.
......................... SRVB1 passed test Replications
Starting test: NCSecDesc
......................... SRVB1 passed test NCSecDesc
Starting test: NetLogons
......................... SRVB1 passed test NetLogons
Starting test: Advertising
......................... SRVB1 passed test Advertising
Starting test: KnowsOfRoleHolders
[SRVA1] DsBindWithSpnEx() failed with error -2146893022,
Der Zielprinzipalname ist falsch..
Warning: SRVA1 is the Schema Owner, but is not responding to DS RPC Bind.
[SRVA1] LDAP bind failed with error 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Warning: SRVA1 is the Schema Owner, but is not responding to LDAP Bind.
Warning: SRVA1 is the Domain Owner, but is not responding to DS RPC Bind.
Warning: SRVA1 is the Domain Owner, but is not responding to LDAP Bind.
Warning: SRVA1 is the PDC Owner, but is not responding to DS RPC Bind.
Warning: SRVA1 is the PDC Owner, but is not responding to LDAP Bind.
Warning: SRVA1 is the Rid Owner, but is not responding to DS RPC Bind.
Warning: SRVA1 is the Rid Owner, but is not responding to LDAP Bind.
Warning: SRVA1 is the Infrastructure Update Owner, but is not responding to DS RPC Bind.
Warning: SRVA1 is the Infrastructure Update Owner, but is not responding to LDAP Bind.
......................... SRVB1 failed test KnowsOfRoleHolders
Starting test: RidManager
......................... SRVB1 failed test RidManager
Starting test: MachineAccount
......................... SRVB1 passed test MachineAccount
Starting test: Services
......................... SRVB1 passed test Services
Starting test: ObjectsReplicated
......................... SRVB1 passed test ObjectsReplicated
Starting test: frssysvol
......................... SRVB1 passed test frssysvol
Starting test: frsevent
......................... SRVB1 passed test frsevent
Starting test: kccevent
......................... SRVB1 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x40000004
Time Generated: 12/20/2017 15:35:54
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 12/20/2017 15:51:16
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 12/20/2017 16:04:53
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 12/20/2017 16:04:53
(Event String could not be retrieved)
......................... SRVB1 failed test systemlog
Starting test: VerifyReferences
......................... SRVB1 passed test VerifyReferences
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : DOMAENE
Starting test: CrossRefValidation
......................... DOMAENE passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DOMAENE passed test CheckSDRefDom
Running enterprise tests on : DOMAENE
Starting test: Intersite
......................... DOMAENE passed test Intersite
Starting test: FsmoCheck
......................... DOMAENE passed test FsmoCheckSRVB2
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
Homeserver = SRVB2
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: ZWEITER-STANDORT\SRVB2
Starting test: Connectivity
......................... SRVB2 hat den Test Connectivity
bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: ZWEITER-STANDORT\SRVB2
Starting test: Advertising
......................... SRVB2 hat den Test Advertising
bestanden.
Starting test: FrsEvent
Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge
haben.
......................... SRVB2 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... SRVB2 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... SRVB2 hat den Test SysVolCheck
bestanden.
Starting test: KccEvent
Warnung. Ereignis-ID: 0x8000061E
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition ber diesen Transport replizieren k”nnen, sind zurzeit nicht verfgbar.
Fehler. Ereignis-ID: 0xC000051F
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzprfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Warnung. Ereignis-ID: 0x80000749
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzberprfung (KCC) konnte keine vollst„ndige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
Warnung. Ereignis-ID: 0x8000061E
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition ber diesen Transport replizieren k”nnen, sind zurzeit nicht verfgbar.
Fehler. Ereignis-ID: 0xC000051F
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzprfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Warnung. Ereignis-ID: 0x80000749
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzberprfung (KCC) konnte keine vollst„ndige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
Warnung. Ereignis-ID: 0x8000061E
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition ber diesen Transport replizieren k”nnen, sind zurzeit nicht verfgbar.
Fehler. Ereignis-ID: 0xC000051F
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzprfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Warnung. Ereignis-ID: 0x80000749
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzberprfung (KCC) konnte keine vollst„ndige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
Warnung. Ereignis-ID: 0x8000061E
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition ber diesen Transport replizieren k”nnen, sind zurzeit nicht verfgbar.
Fehler. Ereignis-ID: 0xC000051F
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzprfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Warnung. Ereignis-ID: 0x80000749
Erstellungszeitpunkt: 12/20/2017 15:53:24
Ereigniszeichenfolge:
Die Konsistenzberprfung (KCC) konnte keine vollst„ndige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
......................... Der Test KccEvent fr SRVB2 ist
fehlgeschlagen.
Starting test: KnowsOfRoleHolders
[SRVA1] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Achtung: SRVA1 ist Schema Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
[SRVA1] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: SRVA1 ist Schema Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SRVA1 ist Domain Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SRVA1 ist Domain Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SRVA1 ist PDC Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SRVA1 ist PDC Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SRVA1 ist Rid Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SRVA1 ist Rid Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SRVA1 ist Infrastructure Update Owner, reagiert jedoch nicht
auf die DS-RPC-Bindung.
Achtung: SRVA1 ist Infrastructure Update Owner, reagiert jedoch nicht
auf die LDAP-Bindung.
......................... Der Test KnowsOfRoleHolders fr SRVB2
ist fehlgeschlagen.
Starting test: MachineAccount
......................... SRVB2 hat den Test MachineAccount
bestanden.
Starting test: NCSecDesc
......................... SRVB2 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... SRVB2 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... SRVB2 hat den Test ObjectsReplicated
bestanden.
Starting test: Replications
[Replications Check,SRVB2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SRVA1 nach SRVB2
Namenskontext: DC=DomainDnsZones,DC=DOMAENE
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2017-12-20 15:47:21.
Letzter erfolgreicher Vorgang: 2017-11-28 09:32:16.
Seit dem letzten erfolgreichen Vorgang sind 2137 Fehler
aufgetreten.
[Replications Check,SRVB2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SRVA1 nach SRVB2
Namenskontext: DC=ForestDnsZones,DC=DOMAENE
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2017-12-20 15:47:21.
Letzter erfolgreicher Vorgang: 2017-11-28 09:32:16.
Seit dem letzten erfolgreichen Vorgang sind 2137 Fehler
aufgetreten.
[Replications Check,SRVB2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SRVA1 nach SRVB2
Namenskontext: CN=Schema,CN=Configuration,DC=DOMAENE
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2017-12-20 15:47:22.
Letzter erfolgreicher Vorgang: 2017-11-28 09:32:15.
Seit dem letzten erfolgreichen Vorgang sind 2137 Fehler
aufgetreten.
[Replications Check,SRVB2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SRVA1 nach SRVB2
Namenskontext: CN=Configuration,DC=DOMAENE
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2017-12-20 15:47:21.
Letzter erfolgreicher Vorgang: 2017-11-28 09:32:15.
Seit dem letzten erfolgreichen Vorgang sind 2137 Fehler
aufgetreten.
[Replications Check,SRVB2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SRVA1 nach SRVB2
Namenskontext: DC=DOMAENE
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2017-12-20 15:47:21.
Letzter erfolgreicher Vorgang: 2017-11-28 09:32:16.
Seit dem letzten erfolgreichen Vorgang sind 2137 Fehler
aufgetreten.
......................... Der Test Replications fr SRVB2 ist
fehlgeschlagen.
Starting test: RidManager
......................... Der Test RidManager fr SRVB2 ist
fehlgeschlagen.
Starting test: Services
......................... SRVB2 hat den Test Services bestanden.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 12/20/2017 15:12:35
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "SRVA1$" empfangen. Der verwendete Zielname war ldap/SRVA1.DOMAENE. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort fr das Zieldienstkonto nicht mit dem Kennwort bereinstimmt, das im Kerberos-KDC (Key Distribution Center) fr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (DOMAENE) von der Clientdom„ne (DOMAENE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 12/20/2017 15:30:46
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "SRVA1$" empfangen. Der verwendete Zielname war DOMAENE\SRVA1$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort fr das Zieldienstkonto nicht mit dem Kennwort bereinstimmt, das im Kerberos-KDC (Key Distribution Center) fr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (DOMAENE) von der Clientdom„ne (DOMAENE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 12/20/2017 15:47:21
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "SRVA1$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/876fcf85-623a-4c95-b1a7-6f9c106f3ee3/DOMAENE@DOMAENE. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort fr das Zieldienstkonto nicht mit dem Kennwort bereinstimmt, das im Kerberos-KDC (Key Distribution Center) fr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (DOMAENE) von der Clientdom„ne (DOMAENE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 12/20/2017 15:59:41
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "SRVA1$" empfangen. Der verwendete Zielname war LDAP/876fcf85-623a-4c95-b1a7-6f9c106f3ee3._msdcs.DOMAENE. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort fr das Zieldienstkonto nicht mit dem Kennwort bereinstimmt, das im Kerberos-KDC (Key Distribution Center) fr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (DOMAENE) von der Clientdom„ne (DOMAENE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
......................... Der Test SystemLog fr SRVB2 ist
fehlgeschlagen.
Starting test: VerifyReferences
......................... SRVB2 hat den Test VerifyReferences
bestanden.
Partitionstests werden ausgefhrt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgefhrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: DOMAENE
Starting test: CheckSDRefDom
......................... DOMAENE hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DOMAENE hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgefhrt auf: DOMAENE
Starting test: LocatorCheck
......................... DOMAENE hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... DOMAENE hat den Test Intersite bestanden.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 358804
Url: https://administrator.de/forum/domaene-mit-zwei-standorten-und-insgesamt-3-servern-ad-und-dns-replikation-klappt-nicht-und-diverse-andere-358804.html
Ausgedruckt am: 20.04.2025 um 08:04 Uhr
7 Kommentare
Neuester Kommentar
Hi,
welches OS hat SRVA1 ?
Ich würde als erstes das Netzwerk ausschließen. Können sich alle DC untereinander mit allen notwendigen Ports untereinander ansprechen?
Zweitens könntest Du den neuen SRVB2 fix als Bridgehead festlegen. Dann sollten SRVA1 und SRVB1 nicht mehr direkt abgleichen.
Sind alle DC auch GC?
Wenn Die Replikation zwischen SRVA1 und SRVB2 funktioniert, und SRVB1 keinen weiteren Aufgaben hat, dann könntest Du SRVB1 auch "hart" aus dem AD entfernen. Beachte, ob die Clients am Standort B diesen DC als DNS-Server nutzen. ggf. auf SRVB2 umstellen.
E.
welches OS hat SRVA1 ?
Ich würde als erstes das Netzwerk ausschließen. Können sich alle DC untereinander mit allen notwendigen Ports untereinander ansprechen?
Zweitens könntest Du den neuen SRVB2 fix als Bridgehead festlegen. Dann sollten SRVA1 und SRVB1 nicht mehr direkt abgleichen.
Sind alle DC auch GC?
Wenn Die Replikation zwischen SRVA1 und SRVB2 funktioniert, und SRVB1 keinen weiteren Aufgaben hat, dann könntest Du SRVB1 auch "hart" aus dem AD entfernen. Beachte, ob die Clients am Standort B diesen DC als DNS-Server nutzen. ggf. auf SRVB2 umstellen.
E.
1
Hallo,
Klingt schon nach machineaccount-password.
http://technet.microsoft.com/en-us/library/cc780728.aspx
Ich würde so als Idee lieber alle FSMO-Rollen an dem Standort mit den 2 DCs haben. Da können die sich auch bei fehlender Konnektivität zwischen den Standorten authentifizieren.
Wie lange hast du das Problem schon?
Grüße
lcer
Klingt schon nach machineaccount-password.
http://technet.microsoft.com/en-us/library/cc780728.aspx
Ich würde so als Idee lieber alle FSMO-Rollen an dem Standort mit den 2 DCs haben. Da können die sich auch bei fehlender Konnektivität zwischen den Standorten authentifizieren.
Wie lange hast du das Problem schon?
Grüße
lcer
1
SRVA1 - Windows Server 2008 R2 (Editiert im ersten Beitrag)
- Alle DCs können sich untereinander voll erreichen. Ich möchte keinen Bridgehead in Betrieb nehmen, sondern dafür sorgen, dass zum Schluss nur noch SRVB2 und SRVA1 exisitieren. Wobei Standort A der Hauptstandort ist und der DC somit alle FSMO rollen halten sollte.
- Die Replikation funktioniert zur Zeit auf meinem Server am Standort B. Ich bekomme an beiden Servern keinen Betriebsmaster angezeigt.
Die Clients am Standort B nutzen schon den neuen DNS-Server, SRVB2. Die DNS Abfragen funktionieren auch soweit.
- Alle DCs können sich untereinander voll erreichen. Ich möchte keinen Bridgehead in Betrieb nehmen, sondern dafür sorgen, dass zum Schluss nur noch SRVB2 und SRVA1 exisitieren. Wobei Standort A der Hauptstandort ist und der DC somit alle FSMO rollen halten sollte.
- Die Replikation funktioniert zur Zeit auf meinem Server am Standort B. Ich bekomme an beiden Servern keinen Betriebsmaster angezeigt.
Die Clients am Standort B nutzen schon den neuen DNS-Server, SRVB2. Die DNS Abfragen funktionieren auch soweit.
Machineaccount-Password war auch bisher das plausibelste was mir erschien.
Der Downloadlink führt einem "retired Content Download" und soll für den Server 2003 sein. Was führt dieses Paket durch? Den Reset doch wohl nicht? Bin bei meinen recherchen nicht auf diesen Link gestoßen.
Die FSMO-Rollen sollen am SRVA1 bleiben, da der SRVB1 abgeschaltet werden soll. Wir werden an jedem Standort somit einen Server haben.
Das Problem tauchte erstmalig ca. 1 Woche nach der Installation von SRVB2 auf und hält bis heute an.
Der Downloadlink führt einem "retired Content Download" und soll für den Server 2003 sein. Was führt dieses Paket durch? Den Reset doch wohl nicht? Bin bei meinen recherchen nicht auf diesen Link gestoßen.
Die FSMO-Rollen sollen am SRVA1 bleiben, da der SRVB1 abgeschaltet werden soll. Wir werden an jedem Standort somit einen Server haben.
Das Problem tauchte erstmalig ca. 1 Woche nach der Installation von SRVB2 auf und hält bis heute an.
Hallo,
Das war gerade noch eine richtige Website. Lies mal die Installation-Instruktionen des Downloads.
Wenn das Problem erst seit einer Woche besteht, ist ja noch etwas Zeit.
Grüße
lcer
Der Downloadlink führt einem "retired Content Download" und soll für den Server 2003 sein. Was führt dieses Paket durch? Den Reset doch wohl nicht? Bin bei meinen recherchen nicht auf diesen Link gestoßen.
Das war gerade noch eine richtige Website. Lies mal die Installation-Instruktionen des Downloads.
Wenn das Problem erst seit einer Woche besteht, ist ja noch etwas Zeit.
Grüße
lcer
1
OK ich habe mich blöd ausgedrückt.
1 Woche nach Installation trat der Fehler auf und besteht seitdem. Die Installation ist ~4 Wochen her. Der Fehler besteht also ca. 3 Wochen.
Entschuldige das unklare ausdrücken. Schaue nun nochmal in den Link.
1 Woche nach Installation trat der Fehler auf und besteht seitdem. Die Installation ist ~4 Wochen her. Der Fehler besteht also ca. 3 Wochen.
Entschuldige das unklare ausdrücken. Schaue nun nochmal in den Link.
Sorry, der link war nicht genau der richtige.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/e9c162cb ...
Schau da mal nach, setz einfach die Kennwörter nach Anleitung zurück. Wichtig ist, dass der kdc dienst nur noch auf dem „PDC“ läuft, und die machineaccounts auf diesem dann neu beoasswortet werden.
Grüße
lcer
Entschuldige das unklare ausdrücken. Schaue nun nochmal in den Link.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/e9c162cb ...
Schau da mal nach, setz einfach die Kennwörter nach Anleitung zurück. Wichtig ist, dass der kdc dienst nur noch auf dem „PDC“ läuft, und die machineaccounts auf diesem dann neu beoasswortet werden.
Grüße
lcer
