3
Domänencontroller (W2K DC nicht PDC) meldet Ziel-Prinzipalname falsch
Nachdem einer unserer DC's (W2K) keine Netzwerkverbindung mehr aufbaute und deshalb nicht mal die Anmeldung brachte, haben wir ein GHOST Image
zurückgespielt. Dieses Image war ca 2 Wochen alt und deshalb was das AD nicht mehr aktuell. Jetzt kann man sich zwar anmelden wieder - Scripte laufen
nicht!! - aber das AD wird leider nicht vom PDC (windows 2003 Server) auf den DC repliziert. Es kommt immer dieselbe Fehlermeldung - Ziel-Prinzipalname
ist falsch.....
Hi Ihr Alle,
es ist schon zum aus der Haut fahren.....
Folgende Umgebung liegt bei uns vor:
Windows 2003 Server + Windows 2000 Server sowie 1 NT Server im MiX-Betrieb - KEIN Native Mode.
Ein Windows 2003 Server ist Master aller FSMO Rollen. (PDC)
4 weitere DC's - einer NT4 - Altlast, zwei Windows 2000, 1 Windows 2003.
Nun zu dem Grund der ganzen Problematik:
Wir haben nach Änderungen an einem der Windows 2000 Server in der Registrierung
Einstellungen vorgenommen, weil ein Software-Hersteller (IBM) seine Programme nicht
sauber schreiben kann und nur mit den Registry Änderungen eine Stabilität der Anwendung
garantiert. -> Zähneknirschend haben wir also geändert.....
Erster Neustart machte keine Probleme - Server lief einwandfrei und alles schien ok.
Nach einer Woche mussten wir den Server ein weiteresmal neu booten und danach
blieb er bei der Meldung Netzwerkverbindungen werden vorbereitet hängen. Er war
über PING erreichbar, aber keine Freigaben waren verfügbar. Anmelden war nicht mehr
möglich - PRIMA! Das zu den prächtigen Änderungen vorher........
Wir haben nun erst versucht mitteln Spezieller Boot-CD die Registrierung unseres DC's
zu überprüfen und zu versuchen, dass die Netzwerkverbindungen wieder hergestellt werden....
War leider vergeblich, das brachte nix mehr....
Jetzt hatten wir aus MISSTRAUEN vor der Registry Änderung ein IMAGE mittel GHOST angefertigt.
Auch werden natürlich jedes WOchenende KOmplettsicherungen angefertigt.... Backup Exec....
Um schnell wieder an die Daten ranzukommen, haben wir die Bootpartition wieder auf dem
Ghost-Image hergestellt. Super klasse - wir bekamen wieder einen Login Bildschirm und konnten
uns anmelden als Administratoren (Netzwerk/Domäne). Alles schien ok, bis wir versucht haben
von den Clients auf den DC zuzugreifen. Nichts - wir bekamen keine Verbindung. Auch von
den anderen Servern war keine Verbindung zu dem DC herzustellen.... Es kamen nur Fehlermeldungen.
Von dem DC konnten wir aber alle anderen Server sehen und sogar Daten übertragen.
Was für ein Mist.... Wir vermuteten Zugriffsverletzungen - aber warum... das Image lief doch vor
2 Wochen noch einwandfrei auf diesem DC..... Ziemlich schnell haben wir dann in den MMC gemerkt,
dass die Domäne nicht verfügbar war. So wie es aussah, hatte der DC (???) keinen Zugriff mehr auf
den PDC und alle Userkonten und so weiter.... grausam.....
In den Ereignisprotokollen des AD haben wir dann auch schnell den "Grund" gefunden. Dort erschien
ziemlich oft der Eintrag - Ziel-Prinzipalname falsch. Um es gleich zu sagen, hier standen wir erstmal wie
der Ochs vor dem Berg...... Was bitte... Was soll das denn sein... selbst recherchen im Netz brachten da
nicht den gewohnten AHA Effekt. Wir haben ziemlich schnell gemerkt, dass die Meldung immer dann
erschien, wenn der Wiederhergestellte DC irgendwas mit dem AD machen wollte. Auch von dem "P"DC
konnten wir keine Replikation auf den dort noch eingetragenen DC machen - es erschien stets eine Fehler-
meldung.
Hilfe! was können wir denn jetzt noch tun.... Ratlos und Hilflos - der DC hat wichtige Daten gespeichert. Er
ist unser einziges RAID5 System und sollte wenn möglich bitte schnell wieder Kontakt mit unserem einwandfrei
funktionierenden AD aufnehmen und sich abgleichen.
Kann es sein, dass der DC bei der Anmeldung mit dem Domänen Admin User keine Rechte bekommt? Wie können
wir den Trust wieder herstellen zu unserer Domäne? die Support Tools brachten keinen Erfolg, da hier immer
Zugriff verweigert kommt und nix geht..... Es scheint, dass die Anmeldung auf dem DC zwar durchgeht, aber
das nur weil der User ja noch lokal gespeichert ist. Leider hat ein DC ja keine lokalen User folglich geht eine
richtige lokale ANmeldung gar nicht. Ein dcpromo zur Herabstufung des DC funktioniert auch nicht und schlägt fehl.
Für eine schnelle Lösung wären wir sehr dankbar! Der Server beheimatet unser Software-Verwaltungsprogramm, was ja
zu dem ganzen Maleur geführt hat.
es ist schon zum aus der Haut fahren.....
Folgende Umgebung liegt bei uns vor:
Windows 2003 Server + Windows 2000 Server sowie 1 NT Server im MiX-Betrieb - KEIN Native Mode.
Ein Windows 2003 Server ist Master aller FSMO Rollen. (PDC)
4 weitere DC's - einer NT4 - Altlast, zwei Windows 2000, 1 Windows 2003.
Nun zu dem Grund der ganzen Problematik:
Wir haben nach Änderungen an einem der Windows 2000 Server in der Registrierung
Einstellungen vorgenommen, weil ein Software-Hersteller (IBM) seine Programme nicht
sauber schreiben kann und nur mit den Registry Änderungen eine Stabilität der Anwendung
garantiert. -> Zähneknirschend haben wir also geändert.....
Erster Neustart machte keine Probleme - Server lief einwandfrei und alles schien ok.
Nach einer Woche mussten wir den Server ein weiteresmal neu booten und danach
blieb er bei der Meldung Netzwerkverbindungen werden vorbereitet hängen. Er war
über PING erreichbar, aber keine Freigaben waren verfügbar. Anmelden war nicht mehr
möglich - PRIMA! Das zu den prächtigen Änderungen vorher........
Wir haben nun erst versucht mitteln Spezieller Boot-CD die Registrierung unseres DC's
zu überprüfen und zu versuchen, dass die Netzwerkverbindungen wieder hergestellt werden....
War leider vergeblich, das brachte nix mehr....
Jetzt hatten wir aus MISSTRAUEN vor der Registry Änderung ein IMAGE mittel GHOST angefertigt.
Auch werden natürlich jedes WOchenende KOmplettsicherungen angefertigt.... Backup Exec....
Um schnell wieder an die Daten ranzukommen, haben wir die Bootpartition wieder auf dem
Ghost-Image hergestellt. Super klasse - wir bekamen wieder einen Login Bildschirm und konnten
uns anmelden als Administratoren (Netzwerk/Domäne). Alles schien ok, bis wir versucht haben
von den Clients auf den DC zuzugreifen. Nichts - wir bekamen keine Verbindung. Auch von
den anderen Servern war keine Verbindung zu dem DC herzustellen.... Es kamen nur Fehlermeldungen.
Von dem DC konnten wir aber alle anderen Server sehen und sogar Daten übertragen.
Was für ein Mist.... Wir vermuteten Zugriffsverletzungen - aber warum... das Image lief doch vor
2 Wochen noch einwandfrei auf diesem DC..... Ziemlich schnell haben wir dann in den MMC gemerkt,
dass die Domäne nicht verfügbar war. So wie es aussah, hatte der DC (???) keinen Zugriff mehr auf
den PDC und alle Userkonten und so weiter.... grausam.....
In den Ereignisprotokollen des AD haben wir dann auch schnell den "Grund" gefunden. Dort erschien
ziemlich oft der Eintrag - Ziel-Prinzipalname falsch. Um es gleich zu sagen, hier standen wir erstmal wie
der Ochs vor dem Berg...... Was bitte... Was soll das denn sein... selbst recherchen im Netz brachten da
nicht den gewohnten AHA Effekt. Wir haben ziemlich schnell gemerkt, dass die Meldung immer dann
erschien, wenn der Wiederhergestellte DC irgendwas mit dem AD machen wollte. Auch von dem "P"DC
konnten wir keine Replikation auf den dort noch eingetragenen DC machen - es erschien stets eine Fehler-
meldung.
Hilfe! was können wir denn jetzt noch tun.... Ratlos und Hilflos - der DC hat wichtige Daten gespeichert. Er
ist unser einziges RAID5 System und sollte wenn möglich bitte schnell wieder Kontakt mit unserem einwandfrei
funktionierenden AD aufnehmen und sich abgleichen.
Kann es sein, dass der DC bei der Anmeldung mit dem Domänen Admin User keine Rechte bekommt? Wie können
wir den Trust wieder herstellen zu unserer Domäne? die Support Tools brachten keinen Erfolg, da hier immer
Zugriff verweigert kommt und nix geht..... Es scheint, dass die Anmeldung auf dem DC zwar durchgeht, aber
das nur weil der User ja noch lokal gespeichert ist. Leider hat ein DC ja keine lokalen User folglich geht eine
richtige lokale ANmeldung gar nicht. Ein dcpromo zur Herabstufung des DC funktioniert auch nicht und schlägt fehl.
Für eine schnelle Lösung wären wir sehr dankbar! Der Server beheimatet unser Software-Verwaltungsprogramm, was ja
zu dem ganzen Maleur geführt hat.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1971
Url: https://administrator.de/contentid/1971
Printed on: April 20, 2024 at 01:04 o'clock
3 Comments
Latest comment
Nach dem kostenplichtigen Support bei Microsoft wurde uns die Lösung für diese blödsinnige Fehlermeldung (Ziel-Prinzipalname ist falsch) übermittelt.
Es handelt sich hier um ein Problem der AD-Sicherheit. Das AD übermittelt Daten über einen
sicheren Kanal. Dieser ist mit einem Kerberos-Passwort geschützt. Dieses Passwort ändert sich
des öffteren und wird den laufenden DC's mitgeteilt, weshalb kein Problem im laufenden
Betrieb auftreten kann. Wird nun ein Backup eingespielt, oder ein Server wegen Umbaumaßnahmen oder anderem für wenige Tage ausgeschaltet, so ist das Kerberos-Passwort veraltet.
Ein DC ist nun leider so doof und fordert nicht automatisch das neue aktuelle Passwort an, sondern verhält sich so, als ob er die Domäne gar nicht kennen würde. Alle Fehlermeldungen und Funktionsprobleme sind nur darauf zurückzuführen. Wenn man nun aber den Kerberos Dienst deaktiviert und wie in den Whitepapers 260575 sowie 288167 beschrieben mittels NETDOM den DC auffordert sich das neue Kerberos-Passwort vom PDC zu holen, dann funktioniert plötzlich nach Neustart wieder alles. Das hat uns nun 160? gekostet. Wir hoffen aber damit nun allen anderen, die ähnliche Probleme haben darauf hingewiesen zu haben. Es gab bislang dazu keine unter der Fehlermeldung zu findende Lösung.
Wir finden, dass es schon ziemlich bescheuert ist, wenn ein DC, der offiziell DC war, nicht selbstständig in der Lage ist, sich das aktuell gültige Kerberos-Passwort zu beschaffen, was uns viel Zeit und Nerven erspart hätte.
MfG
V.Seitz
Es handelt sich hier um ein Problem der AD-Sicherheit. Das AD übermittelt Daten über einen
sicheren Kanal. Dieser ist mit einem Kerberos-Passwort geschützt. Dieses Passwort ändert sich
des öffteren und wird den laufenden DC's mitgeteilt, weshalb kein Problem im laufenden
Betrieb auftreten kann. Wird nun ein Backup eingespielt, oder ein Server wegen Umbaumaßnahmen oder anderem für wenige Tage ausgeschaltet, so ist das Kerberos-Passwort veraltet.
Ein DC ist nun leider so doof und fordert nicht automatisch das neue aktuelle Passwort an, sondern verhält sich so, als ob er die Domäne gar nicht kennen würde. Alle Fehlermeldungen und Funktionsprobleme sind nur darauf zurückzuführen. Wenn man nun aber den Kerberos Dienst deaktiviert und wie in den Whitepapers 260575 sowie 288167 beschrieben mittels NETDOM den DC auffordert sich das neue Kerberos-Passwort vom PDC zu holen, dann funktioniert plötzlich nach Neustart wieder alles. Das hat uns nun 160? gekostet. Wir hoffen aber damit nun allen anderen, die ähnliche Probleme haben darauf hingewiesen zu haben. Es gab bislang dazu keine unter der Fehlermeldung zu findende Lösung.
Wir finden, dass es schon ziemlich bescheuert ist, wenn ein DC, der offiziell DC war, nicht selbstständig in der Lage ist, sich das aktuell gültige Kerberos-Passwort zu beschaffen, was uns viel Zeit und Nerven erspart hätte.
MfG
V.Seitz
UNS hat es sehr geholfen. Wir hatten die gleichen Probleme, nachdem wir ein älteres Image zurückspielen mussten. Da wir noch nicht lange ADS benutzen, hatten wir auch dementsprechend Probleme, den Fehler und die Lösung zu finden.
Vielen Dank für euer Posting hier
MrRagoo
Vielen Dank für euer Posting hier
MrRagoo
Schön, dass du das hier eingestellt hast.
Das Problem besteht auch heute noch bei Win2008-Servern .
Ich war schon nahe daran, den DC neu aufzusetzen, als ich hier die Lösung fand. Es steht zwar auch verklausuliert in der Windows-Hilfe, aber aus den maschinell übersetzten Artikeln wird man nicht richtig schlau.
Vielen Dank nochmal!
Das Problem besteht auch heute noch bei Win2008-Servern .
Ich war schon nahe daran, den DC neu aufzusetzen, als ich hier die Lösung fand. Es steht zwar auch verklausuliert in der Windows-Hilfe, aber aus den maschinell übersetzten Artikeln wird man nicht richtig schlau.
Vielen Dank nochmal!
