osze90
Goto Top

DSF Fehler auf Gesamtstruktur

Hallo

Ähnlich wie beim Thema Zweiten DC hinzugefügt - DFS-Replikationsdienstdefehler - Sysvol Ordner werden nicht repliziert

Habe ich folgender Fehler, bei mir ist es jedoch die Gesamtstruktur der den Fehler aufweist:

Der DFS-Replikationsdienst hat die Replikation für den Ordner unter dem folgenden lokalen Pfad "C:\Windows\SYSVOL\domain" beendet. Dieser Server wurde von anderen Partnern für 366 Tage getrennt. Dadurch wird die im Parameter "MaxOfflineTimeInDays" zulässige Dauer überschritten (60). Aus diesem Grund geht der DFS-Replikationsdienst davon aus, dass diese Daten veraltet sind, und dieser Ordner wird vom Server erst nach Korrektur dieses Fehlers wieder repliziert.

Verwenden Sie zum Fortsetzen der Replikation dieses Ordners das DFS-Verwaltungs-Snap-Ins zum Entfernen dieses Servers aus der Replikationsgruppe, und fügen Sie ihn dann der Gruppe erneut zu. Dadurch führt der Server einen ersten Synchronisierungstask aus, wodurch die veralteten Daten durch aktuelle Daten der Mitglieder der Replikationsgruppe ersetzt werden.

Weitere Informationen:
Fehler: 9061 (Der replizierte Ordner war zu lange offline.)
Name des replizierten Ordners: SYSVOL Share
ID des replizierten Ordners: 96BA0A27-099F-4E5F-9922-40C12B76644A
Replikationsgruppenname: Domain System Volume
ID der Replikationsgruppe: B74C8F84-2BB3-4500-8827-AA2609390EC9
Mitglieds-ID: FA079F2C-2064-4B6A-AA20-E7F5F4671CDA


Bevor ich die Anleitungen siehe Link oben durchprobiert hatte, hatte der 2. DC noch keine DFS Fehler nun jedoch aufeinmal auch.


Danke für die Hilfe.

Content-ID: 324343

Url: https://administrator.de/forum/dsf-fehler-auf-gesamtstruktur-324343.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

osze90
osze90 20.12.2016 aktualisiert um 17:03:00 Uhr
Goto Top
So ein riesen mist, seit ich die virtuellle Maschine über einen Prüfpunkr zurückgesetzt habe kommen nun nochmehr Fehlermeldungen als vorher:

dcdiac auf der virtuellen Maschine:

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = testsrv3
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\TESTSRV3
        Starting test: Connectivity
        ......................... TESTSRV3 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\TESTSRV3
        Starting test: Advertising
        Achtung: Bei dem Versuch, TESTSRV3 zu erreichen, wurden von DsGetDcName Informationen für
        \\testsrv2.deb.test zurückgegeben.
        DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
        ......................... Der Test Advertising für TESTSRV3 ist fehlgeschlagen.
        Starting test: FrsEvent
        ......................... TESTSRV3 hat den Test FrsEvent bestanden.
        Starting test: DFSREvent
        Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
        vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
        ......................... Der Test DFSREvent für TESTSRV3 ist fehlgeschlagen.
        Starting test: SysVolCheck
        ......................... TESTSRV3 hat den Test SysVolCheck bestanden.
        Starting test: KccEvent
        ......................... TESTSRV3 hat den Test KccEvent bestanden.
        Starting test: KnowsOfRoleHolders
        [TESTSRV2] DsBindWithSpnEx()-Fehler -2146893022,
        Der Zielprinzipalname ist falsch..
        Achtung: TESTSRV2 ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
        [TESTSRV2] LDAP-Bindungsfehler 8341,
        Ein Verzeichnisdienstfehler ist aufgetreten..
        Achtung: TESTSRV2 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung.
        Achtung: TESTSRV2 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
        Achtung: TESTSRV2 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.
        Achtung: TESTSRV2 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
        Achtung: TESTSRV2 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.
        Achtung: TESTSRV2 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
        Achtung: TESTSRV2 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.
        Achtung: TESTSRV2 ist Infrastructure Update Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
        Achtung: TESTSRV2 ist Infrastructure Update Owner, reagiert jedoch nicht auf die LDAP-Bindung.
        ......................... Der Test KnowsOfRoleHolders für TESTSRV3 ist fehlgeschlagen.
        Starting test: MachineAccount
        ......................... TESTSRV3 hat den Test MachineAccount bestanden.
        Starting test: NCSecDesc
        ......................... TESTSRV3 hat den Test NCSecDesc bestanden.
        Starting test: NetLogons
        Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\TESTSRV3\netlogon)
        [TESTSRV3] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
        Der Netzwerkname wurde nicht gefunden..
        ......................... Der Test NetLogons für TESTSRV3 ist fehlgeschlagen.
        Starting test: ObjectsReplicated
        ......................... TESTSRV3 hat den Test ObjectsReplicated bestanden.
        Starting test: Replications
        [Replications Check,TESTSRV3] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
        Von TESTSRV2 nach TESTSRV3
        Namenskontext: DC=DomainDnsZones,DC=deb,DC=test
        Beim Replizieren ist ein Fehler aufgetreten (1256):
        Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie
        in der Windows-Hilfe.

        Auftreten des Fehlers: 2016-12-20 16:50:34.
        Letzter erfolgreicher Vorgang: 2016-08-30 19:55:16.
        Seit dem letzten erfolgreichen Vorgang sind 2 Fehler aufgetreten.
        [Replications Check,TESTSRV3] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
        Von TESTSRV2 nach TESTSRV3
        Namenskontext: DC=ForestDnsZones,DC=deb,DC=test
        Beim Replizieren ist ein Fehler aufgetreten (1256):
        Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie
        in der Windows-Hilfe.

        Auftreten des Fehlers: 2016-12-20 16:50:34.
        Letzter erfolgreicher Vorgang: 2016-08-30 19:55:16.
        Seit dem letzten erfolgreichen Vorgang sind 2 Fehler aufgetreten.
        [Replications Check,TESTSRV3] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
        Von TESTSRV2 nach TESTSRV3
        Namenskontext: CN=Schema,CN=Configuration,DC=deb,DC=test
        Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
        Der Zielprinzipalname ist falsch.
        Auftreten des Fehlers: 2016-12-20 16:50:35.
        Letzter erfolgreicher Vorgang: 2016-08-30 19:55:16.
        Seit dem letzten erfolgreichen Vorgang sind 2 Fehler aufgetreten.
        [Replications Check,TESTSRV3] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
        Von TESTSRV2 nach TESTSRV3
        Namenskontext: CN=Configuration,DC=deb,DC=test
        Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
        Der Zielprinzipalname ist falsch.
        Auftreten des Fehlers: 2016-12-20 16:50:35.
        Letzter erfolgreicher Vorgang: 2016-08-30 19:55:16.
        Seit dem letzten erfolgreichen Vorgang sind 2 Fehler aufgetreten.
        [Replications Check,TESTSRV3] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
        Von TESTSRV2 nach TESTSRV3
        Namenskontext: DC=deb,DC=test
        Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
        Der Zielprinzipalname ist falsch.
        Auftreten des Fehlers: 2016-12-20 16:50:34.
        Letzter erfolgreicher Vorgang: 2016-08-30 20:41:39.
        Seit dem letzten erfolgreichen Vorgang sind 2 Fehler aufgetreten.
        ......................... Der Test Replications für TESTSRV3 ist fehlgeschlagen.
        Starting test: RidManager
        ......................... Der Test RidManager für TESTSRV3 ist fehlgeschlagen.
        Starting test: Services
        ......................... TESTSRV3 hat den Test Services bestanden.
        Starting test: SystemLog
        Warnung. Ereignis-ID: 0x80040020
        Erstellungszeitpunkt: 12/20/2016 16:34:30
        Ereigniszeichenfolge:
        Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten
        könnten beschädigt werden.
        Warnung. Ereignis-ID: 0x80040020
        Erstellungszeitpunkt: 12/20/2016 16:34:30
        Ereigniszeichenfolge:
        Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten
        könnten beschädigt werden.
        Warnung. Ereignis-ID: 0x80040020
        Erstellungszeitpunkt: 12/20/2016 16:34:30
        Ereigniszeichenfolge:
        Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten
        könnten beschädigt werden.
        Warnung. Ereignis-ID: 0x0000000B
        Erstellungszeitpunkt: 12/20/2016 16:34:34
        Ereigniszeichenfolge:
        Benutzerdefinierte DLLs werden für jede Anwendung geladen. Der Systemadministrator sollte die Liste der DLLs
        prüfen, um sicherzustellen, dass sie sich auf die vertrauenswürdigen Anwendungen beziehen. Weitere Informationen finden
        Sie unter "http://support.microsoft.com/kb/197571".
        Fehler. Ereignis-ID: 0x00000C8A
        Erstellungszeitpunkt: 12/20/2016 16:35:32
        Ereigniszeichenfolge:
        Dieser Computer konnte sich nicht mit \\testsrv2.deb.test, einem Windows-Domänencontroller für Domäne DE
        BELY, authentifizieren. Aus diesem Grund wird dieser Computer möglicher- weise Anmeldeanforderungen ablehnen. Die Ursach
        e hierfür ist möglicherweise ein anderer Computer im gleichen Netzwerk mit demselben Namen, oder das Kennwort für diese
        s Computerkonto wird nicht erkannt. Wenn Sie diese Meldung nochmals erhalten, sollten Sie sich an den Systemadministrat
        or wenden.
        Fehler. Ereignis-ID: 0x00000429
        Erstellungszeitpunkt: 12/20/2016 16:35:57
        Ereigniszeichenfolge:
        Es wurden einige verwaiste Einträge in der Konfiguration gelöscht, da eine Klasse oder eine Optionsdefinitio
        n gelöscht wurde. Überprüfen Sie die Serverkonfiguration erneut.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:01
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/741956fd-ff59-47e6-b808-c31e448ef6cf/deb.test@deb.test. Dies deute
        t darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten,
        wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie s
        icher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftr
        eten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribut
        ion Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für
        die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zi
        eldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Se
        rverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren
        .
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:01
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war ldap/testsrv2.deb.test/deb.test@DEB.TEST. Dies deutet darauf hin, dass der Zielserver das vom Client
        bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht be
        i dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto regis
        triert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto
        nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist.
        Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguri
        ert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB
        ELY.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder ver
        wenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
        Fehler. Ereignis-ID: 0x0000410B
        Erstellungszeitpunkt: 12/20/2016 16:36:01
        Ereigniszeichenfolge:
        Fehler bei der Anforderung eines neuen Kontenidentifizierungspools. Der Vorgang wird solange wiederholt, bis
        er erfolgreich ausgeführt wird. Fehler:
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:02
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war ldap/testsrv2.deb.test. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token n
        icht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert
        ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Serv
        er verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort ü
        bereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, das
        s der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Serve
        rname nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet,
        prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollquali
        fizierten Namen, um den Server zu identifizieren.
        Warnung. Ereignis-ID: 0x00002724
        Erstellungszeitpunkt: 12/20/2016 16:36:06
        Ereigniszeichenfolge:
        Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichk
        eit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
        Fehler. Ereignis-ID: 0x00000423
        Erstellungszeitpunkt: 12/20/2016 16:36:07
        Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
        Fehler. Ereignis-ID: 0x00000416
        Erstellungszeitpunkt: 12/20/2016 16:36:07
        Ereigniszeichenfolge:
        Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne
        deb.test nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende G
        ründe geben:
        Fehler. Ereignis-ID: 0x00000423
        Erstellungszeitpunkt: 12/20/2016 16:36:07
        Ereigniszeichenfolge: Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:07
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war cifs/testsrv2.deb.test. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token n
        icht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert
        ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Serv
        er verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort ü
        bereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, das
        s der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Serve
        rname nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet,
        prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollquali
        fizierten Namen, um den Server zu identifizieren.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:09
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war GC/testsrv2.deb.test/deb.test. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestell
        te Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto re
        gistriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, da
        s vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem
        Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie s
        icher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn
        der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unte
        rscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den
        vollqualifizierten Namen, um den Server zu identifizieren.
        Warnung. Ereignis-ID: 0x000727AA
        Erstellungszeitpunkt: 12/20/2016 16:36:09
        Ereigniszeichenfolge:
        Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/testsrv3.deb.test; WSMAN/testsrv
        3.
        Fehler. Ereignis-ID: 0x0000106A
        Erstellungszeitpunkt: 12/20/2016 16:36:10
        Ereigniszeichenfolge:
        Die IP-Adresse für die Isatap-Schnittstelle isatap.{33C26233-F2E6-48EA-9A86-950034DC5183} wurde nicht aktual
        isiert. Updatetyp: 1. Fehlercode: 0x490.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:36:14
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war LDAP/testsrv2.deb.test/deb.test@DEB.TEST. Dies deutet darauf hin, dass der Zielserver das vom Client
        bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht be
        i dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto regis
        triert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto
        nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist.
        Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguri
        ert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB
        ELY.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder ver
        wenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
        Warnung. Ereignis-ID: 0xC000042B
        Erstellungszeitpunkt: 12/20/2016 16:36:21
        Ereigniszeichenfolge:
        Der Remotedesktop-Sitzungshostserver kann den Dienstprinzipalnamen "TERMSRV", der für die Serverauthentifizi
        erung verwendet werden soll, nicht registrieren. Fehler: Der Zielprinzipalname ist falsch.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:37:22
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war LDAP/testsrv2.deb.test. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token n
        icht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert
        ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Serv
        er verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort ü
        bereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, das
        s der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Serve
        rname nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet,
        prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollquali
        fizierten Namen, um den Server zu identifizieren.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:37:27
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war testsrv2$@DEB.TEST. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht
        entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist,
        das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server v
        erwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übere
        instimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass de
        r Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servernam
        e nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prü
        fen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizi
        erten Namen, um den Server zu identifizieren.
        Warnung. Ereignis-ID: 0x00000018
        Erstellungszeitpunkt: 12/20/2016 16:40:04
        Ereigniszeichenfolge:
        Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller testsrv2.deb.test nach 8 K
        ontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neu
        en Domänencontroller für die Synchronisierung zu finden. Fehler: Der Client kann eine Antwort nicht mit einer fehlerhaft
        en Signatur authentifizieren.
        Fehler. Ereignis-ID: 0x00000469
        Erstellungszeitpunkt: 12/20/2016 16:40:49
        Ereigniszeichenfolge:
        Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencon
        troller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wen
        n die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgre
        ich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrat
        or.
        Fehler. Ereignis-ID: 0x00000469
        Erstellungszeitpunkt: 12/20/2016 16:43:20
        Ereigniszeichenfolge:
        Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencon
        troller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wen
        n die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgre
        ich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrat
        or.
        Fehler. Ereignis-ID: 0x40000004
        Erstellungszeitpunkt: 12/20/2016 16:48:22
        Ereigniszeichenfolge:
        Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zi
        elname war LDAP/741956fd-ff59-47e6-b808-c31e448ef6cf._msdcs.deb.test. Dies deutet darauf hin, dass der Zielserver das
        vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SP
        N) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem
        Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zield
        ienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfig
        uriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennwort
        s konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Client
        domäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinde
        n, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
        ......................... Der Test SystemLog für TESTSRV3 ist fehlgeschlagen.
        Starting test: VerifyReferences
        ......................... TESTSRV3 hat den Test VerifyReferences bestanden.


        Partitionstests werden ausgeführt auf: DomainDnsZones
        Starting test: CheckSDRefDom
        ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: ForestDnsZones
        Starting test: CheckSDRefDom
        ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Schema
        Starting test: CheckSDRefDom
        ......................... Schema hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Schema hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Configuration
        Starting test: CheckSDRefDom
        ......................... Configuration hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Configuration hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: deb
        Starting test: CheckSDRefDom
        ......................... deb hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... deb hat den Test CrossRefValidation bestanden.

        Unternehmenstests werden ausgeführt auf: deb.test
        Starting test: LocatorCheck
        ......................... deb.test hat den Test LocatorCheck bestanden.
        Starting test: Intersite
        ......................... deb.test hat den Test Intersite bestanden.
        PS C:\Users\Administrator.DEB>

        Was kann ich tun? Gibt ein Fix IT Tool für Windows Server? Ich stell mir die Frage wozu man Prüfpunkte machen kann wenn nachher noch weniger geht als vorher?...
Thorsten85
Thorsten85 20.12.2016 um 18:03:57 Uhr
Goto Top
Hi,

ich hab mal gelernt, das man nie und nimmer einen Snapshot vom DC macht.
Und dann vorallem diesen auch nicht damit wiederherstellt. Das kann nur schief gehen.

Erklärung z.B. hier: DCs uns Snapshots

Gruß, Thorsten
osze90
osze90 20.12.2016 um 19:18:38 Uhr
Goto Top
Danke für den Link, konnte durch einen weiteren Snapshot das System wiederherstellen, zum Zeitpunkt als er noch nicht in der Domäne war. Nun nur noch diese Fehler :

Auf testsrv2 (gesamtstruktur):

Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für TESTSRV2 ist fehlgeschlagen.


Testsrv3 (wiederherstellung durch Snapshot):

Primärtests werden ausgeführt.

Server wird getestet: Default-First-Site-Name\TESTSRV3
Starting test: Advertising
Achtung: Bei dem Versuch, TESTSRV3 zu erreichen, wurden von DsGetDcName Informationen für
\\testsrv2.deb.test zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... Der Test Advertising für TESTSRV3 ist fehlgeschlagen.
Starting test: FrsEvent
......................... TESTSRV3 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für TESTSRV3 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... TESTSRV3 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... TESTSRV3 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... TESTSRV3 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... TESTSRV3 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... TESTSRV3 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\TESTSRV3\netlogon)
[TESTSRV3] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..

Wie kann ich diese Fehler noch beheben? Gestern war dieser Adversiting Fehler noch nicht vorhanden. Die DFSR-Event Fehler bestehen schon lange und genau solange konnte ich sie nicht beheben, durch diverse Anleitungen die ich gefunden habe. Danke für eure Hilfe!!
BassFishFox
BassFishFox 21.12.2016 um 01:17:30 Uhr
Goto Top
Hi,

Abgesehen davon, scheint die UHRZEIT maechtig daneben zu liegen. Wie schafft man das

für 366 Tage getrennt

zu sein, ohne wild gewordene Timer? War das Teil soooo lange aus?

@osze90 Woher kommt die Zeit fuer den DC? Vom Host per VMWare-Tools?

BFF
osze90
osze90 21.12.2016 aktualisiert um 16:55:14 Uhr
Goto Top
Zitat von @BassFishFox:

Hi,

Abgesehen davon, scheint die UHRZEIT maechtig daneben zu liegen. Wie schafft man das

für 366 Tage getrennt

zu sein, ohne wild gewordene Timer? War das Teil soooo lange aus?

@osze90 Woher kommt die Zeit fuer den DC? Vom Host per VMWare-Tools?

BFF

Hi BassFishFox und dank für deine Antwort.


Die Uhrzeit stimmen auf den DCs haargenau. Ich prüfe von Zeit zu Zeit über die Website uhrzeit.org ob die Zeit mit meinen DCs übereinstimmen.

Ich habe auf dem physikalischen DC die Registery im Zeitdienst von Windows so geändert, dass er die Zeit vom Internet synchronisiert, dabei 2 verschiedene Zeitserver ausgewählt. Ein abgleicht der Uhrzeit findet mehrmals täglich statt.

zeit

Also auf der VM habe ich nie etwas gemacht mit der Uhrzeit die nimmt es vermutlich von der physikalischen Maschine wo ich ja die Registery modifiziert habe, sodass die Uhrzeit aus dem Internet synchronisiert wird.

Die beiden DCs laufen meistens eventuell hatte ich mal länger ausgeschaltet aber nie 366 Tage! Ich vermute eher, dass die Replikation NIE funktioniert habe. Die DCs habe ich vor ca. 1 Jahr aufgesetzt.
osze90
osze90 22.12.2016 aktualisiert um 18:26:47 Uhr
Goto Top
Ich habe noch etwas zu den Fehlern bei der virtuellen Maschine wo die meisten Fehler sind nachgeforscht:

Und zwar scheinen alle drei Fehler miteinander zu tun haben. Da wohl NETLOGON nicht geht gehen die Replikationen nicht sowie das Adversiting. Jedoch keine Ahnung wieso. Die Replikation geht schon lange nicht mehr oder ging nie und die beiden anderen Fehler sind neu, seit ich die Rollen AD, DNS und DHCP neu installiert habe und dcpromo ausgeführt habe.

Noch ein Auszug aus dem eventlog für den DFSR Fehler:

Der DFS-Replikationsdienst beendet die Kommunikation mit Partner testsrv2 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen.

Weitere Informationen:
Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)
Verbindungs-ID: D616E761-6B94-4186-92C8-95717B8DB95B
Replikationsgruppen-ID: B74C8F84-2BB3-4500-8827-AA2609390EC9
BassFishFox
BassFishFox 22.12.2016 um 23:02:42 Uhr
Goto Top
Hallo,

Nimm den virtuellen DC raus. Bring den ersten DC auf Vordermann. Alles und vor allem der DNS muss richtig funktionieren. Wenn Deine Domaene mit dem Blech-DC richtig und ohne Fehler laeuft, kannst Du daran denken den virtuellen DC neu aufzusetzen. Reparieren wird wohl nichts, es sei denn Du nimmst Dir die Zeit, die ich nicht habe, und ackerst alle Fehler durch und findest die Ursache.

Gruss
BFF
osze90
osze90 02.01.2017 um 18:36:03 Uhr
Goto Top
Zitat von @BassFishFox:

Hallo,

Nimm den virtuellen DC raus. Bring den ersten DC auf Vordermann. Alles und vor allem der DNS muss richtig funktionieren. Wenn Deine Domaene mit dem Blech-DC richtig und ohne Fehler laeuft, kannst Du daran denken den virtuellen DC neu aufzusetzen. Reparieren wird wohl nichts, es sei denn Du nimmst Dir die Zeit, die ich nicht habe, und ackerst alle Fehler durch und findest die Ursache.

Gruss
BFF

Ja wie behebe ich den Fehler mit DFS Replikation es scheint der einzige Fehler auf beiden DCs zu sein. Der Lief nie seit ich AD bzw. Windows Server installiert habe. Den Virtuellen Server habe ich ja erst vor kurzem wiederhergestellt (aus virtuellem Computer importieren), AD neu installiert drauf.

DNS scheint richtig zu funktionieren. Es scheint wohl etwas falsch konfiguriert zu sein auf beiden oder keine Ahnung.

Vielleicht hilft das noch weiter (ausgeführt auf der Gesamtstruktur):

PS C:\Users\Administrator> dcdiag /test:DFSREvent

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = testsrv2
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\TESTSRV2
        Starting test: Connectivity
        ......................... TESTSRV2 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\TESTSRV2
        Starting test: DFSREvent
        Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
        vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
        ......................... Der Test DFSREvent für TESTSRV2 ist fehlgeschlagen.


        Partitionstests werden ausgeführt auf: ForestDnsZones

        Partitionstests werden ausgeführt auf: DomainDnsZones

        Partitionstests werden ausgeführt auf: Schema

        Partitionstests werden ausgeführt auf: Configuration

        Partitionstests werden ausgeführt auf: deb

        Unternehmenstests werden ausgeführt auf: deb.test
BassFishFox
BassFishFox 02.01.2017 um 19:38:31 Uhr
Goto Top
Hallo,

Ohne Behebung dieses Problemes wird es wohl nichts bei Dir.

Der Test DSFREvent für TESTSRV2 ist fehlgeschlagen.

Suche einfach mal danach und/oder schau auch hier hin : https://support.microsoft.com/de-de/kb/315457 oder hier : https://community.spiceworks.com/topic/123129-dcdiag-test-returns-dc01-f ...

BFF