Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehler Vertrauensstellung im AD

Mitglied: thomas-99

thomas-99 (Level 1) - Jetzt verbinden

24.03.2017 um 09:41 Uhr, 4617 Aufrufe, 17 Kommentare

Hallo NG,

hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, File Server und einem Exchange Server.
Migration hatte funktioniert, alles produktiv und funktioniert.

Der alte Server ist kein DC und AD mehr, kein DNS und DHCP. Jetzt wollte ich den alten Server mit seinem alten Servernamen wieder in die Domain bringen, was nicht funktioniert.
Es gibt auf dem neuen AD kein Comuter Konto mit dem Namen mehr. Keine Einträge im DHCP und DNS.
Und doch kommt dieser Fehler auf dem aktuellen AD:

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=WSMAN/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=WSMAN/server.dom.local
CN=PROMERA-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=TERMSRV/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=HOST/server.promera.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=HOST/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Kategorie: Globaler Katalog
Quelle: ActiveDirectory_DomainService
EreibnisID: 2974

Habe nach dem Fehler gesucht und offensichtlich ist im globalen Katalog noch ein Eintrag vorhanden mit "Server".
Wie kann ich so einen Eintrag entfrenen, damit der alte Server wieder in der Domain akzeptiert wird?

DANKE
Ciao thomas
Mitglied: Tektronix
24.03.2017 um 10:15 Uhr
Hi,
administrative Konsole,
setspn.exe, zeigt Dir gleich an wie Du Namespaces löschst und anlegst.
Auf dem neuen DC natürlich.
Danach gegebenenfalls eine Metadatenbereinigung durchführen.
Hier ein Bsp., wenn ein DC gewaltsam entfernt wurde.


1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.


2. Als nächstes gibt man den Befehl Metadata cleanup ein.


3. Nun ist der Befehl Connections einzugeben.


4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
der online und erreichbar ist.


5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.


6. Es folgt die Eingabe Select operation target.


7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.


8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.


9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.


10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.


11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.


12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
der aus dem AD entfernt werden soll.


13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.


14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.


15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.

16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
ob der angezeigte DC die Rollen übertragen bekommen soll.

17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
auch tatsächlich alle Rollen übertragen wurde.


18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.

Die FSMO-Rollen verschieben


19. Mit Quit kann man nun NTDSUTIL beenden.


20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.


21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.

Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch die GUID-Einträge des DCs
entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 11:51 Uhr
DANKE für deine ausführliche Beschreibung.
Der AD wurde von dem Server korrekt entfernt und auf dem neuen Server migiert.

Auf dem AD gibt es keinen Eintrag zu "server" : setspn -R server : sagt keinen Eintrag gefunden

Wenn ich den alten Server dann in die Domaine bringe, meckert er zwar:
der Name "server" nicht für die Domain gültig ist. Beim verarbeiten des DNS Hostnamens für ein Objekt konnte keine Sync. für den Dienstprinzipalnamens Werte (SPN) nicht aufrecht erhalten werden.

setspn -R server
Dienstprinzipalnamen (SPN) für CN=SERVER,CN=Computers,DC=DOM,DC=local werden registriert.
HOST/server.dom.local
HOST/server
Fehler beim Zuweisen des Dienstprinzipalnamen (SPN) auf Konto 'CN=SERVER
,CN=Computers,DC=promera,DC=local', Fehler 0x21c7/8647 -> Fehler beim Vorgang. D
er für die Hinzufügung/Änderung angegebene SPN-Wert ist nicht eindeutig innerhalb der Gesamtstruktur.

Wenn es keine doppelten Einträge gibt, warum dann der Fehler?
DANKE
Ciao Thomas
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 12:55 Uhr
Wie heißt den der neue DC?
Registriere ihn im Namespace.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 13:05 Uhr
Der neue DC ist voll funktionsfähig. Ich habe alle anderen Server sauber in die Domain gebracht und alles funktioniert.
Nur der alte DC -Server zickt herum. Melde ich den "server" bei der Domain ab, sind keine Dublikate vorhanden zu dem Computerconto "server"
Das irritiert mich! Irgenwo sind sicher Fragmente vom alten Server, sonst würde ja alles funktionieren.
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 13:15 Uhr
Mache doch mal die admin. Konsole auf, dann "setspn -T (Domänenname) -F -Q */(Name des neuen DC's)".
Dann bekommst Du die registrierten Namespaces angezeigt.
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 13:20 Uhr
Lies Dir auch nochmal Punkt 20 meines letzten Post durch.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 14:06 Uhr
Der Aufruf setspn -T (Domänenname) -F -Q */(Name des neuen DC's) offenbart einige Einträge des alten Servers. Diese sind allerdings auch für den neuen DC vorhanden - doppelt!

ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local

Punkt 20 habe ich gefunden und entfernt. In der Tat waren hier noch Einträge vorhanden. Diese wurden nun entfernt.
Stellt sich die Frage, müssen diese "verwaiste" Einträge aus dem Namespaces alle entfernt werden mit:
NTDSUTIL -> Metadata cleanup
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 15:38 Uhr
Ich würde den alten Server umbenennen. Du kannst eh keine 2 Server haben welche Server heißen.
Mit "setspn -D WSMAN/Server.dom.local Server" löscht man den Eintrag.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 16:25 Uhr
Auf dem Server gibt es eine Software, die den Servernamen erwartet in der Domain. Ich habe den Server einen anderen Namen gegeben, leider verweigert die Software ihren Dienst. Deswegen die Mühe, den alten Server mit dem altem Namen korrekt in die Domain zu bringen.

setspn -D WSMAN/Server.dom.local DOM-SRV

Registrierung der Dienstprinzipalnamen (SPN) für CN=DOM-SRV,OU=Domain Contro
llers,DC=dom,DC=local wird aufgehoben.
WSMAN/Server.dom.local
Aktualisiertes Objekt

Nur passiert nichts. Ich habe den Server neu gestartet und alle Einträge sind noch vorhanden?
Gibt es einen Trick oder braucht es Zeit?
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 18:31 Uhr
Hi,
ich hatte dieses Problem auch erst einmal. Bei mir war es ein DC, der nicht mehr ansprechbar war.
Da habe ich am Ende noch die Bereinigung mit Ntdsutil durchgeführt.
Hast Du mal den DNS-Server durch gesehen, ob es dort noch Einträge gibt?
Wenn Du in der DNS-Managementkonsole rechtsklick auf den Servernamen, alte Einträge aufräumen.
Sorry, aber so etwas ist schon nicht einfach wenn man vor dem Server sitzt und alles sieht. Aber so im Blindflug, und mit sowenig Info über das komplette System ist das fast unmöglich.
LG
Bitte warten ..
Mitglied: thomas-99
25.03.2017 um 13:09 Uhr
DNS ist definitiv sauber. Da ist kein Eintrag mehr vom alten server.
"Alte Einträge aufräumen" habe ich schon mehrmals gestartet.

Ich denke, der Ansatz ist der Richtige.
setspn -D WSMAN/Server.dom.local DOM-SRV
Es wäre nur gut zu wissen, wie dieser Befehl die Einträge wirklich löscht. Es steht zwar da: Registrierung wird aufgehoben" nur wann und wie es dann ausgeführt wird?
Ich weiß, Blindflug ist Mist und dann noch an dem Thema.
Danke dir trotzdem für deine Hilfe. Immerhin bin ich weiter, wenn auch noch nicht am Ziel
Ciao Thomas
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 18:03 Uhr
Immer wieder gerne.
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 18:06 Uhr
Hi, habe hier noch ein wenig Background Info gefunden.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 21:54 Uhr
Hi, vor allem musst Du alle Einträge:
"ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local"
mit setspn -D löschen.
Nicht nur WSMAN.
Er hat ja auch noch Eintäge als ldap, Dfsr, RestrictedKrbHost und TERMSRV.
Bitte warten ..
Mitglied: thomas-99
26.03.2017 um 11:47 Uhr
Ja ich will die alten Einträge entfernen nur er macht es nicht.
setspn -D WSMAN/Server.dom.local DOM-SRV
Dann ist der Einrag wirklich weg. Mache ich die anderen Einträge nach genau dem selbem Muster, starte neu ist alles wieder da.
Als ob ein Backup alles wieder zurück setzt ... merkwürdig.

setspn -D ist korrekt, so kann ich es auch bei MS lesen. Ich habe allerdings nichts gefunden, warum es nicht wirklich gelöscht wird?!?

Hatte ich schon gefunden und gelesen.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Bitte warten ..
Mitglied: Tektronix
26.03.2017 um 14:06 Uhr
Hallo, ja die anderen Einträge nach dem selben Muster entfernen. Hast Du noch einen 2. DC von wegen Replikation?
Sind alle Rollen übertragen? Auch der schemamaster? Sieh nach, das alle Rollen wirklich übertragen sind.
Mit „netdom query fsmo“ solltest Du Schemamaste, Domainname-Master, PDC-Master, RID-Pool-Master und Infrastrukturmaster für den neuen DC angezeigt bekommen. Im DNS jede Zone einzeln überprüfen, das nur die richtigen Nameserver auftauchen, rechtsklick auf Zone, Eigenschaften. Sorry, da ich Dich nicht kenne, weiß ich auch nicht wie tief Du in der Materie drinnen bist.
Hast Du in Sites and Services alle Subnetze eingetragen? DCdiag schon durchgeführt?
Nice WE
Bitte warten ..
Mitglied: Tektronix
26.03.2017 um 14:30 Uhr
Schau Dir auch mal diese beiden Tools an:
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/
https://www.faq-o-matic.net/2016/10/14/jose-3-11-und-nochmal-neu/
Ausserdem findest Du auf faq-o-matic.net sehr gute Artikel zum Active Directory.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Vertrauensstellung zwischen zwei Domänen

Frage von hg23.frankWindows Server37 Kommentare

Hallo alle Zusammen, ich bin hier neu und freue mich auf tolle Zusammenarbeit. Ich bin hier in einer neuen ...

Windows Server

Domänenübergreifender Laufwerkszugriff ohne Vertrauensstellung

Frage von westberlinerWindows Server9 Kommentare

Hallo Zusammen, ich habe hier meine interne Infrastruktur, hier habe ich auf 2 Servern Freigaben eingerichtet mit Freigabe- und ...

Windows Server

W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen

gelöst Frage von cordialWindows Server3 Kommentare

Hallo zsam, Windows 2008 R2 Domäne (Windows 2003 Ebene) -> Domäne "A" Windows 2012 R2 Domäne (Windows 2012 R2 ...

Windows Server

Vertrauensstellung konnte nicht hergestellt werden

gelöst Frage von AndroxinWindows Server9 Kommentare

Hallo zusammen, vermutlich seit ich auf Hyper-V als Hypervisor setze, habe ich bei einigen Workstations (Windows 10) und Servern ...

Windows Server

Netzlaufwerk verbinden: Domänenübergreifend: Vertrauensstellung: Logonscript

Frage von L3nn4rdWindows Server2 Kommentare

Moin Moin, Ich habe ein Problem bei dem Ihr mit hoffentlich helfen könnt. Aufbau Testumgebung: DC-DO mit Server 2016 ...

Windows Server

Initialreplizierung schlägt fehl

Frage von ITSharkWindows Server2 Kommentare

Hallo zusammen, folgendes Problem. Wenn ich derzeit einen neuen Domaincontroller in Betrieb nehmen will, schlägt die Initialreplizierung fehl. Folgendes ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

Webbrowser
Websites als site.mht abspeichern wie im "guten" alten IE
Frage von DerWoWussteWebbrowser16 Kommentare

Servus. Eine kleine, niedliche Frage für den Freitagnachmittag: Wer wie ich öfter Anleitungen von Websites abspeichern möchte, kennt das ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs15 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN