Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehler Vertrauensstellung im AD

Mitglied: thomas-99

thomas-99 (Level 1) - Jetzt verbinden

24.03.2017 um 09:41 Uhr, 2982 Aufrufe, 17 Kommentare

Hallo NG,

hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, File Server und einem Exchange Server.
Migration hatte funktioniert, alles produktiv und funktioniert.

Der alte Server ist kein DC und AD mehr, kein DNS und DHCP. Jetzt wollte ich den alten Server mit seinem alten Servernamen wieder in die Domain bringen, was nicht funktioniert.
Es gibt auf dem neuen AD kein Comuter Konto mit dem Namen mehr. Keine Einträge im DHCP und DNS.
Und doch kommt dieser Fehler auf dem aktuellen AD:

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=WSMAN/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=WSMAN/server.dom.local
CN=PROMERA-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=TERMSRV/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=HOST/server.promera.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=HOST/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Kategorie: Globaler Katalog
Quelle: ActiveDirectory_DomainService
EreibnisID: 2974

Habe nach dem Fehler gesucht und offensichtlich ist im globalen Katalog noch ein Eintrag vorhanden mit "Server".
Wie kann ich so einen Eintrag entfrenen, damit der alte Server wieder in der Domain akzeptiert wird?

DANKE
Ciao thomas
Mitglied: Tektronix
24.03.2017 um 10:15 Uhr
Hi,
administrative Konsole,
setspn.exe, zeigt Dir gleich an wie Du Namespaces löschst und anlegst.
Auf dem neuen DC natürlich.
Danach gegebenenfalls eine Metadatenbereinigung durchführen.
Hier ein Bsp., wenn ein DC gewaltsam entfernt wurde.


1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.


2. Als nächstes gibt man den Befehl Metadata cleanup ein.


3. Nun ist der Befehl Connections einzugeben.


4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
der online und erreichbar ist.


5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.


6. Es folgt die Eingabe Select operation target.


7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.


8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.


9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.


10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.


11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.


12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
der aus dem AD entfernt werden soll.


13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.


14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.


15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.

16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
ob der angezeigte DC die Rollen übertragen bekommen soll.

17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
auch tatsächlich alle Rollen übertragen wurde.


18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.

Die FSMO-Rollen verschieben


19. Mit Quit kann man nun NTDSUTIL beenden.


20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.


21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.

Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch die GUID-Einträge des DCs
entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 11:51 Uhr
DANKE für deine ausführliche Beschreibung.
Der AD wurde von dem Server korrekt entfernt und auf dem neuen Server migiert.

Auf dem AD gibt es keinen Eintrag zu "server" : setspn -R server : sagt keinen Eintrag gefunden

Wenn ich den alten Server dann in die Domaine bringe, meckert er zwar:
der Name "server" nicht für die Domain gültig ist. Beim verarbeiten des DNS Hostnamens für ein Objekt konnte keine Sync. für den Dienstprinzipalnamens Werte (SPN) nicht aufrecht erhalten werden.

setspn -R server
Dienstprinzipalnamen (SPN) für CN=SERVER,CN=Computers,DC=DOM,DC=local werden registriert.
HOST/server.dom.local
HOST/server
Fehler beim Zuweisen des Dienstprinzipalnamen (SPN) auf Konto 'CN=SERVER
,CN=Computers,DC=promera,DC=local', Fehler 0x21c7/8647 -> Fehler beim Vorgang. D
er für die Hinzufügung/Änderung angegebene SPN-Wert ist nicht eindeutig innerhalb der Gesamtstruktur.

Wenn es keine doppelten Einträge gibt, warum dann der Fehler?
DANKE
Ciao Thomas
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 12:55 Uhr
Wie heißt den der neue DC?
Registriere ihn im Namespace.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 13:05 Uhr
Der neue DC ist voll funktionsfähig. Ich habe alle anderen Server sauber in die Domain gebracht und alles funktioniert.
Nur der alte DC -Server zickt herum. Melde ich den "server" bei der Domain ab, sind keine Dublikate vorhanden zu dem Computerconto "server"
Das irritiert mich! Irgenwo sind sicher Fragmente vom alten Server, sonst würde ja alles funktionieren.
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 13:15 Uhr
Mache doch mal die admin. Konsole auf, dann "setspn -T (Domänenname) -F -Q */(Name des neuen DC's)".
Dann bekommst Du die registrierten Namespaces angezeigt.
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 13:20 Uhr
Lies Dir auch nochmal Punkt 20 meines letzten Post durch.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 14:06 Uhr
Der Aufruf setspn -T (Domänenname) -F -Q */(Name des neuen DC's) offenbart einige Einträge des alten Servers. Diese sind allerdings auch für den neuen DC vorhanden - doppelt!

ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local

Punkt 20 habe ich gefunden und entfernt. In der Tat waren hier noch Einträge vorhanden. Diese wurden nun entfernt.
Stellt sich die Frage, müssen diese "verwaiste" Einträge aus dem Namespaces alle entfernt werden mit:
NTDSUTIL -> Metadata cleanup
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 15:38 Uhr
Ich würde den alten Server umbenennen. Du kannst eh keine 2 Server haben welche Server heißen.
Mit "setspn -D WSMAN/Server.dom.local Server" löscht man den Eintrag.
Bitte warten ..
Mitglied: thomas-99
24.03.2017 um 16:25 Uhr
Auf dem Server gibt es eine Software, die den Servernamen erwartet in der Domain. Ich habe den Server einen anderen Namen gegeben, leider verweigert die Software ihren Dienst. Deswegen die Mühe, den alten Server mit dem altem Namen korrekt in die Domain zu bringen.

setspn -D WSMAN/Server.dom.local DOM-SRV

Registrierung der Dienstprinzipalnamen (SPN) für CN=DOM-SRV,OU=Domain Contro
llers,DC=dom,DC=local wird aufgehoben.
WSMAN/Server.dom.local
Aktualisiertes Objekt

Nur passiert nichts. Ich habe den Server neu gestartet und alle Einträge sind noch vorhanden?
Gibt es einen Trick oder braucht es Zeit?
Bitte warten ..
Mitglied: Tektronix
24.03.2017 um 18:31 Uhr
Hi,
ich hatte dieses Problem auch erst einmal. Bei mir war es ein DC, der nicht mehr ansprechbar war.
Da habe ich am Ende noch die Bereinigung mit Ntdsutil durchgeführt.
Hast Du mal den DNS-Server durch gesehen, ob es dort noch Einträge gibt?
Wenn Du in der DNS-Managementkonsole rechtsklick auf den Servernamen, alte Einträge aufräumen.
Sorry, aber so etwas ist schon nicht einfach wenn man vor dem Server sitzt und alles sieht. Aber so im Blindflug, und mit sowenig Info über das komplette System ist das fast unmöglich.
LG
Bitte warten ..
Mitglied: thomas-99
25.03.2017 um 13:09 Uhr
DNS ist definitiv sauber. Da ist kein Eintrag mehr vom alten server.
"Alte Einträge aufräumen" habe ich schon mehrmals gestartet.

Ich denke, der Ansatz ist der Richtige.
setspn -D WSMAN/Server.dom.local DOM-SRV
Es wäre nur gut zu wissen, wie dieser Befehl die Einträge wirklich löscht. Es steht zwar da: Registrierung wird aufgehoben" nur wann und wie es dann ausgeführt wird?
Ich weiß, Blindflug ist Mist und dann noch an dem Thema.
Danke dir trotzdem für deine Hilfe. Immerhin bin ich weiter, wenn auch noch nicht am Ziel
Ciao Thomas
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 18:03 Uhr
Immer wieder gerne.
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 18:06 Uhr
Hi, habe hier noch ein wenig Background Info gefunden.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Bitte warten ..
Mitglied: Tektronix
25.03.2017 um 21:54 Uhr
Hi, vor allem musst Du alle Einträge:
"ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local"
mit setspn -D löschen.
Nicht nur WSMAN.
Er hat ja auch noch Eintäge als ldap, Dfsr, RestrictedKrbHost und TERMSRV.
Bitte warten ..
Mitglied: thomas-99
26.03.2017 um 11:47 Uhr
Ja ich will die alten Einträge entfernen nur er macht es nicht.
setspn -D WSMAN/Server.dom.local DOM-SRV
Dann ist der Einrag wirklich weg. Mache ich die anderen Einträge nach genau dem selbem Muster, starte neu ist alles wieder da.
Als ob ein Backup alles wieder zurück setzt ... merkwürdig.

setspn -D ist korrekt, so kann ich es auch bei MS lesen. Ich habe allerdings nichts gefunden, warum es nicht wirklich gelöscht wird?!?

Hatte ich schon gefunden und gelesen.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Bitte warten ..
Mitglied: Tektronix
26.03.2017 um 14:06 Uhr
Hallo, ja die anderen Einträge nach dem selben Muster entfernen. Hast Du noch einen 2. DC von wegen Replikation?
Sind alle Rollen übertragen? Auch der schemamaster? Sieh nach, das alle Rollen wirklich übertragen sind.
Mit „netdom query fsmo“ solltest Du Schemamaste, Domainname-Master, PDC-Master, RID-Pool-Master und Infrastrukturmaster für den neuen DC angezeigt bekommen. Im DNS jede Zone einzeln überprüfen, das nur die richtigen Nameserver auftauchen, rechtsklick auf Zone, Eigenschaften. Sorry, da ich Dich nicht kenne, weiß ich auch nicht wie tief Du in der Materie drinnen bist.
Hast Du in Sites and Services alle Subnetze eingetragen? DCdiag schon durchgeführt?
Nice WE
Bitte warten ..
Mitglied: Tektronix
26.03.2017 um 14:30 Uhr
Schau Dir auch mal diese beiden Tools an:
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/
https://www.faq-o-matic.net/2016/10/14/jose-3-11-und-nochmal-neu/
Ausserdem findest Du auf faq-o-matic.net sehr gute Artikel zum Active Directory.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Powershell: Rekursiver AD Gruppenabfrage schlägt fehl

gelöst Frage von bensonhedgesWindows Userverwaltung4 Kommentare

Hallo, bislang haben wir nach einem mit Die Mitglieder der AD Gruppen ausgeben können. Auch darin enthaltene Gruppen wurden ...

Windows Netzwerk

Vertrauensstellung, Passwortabfrage

gelöst Frage von TeWutzWindows Netzwerk3 Kommentare

Guten Tag, ich habe hier zwei Domänen. Hierzu habe ich eine Vertrauensstellung eingerichtet- eingehend als aus ausgehend, jeweils domänenweit. ...

Windows Server

Vertrauensstellung nach Serverneustart verschwunden

gelöst Frage von johndoeWindows Server10 Kommentare

Hallo Zusammen, ich habe einen Windows Server SBS 2011 Standard und einen Server 2008 R2 Standard. Jedes mal, wenn ...

Windows 10

Vertrauensstellung wiederherstellen Best Practice

gelöst Frage von agowa338Windows 107 Kommentare

Hallo, Ich habe hier mal eine Frage zum Microsoft Best Practice wenn ein PC die Vertrauensstellung verliert (Fehlermeldung: "Die ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 12 StundenAdministrator.de Feedback4 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen15 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Speicherkarten
Multi USB Stick erstellen
Frage von Ghost108Speicherkarten15 Kommentare

Guten Morgen zusammen, ich würde gerne einen Multi USB Stick erstellen (bootmöglichkeit mehrer ISOs), welcher sowohl Legacy als auch ...