thomas-99
Goto Top

Fehler Vertrauensstellung im AD

Hallo NG,

hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, File Server und einem Exchange Server.
Migration hatte funktioniert, alles produktiv und funktioniert.

Der alte Server ist kein DC und AD mehr, kein DNS und DHCP. Jetzt wollte ich den alten Server mit seinem alten Servernamen wieder in die Domain bringen, was nicht funktioniert.
Es gibt auf dem neuen AD kein Comuter Konto mit dem Namen mehr. Keine Einträge im DHCP und DNS.
Und doch kommt dieser Fehler auf dem aktuellen AD:

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=WSMAN/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=WSMAN/server.dom.local
CN=PROMERA-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=TERMSRV/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=HOST/server.promera.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=HOST/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647

Kategorie: Globaler Katalog
Quelle: ActiveDirectory_DomainService
EreibnisID: 2974

Habe nach dem Fehler gesucht und offensichtlich ist im globalen Katalog noch ein Eintrag vorhanden mit "Server".
Wie kann ich so einen Eintrag entfrenen, damit der alte Server wieder in der Domain akzeptiert wird?

DANKE
Ciao thomas

Content-ID: 333106

Url: https://administrator.de/forum/fehler-vertrauensstellung-im-ad-333106.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Tektronix
Tektronix 24.03.2017 um 10:15:24 Uhr
Goto Top
Hi,
administrative Konsole,
setspn.exe, zeigt Dir gleich an wie Du Namespaces löschst und anlegst.
Auf dem neuen DC natürlich.
Danach gegebenenfalls eine Metadatenbereinigung durchführen.
Hier ein Bsp., wenn ein DC gewaltsam entfernt wurde.


1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.


2. Als nächstes gibt man den Befehl Metadata cleanup ein.


3. Nun ist der Befehl Connections einzugeben.


4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
der online und erreichbar ist.


5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.


6. Es folgt die Eingabe Select operation target.


7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.


8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.


9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.


10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.


11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.


12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
der aus dem AD entfernt werden soll.


13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.


14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.


15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.

16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
ob der angezeigte DC die Rollen übertragen bekommen soll.

17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
auch tatsächlich alle Rollen übertragen wurde.


18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.

Die FSMO-Rollen verschieben


19. Mit Quit kann man nun NTDSUTIL beenden.


20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.


21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.

Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch die GUID-Einträge des DCs
entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.
thomas-99
thomas-99 24.03.2017 um 11:51:07 Uhr
Goto Top
DANKE für deine ausführliche Beschreibung.
Der AD wurde von dem Server korrekt entfernt und auf dem neuen Server migiert.

Auf dem AD gibt es keinen Eintrag zu "server" : setspn -R server : sagt keinen Eintrag gefunden

Wenn ich den alten Server dann in die Domaine bringe, meckert er zwar:
der Name "server" nicht für die Domain gültig ist. Beim verarbeiten des DNS Hostnamens für ein Objekt konnte keine Sync. für den Dienstprinzipalnamens Werte (SPN) nicht aufrecht erhalten werden.

setspn -R server
Dienstprinzipalnamen (SPN) für CN=SERVER,CN=Computers,DC=DOM,DC=local werden registriert.
HOST/server.dom.local
HOST/server
Fehler beim Zuweisen des Dienstprinzipalnamen (SPN) auf Konto 'CN=SERVER
,CN=Computers,DC=promera,DC=local', Fehler 0x21c7/8647 -> Fehler beim Vorgang. D
er für die Hinzufügung/Änderung angegebene SPN-Wert ist nicht eindeutig innerhalb der Gesamtstruktur.

Wenn es keine doppelten Einträge gibt, warum dann der Fehler?
DANKE
Ciao Thomas
Tektronix
Tektronix 24.03.2017 um 12:55:54 Uhr
Goto Top
Wie heißt den der neue DC?
Registriere ihn im Namespace.
thomas-99
thomas-99 24.03.2017 um 13:05:39 Uhr
Goto Top
Der neue DC ist voll funktionsfähig. Ich habe alle anderen Server sauber in die Domain gebracht und alles funktioniert.
Nur der alte DC -Server zickt herum. Melde ich den "server" bei der Domain ab, sind keine Dublikate vorhanden zu dem Computerconto "server"
Das irritiert mich! Irgenwo sind sicher Fragmente vom alten Server, sonst würde ja alles funktionieren.
Tektronix
Tektronix 24.03.2017 um 13:15:43 Uhr
Goto Top
Mache doch mal die admin. Konsole auf, dann "setspn -T (Domänenname) -F -Q */(Name des neuen DC's)".
Dann bekommst Du die registrierten Namespaces angezeigt.
Tektronix
Tektronix 24.03.2017 um 13:20:42 Uhr
Goto Top
Lies Dir auch nochmal Punkt 20 meines letzten Post durch.
thomas-99
thomas-99 24.03.2017 um 14:06:16 Uhr
Goto Top
Der Aufruf setspn -T (Domänenname) -F -Q */(Name des neuen DC's) offenbart einige Einträge des alten Servers. Diese sind allerdings auch für den neuen DC vorhanden - doppelt!

ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local

Punkt 20 habe ich gefunden und entfernt. In der Tat waren hier noch Einträge vorhanden. Diese wurden nun entfernt.
Stellt sich die Frage, müssen diese "verwaiste" Einträge aus dem Namespaces alle entfernt werden mit:
NTDSUTIL -> Metadata cleanup
Tektronix
Tektronix 24.03.2017 um 15:38:51 Uhr
Goto Top
Ich würde den alten Server umbenennen. Du kannst eh keine 2 Server haben welche Server heißen.
Mit "setspn -D WSMAN/Server.dom.local Server" löscht man den Eintrag.
thomas-99
thomas-99 24.03.2017 um 16:25:34 Uhr
Goto Top
Auf dem Server gibt es eine Software, die den Servernamen erwartet in der Domain. Ich habe den Server einen anderen Namen gegeben, leider verweigert die Software ihren Dienst. Deswegen die Mühe, den alten Server mit dem altem Namen korrekt in die Domain zu bringen.

setspn -D WSMAN/Server.dom.local DOM-SRV

Registrierung der Dienstprinzipalnamen (SPN) für CN=DOM-SRV,OU=Domain Contro
llers,DC=dom,DC=local wird aufgehoben.
WSMAN/Server.dom.local
Aktualisiertes Objekt

Nur passiert nichts. Ich habe den Server neu gestartet und alle Einträge sind noch vorhanden?
Gibt es einen Trick oder braucht es Zeit?
Tektronix
Tektronix 24.03.2017 um 18:31:53 Uhr
Goto Top
Hi,
ich hatte dieses Problem auch erst einmal. Bei mir war es ein DC, der nicht mehr ansprechbar war.
Da habe ich am Ende noch die Bereinigung mit Ntdsutil durchgeführt.
Hast Du mal den DNS-Server durch gesehen, ob es dort noch Einträge gibt?
Wenn Du in der DNS-Managementkonsole rechtsklick auf den Servernamen, alte Einträge aufräumen.
Sorry, aber so etwas ist schon nicht einfach wenn man vor dem Server sitzt und alles sieht. Aber so im Blindflug, und mit sowenig Info über das komplette System ist das fast unmöglich.
LG
thomas-99
thomas-99 25.03.2017 um 13:09:44 Uhr
Goto Top
DNS ist definitiv sauber. Da ist kein Eintrag mehr vom alten server.
"Alte Einträge aufräumen" habe ich schon mehrmals gestartet.

Ich denke, der Ansatz ist der Richtige.
setspn -D WSMAN/Server.dom.local DOM-SRV
Es wäre nur gut zu wissen, wie dieser Befehl die Einträge wirklich löscht. Es steht zwar da: Registrierung wird aufgehoben" nur wann und wie es dann ausgeführt wird?
Ich weiß, Blindflug ist Mist und dann noch an dem Thema.
Danke dir trotzdem für deine Hilfe. Immerhin bin ich weiter, wenn auch noch nicht am Ziel face-wink
Ciao Thomas
Tektronix
Tektronix 25.03.2017 um 18:03:37 Uhr
Goto Top
Immer wieder gerne. face-wink
Tektronix
Tektronix 25.03.2017 um 18:06:28 Uhr
Goto Top
Hi, habe hier noch ein wenig Background Info gefunden.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Tektronix
Tektronix 25.03.2017 um 21:54:44 Uhr
Goto Top
Hi, vor allem musst Du alle Einträge:
"ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local"
mit setspn -D löschen.
Nicht nur WSMAN.
Er hat ja auch noch Eintäge als ldap, Dfsr, RestrictedKrbHost und TERMSRV.
thomas-99
thomas-99 26.03.2017 um 11:47:18 Uhr
Goto Top
Ja ich will die alten Einträge entfernen nur er macht es nicht.
setspn -D WSMAN/Server.dom.local DOM-SRV
Dann ist der Einrag wirklich weg. Mache ich die anderen Einträge nach genau dem selbem Muster, starte neu ist alles wieder da.
Als ob ein Backup alles wieder zurück setzt ... merkwürdig.

setspn -D ist korrekt, so kann ich es auch bei MS lesen. Ich habe allerdings nichts gefunden, warum es nicht wirklich gelöscht wird?!?

Hatte ich schon gefunden und gelesen.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Tektronix
Tektronix 26.03.2017 um 14:06:44 Uhr
Goto Top
Hallo, ja die anderen Einträge nach dem selben Muster entfernen. Hast Du noch einen 2. DC von wegen Replikation?
Sind alle Rollen übertragen? Auch der schemamaster? Sieh nach, das alle Rollen wirklich übertragen sind.
Mit „netdom query fsmo“ solltest Du Schemamaste, Domainname-Master, PDC-Master, RID-Pool-Master und Infrastrukturmaster für den neuen DC angezeigt bekommen. Im DNS jede Zone einzeln überprüfen, das nur die richtigen Nameserver auftauchen, rechtsklick auf Zone, Eigenschaften. Sorry, da ich Dich nicht kenne, weiß ich auch nicht wie tief Du in der Materie drinnen bist.
Hast Du in Sites and Services alle Subnetze eingetragen? DCdiag schon durchgeführt?
Nice WE
Tektronix
Tektronix 26.03.2017 um 14:30:47 Uhr
Goto Top
Schau Dir auch mal diese beiden Tools an:
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/
https://www.faq-o-matic.net/2016/10/14/jose-3-11-und-nochmal-neu/
Ausserdem findest Du auf faq-o-matic.net sehr gute Artikel zum Active Directory. face-wink