Fehler Vertrauensstellung im AD
Hallo NG,
hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, File Server und einem Exchange Server.
Migration hatte funktioniert, alles produktiv und funktioniert.
Der alte Server ist kein DC und AD mehr, kein DNS und DHCP. Jetzt wollte ich den alten Server mit seinem alten Servernamen wieder in die Domain bringen, was nicht funktioniert.
Es gibt auf dem neuen AD kein Comuter Konto mit dem Namen mehr. Keine Einträge im DHCP und DNS.
Und doch kommt dieser Fehler auf dem aktuellen AD:
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=WSMAN/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=WSMAN/server.dom.local
CN=PROMERA-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=TERMSRV/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=HOST/server.promera.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=HOST/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Kategorie: Globaler Katalog
Quelle: ActiveDirectory_DomainService
EreibnisID: 2974
Habe nach dem Fehler gesucht und offensichtlich ist im globalen Katalog noch ein Eintrag vorhanden mit "Server".
Wie kann ich so einen Eintrag entfrenen, damit der alte Server wieder in der Domain akzeptiert wird?
DANKE
Ciao thomas
hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, File Server und einem Exchange Server.
Migration hatte funktioniert, alles produktiv und funktioniert.
Der alte Server ist kein DC und AD mehr, kein DNS und DHCP. Jetzt wollte ich den alten Server mit seinem alten Servernamen wieder in die Domain bringen, was nicht funktioniert.
Es gibt auf dem neuen AD kein Comuter Konto mit dem Namen mehr. Keine Einträge im DHCP und DNS.
Und doch kommt dieser Fehler auf dem aktuellen AD:
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=WSMAN/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=WSMAN/server.dom.local
CN=PROMERA-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=TERMSRV/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Der angegebene Attributwert ist in der Gesamtstruktur oder Partition nicht eindeutig. Attribut: servicePrincipalName Value=HOST/server.promera.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
Value=HOST/server.dom.local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local
CN=DOM-SRV,OU=Domain Controllers,DC=dom,DC=local Winerror: 8647
Kategorie: Globaler Katalog
Quelle: ActiveDirectory_DomainService
EreibnisID: 2974
Habe nach dem Fehler gesucht und offensichtlich ist im globalen Katalog noch ein Eintrag vorhanden mit "Server".
Wie kann ich so einen Eintrag entfrenen, damit der alte Server wieder in der Domain akzeptiert wird?
DANKE
Ciao thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333106
Url: https://administrator.de/forum/fehler-vertrauensstellung-im-ad-333106.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
17 Kommentare
Neuester Kommentar
Hi,
administrative Konsole,
setspn.exe, zeigt Dir gleich an wie Du Namespaces löschst und anlegst.
Auf dem neuen DC natürlich.
Danach gegebenenfalls eine Metadatenbereinigung durchführen.
Hier ein Bsp., wenn ein DC gewaltsam entfernt wurde.
1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.
2. Als nächstes gibt man den Befehl Metadata cleanup ein.
3. Nun ist der Befehl Connections einzugeben.
4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
der online und erreichbar ist.
5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.
6. Es folgt die Eingabe Select operation target.
7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.
8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.
9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.
10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.
11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.
12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
der aus dem AD entfernt werden soll.
13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.
14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.
15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.
16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
ob der angezeigte DC die Rollen übertragen bekommen soll.
17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
auch tatsächlich alle Rollen übertragen wurde.
18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.
Die FSMO-Rollen verschieben
19. Mit Quit kann man nun NTDSUTIL beenden.
20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.
21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.
Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch die GUID-Einträge des DCs
entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.
administrative Konsole,
setspn.exe, zeigt Dir gleich an wie Du Namespaces löschst und anlegst.
Auf dem neuen DC natürlich.
Danach gegebenenfalls eine Metadatenbereinigung durchführen.
Hier ein Bsp., wenn ein DC gewaltsam entfernt wurde.
1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.
2. Als nächstes gibt man den Befehl Metadata cleanup ein.
3. Nun ist der Befehl Connections einzugeben.
4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
der online und erreichbar ist.
5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.
6. Es folgt die Eingabe Select operation target.
7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.
8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.
9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.
10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.
11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.
12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
der aus dem AD entfernt werden soll.
13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.
14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.
15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.
16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
ob der angezeigte DC die Rollen übertragen bekommen soll.
17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
auch tatsächlich alle Rollen übertragen wurde.
18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.
Die FSMO-Rollen verschieben
19. Mit Quit kann man nun NTDSUTIL beenden.
20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.
21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.
Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch die GUID-Einträge des DCs
entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.
Hi,
ich hatte dieses Problem auch erst einmal. Bei mir war es ein DC, der nicht mehr ansprechbar war.
Da habe ich am Ende noch die Bereinigung mit Ntdsutil durchgeführt.
Hast Du mal den DNS-Server durch gesehen, ob es dort noch Einträge gibt?
Wenn Du in der DNS-Managementkonsole rechtsklick auf den Servernamen, alte Einträge aufräumen.
Sorry, aber so etwas ist schon nicht einfach wenn man vor dem Server sitzt und alles sieht. Aber so im Blindflug, und mit sowenig Info über das komplette System ist das fast unmöglich.
LG
ich hatte dieses Problem auch erst einmal. Bei mir war es ein DC, der nicht mehr ansprechbar war.
Da habe ich am Ende noch die Bereinigung mit Ntdsutil durchgeführt.
Hast Du mal den DNS-Server durch gesehen, ob es dort noch Einträge gibt?
Wenn Du in der DNS-Managementkonsole rechtsklick auf den Servernamen, alte Einträge aufräumen.
Sorry, aber so etwas ist schon nicht einfach wenn man vor dem Server sitzt und alles sieht. Aber so im Blindflug, und mit sowenig Info über das komplette System ist das fast unmöglich.
LG
Hi, habe hier noch ein wenig Background Info gefunden.
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
http://www.msxfaq.de/windows/kerberos/kerberosspn.htm
Hi, vor allem musst Du alle Einträge:
"ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local"
mit setspn -D löschen.
Nicht nur WSMAN.
Er hat ja auch noch Eintäge als ldap, Dfsr, RestrictedKrbHost und TERMSRV.
"ldap/SERVER.dom.local/dom
ldap/SERVER.dom.local/ForestDnsZones.dom.local
...
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SERVER.dom.local
TERMSRV/SERVER
TERMSRV/SERVER.dom.local
...
WSMAN/SERVER
WSMAN/SERVER.dom.local
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom.local
HOST/SERVER.dom.local"
mit setspn -D löschen.
Nicht nur WSMAN.
Er hat ja auch noch Eintäge als ldap, Dfsr, RestrictedKrbHost und TERMSRV.
Hallo, ja die anderen Einträge nach dem selben Muster entfernen. Hast Du noch einen 2. DC von wegen Replikation?
Sind alle Rollen übertragen? Auch der schemamaster? Sieh nach, das alle Rollen wirklich übertragen sind.
Mit „netdom query fsmo“ solltest Du Schemamaste, Domainname-Master, PDC-Master, RID-Pool-Master und Infrastrukturmaster für den neuen DC angezeigt bekommen. Im DNS jede Zone einzeln überprüfen, das nur die richtigen Nameserver auftauchen, rechtsklick auf Zone, Eigenschaften. Sorry, da ich Dich nicht kenne, weiß ich auch nicht wie tief Du in der Materie drinnen bist.
Hast Du in Sites and Services alle Subnetze eingetragen? DCdiag schon durchgeführt?
Nice WE
Sind alle Rollen übertragen? Auch der schemamaster? Sieh nach, das alle Rollen wirklich übertragen sind.
Mit „netdom query fsmo“ solltest Du Schemamaste, Domainname-Master, PDC-Master, RID-Pool-Master und Infrastrukturmaster für den neuen DC angezeigt bekommen. Im DNS jede Zone einzeln überprüfen, das nur die richtigen Nameserver auftauchen, rechtsklick auf Zone, Eigenschaften. Sorry, da ich Dich nicht kenne, weiß ich auch nicht wie tief Du in der Materie drinnen bist.
Hast Du in Sites and Services alle Subnetze eingetragen? DCdiag schon durchgeführt?
Nice WE
Schau Dir auch mal diese beiden Tools an:
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/
https://www.faq-o-matic.net/2016/10/14/jose-3-11-und-nochmal-neu/
Ausserdem findest Du auf faq-o-matic.net sehr gute Artikel zum Active Directory.
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/
https://www.faq-o-matic.net/2016/10/14/jose-3-11-und-nochmal-neu/
Ausserdem findest Du auf faq-o-matic.net sehr gute Artikel zum Active Directory.