3
Fehlermeldungen nach AD-Migration - 2003 R2 zu 2008 R2
Guten Tag,
am Wochenende fand eine AD-Migration von Win2003 R2 zu Win2008 R2 statt.
Soweit scheint auch alles ganz gut geklappt zu haben. Durchgeführte Aktualisierungen (z.B. Neuanlagen von Benutzern) sind auch auf alles 4 DCs (zwei Win2003 R2 und zwei Win2008 R2).
Im Eventviewer sowie im BestPA von der AD sowie des DNS-Servers habe ich allerdings noch einige Fehlermeldungen aus denen ich nicht Schlau werde. Mein Freund Google hat mir zwar einige ERgebnisse gelierfert aber ich stehe glaub ich gerade auf dem Schlauch.
Die Fehler und Warnungen in der Ereignisanzeige:
1. Warnung - Windows Remote Management - ID 10154
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/DC01.DOMAIN.lan; WSMAN/DC.
Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.
Benutzeraktion
Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.
Ich habe schon versucht die SPN neu zu registieren:
SETSPN -A WSMAN/DC01.DOMAIN.lan DC01
SETSPN -A WSMAN/DC01 DC01
Hierbei erhalte ich auch die Rückmeldung das der Befehl erfolgreich ausgeführt wurde. Jedoch ist die Warnung nach dem nächsten Neustart wieder da.
2. Warnung - Kerberos-Key-Distribution-Center - 29
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
Hierbei habe ich gelesen, dass diese Warnung ignoriert werden kann. Da eine solche Meldung allerdings z.B. DCDIAG angemeckert wird, wurde ich die Warnung gerne aus der Welt schaffen.
3. Fehler - DNS-Server-Service - ID 4010
Der DNS-Server konnte den Ressourceneintrag für f9a8c965-5994-476e-8762-327c80f8bba5._msdcs.DOMAIN.lan. in Zone DOMAIN.lan nicht erstellen. Die Active Directory-Definition dieses Ressourceneintrags ist beschädigt oder enthält einen ungültigen DNS-Namen. Die Ereignisdaten enthalten den Fehlercode.
Diese Meldung erhalte ich bei jedem Neustart des Servers 4 Mal (Anzahl der DCs). Angeblich soll der Fehler durch den Befehl dicdiag /fix behoben sein. Alternativ sollte durch löschen der Einträge in der DNS-Zone der Fehler verschwinden. Leider hat beides nicht zum Erfolg geführt.
Hierzu muss ich allerdings noch anmerken, dass die Zone _msdcs per Hand neu angelegt werden musste. Warum und Wer diesen Eintrag mal gelöscht hat, kann ich leider nicht sagen.
Fehler und Warnungen im BestPa des DNS-Servers:
1. Fehler: DNS: Sekundäre Server der Zone TrustAnchors müssen auf Abfragen für die Zone reagieren.
Hierbei bin ich leider absolut Ahnungslos was ich machen könnte.
2. Warnung: DNS: Der sekujndäre Server 192.168.0.2 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.
3. Warnung: DNS: Der sekujndäre Server 192.168.0.1 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.
Bei 2 und 3 vermute ich einen Zusammenhang mit der 1. Meldung
Fehler und Warnungen im BestPa des DNS-Servers:
1. Fehler: Titel: Mit dem Best Practices Analyzer für die Active Directory-Domänendienste (Active Directory Domain Services Best Practices Analyzer, AD DS BPA) sollte das Sammeln von Daten über Gruppenrichtlinienergebnis-Einstellung "Auf diesen Computer vom Netzwerk aus zugreifen" von der Domänencontroller DC01 möglich sein.
Über den Befehl "$doc = C:\Windows\System32\BestPractices\v1.0\Models\Microsoft\Windows\DirectoryServices\DirectoryServices_model.ps1" habe ich auch einen Account (Cannot translate account name S-1.......) gefunden der dafür Schuld sein könnte. Aber wir bekomme raus welches Object das ist? Habe schon User und Computer durchsucht, aber dabei nicht die SID gefunden.
Ich hoffe wirklich sehr das ihr mir weiterhelfen könnt.
Vielen Vielen Dank im Voraus.
am Wochenende fand eine AD-Migration von Win2003 R2 zu Win2008 R2 statt.
Soweit scheint auch alles ganz gut geklappt zu haben. Durchgeführte Aktualisierungen (z.B. Neuanlagen von Benutzern) sind auch auf alles 4 DCs (zwei Win2003 R2 und zwei Win2008 R2).
Im Eventviewer sowie im BestPA von der AD sowie des DNS-Servers habe ich allerdings noch einige Fehlermeldungen aus denen ich nicht Schlau werde. Mein Freund Google hat mir zwar einige ERgebnisse gelierfert aber ich stehe glaub ich gerade auf dem Schlauch.
Die Fehler und Warnungen in der Ereignisanzeige:
1. Warnung - Windows Remote Management - ID 10154
Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/DC01.DOMAIN.lan; WSMAN/DC.
Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.
Benutzeraktion
Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.
Ich habe schon versucht die SPN neu zu registieren:
SETSPN -A WSMAN/DC01.DOMAIN.lan DC01
SETSPN -A WSMAN/DC01 DC01
Hierbei erhalte ich auch die Rückmeldung das der Befehl erfolgreich ausgeführt wurde. Jedoch ist die Warnung nach dem nächsten Neustart wieder da.
2. Warnung - Kerberos-Key-Distribution-Center - 29
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.
Hierbei habe ich gelesen, dass diese Warnung ignoriert werden kann. Da eine solche Meldung allerdings z.B. DCDIAG angemeckert wird, wurde ich die Warnung gerne aus der Welt schaffen.
3. Fehler - DNS-Server-Service - ID 4010
Der DNS-Server konnte den Ressourceneintrag für f9a8c965-5994-476e-8762-327c80f8bba5._msdcs.DOMAIN.lan. in Zone DOMAIN.lan nicht erstellen. Die Active Directory-Definition dieses Ressourceneintrags ist beschädigt oder enthält einen ungültigen DNS-Namen. Die Ereignisdaten enthalten den Fehlercode.
Diese Meldung erhalte ich bei jedem Neustart des Servers 4 Mal (Anzahl der DCs). Angeblich soll der Fehler durch den Befehl dicdiag /fix behoben sein. Alternativ sollte durch löschen der Einträge in der DNS-Zone der Fehler verschwinden. Leider hat beides nicht zum Erfolg geführt.
Hierzu muss ich allerdings noch anmerken, dass die Zone _msdcs per Hand neu angelegt werden musste. Warum und Wer diesen Eintrag mal gelöscht hat, kann ich leider nicht sagen.
Fehler und Warnungen im BestPa des DNS-Servers:
1. Fehler: DNS: Sekundäre Server der Zone TrustAnchors müssen auf Abfragen für die Zone reagieren.
Hierbei bin ich leider absolut Ahnungslos was ich machen könnte.
2. Warnung: DNS: Der sekujndäre Server 192.168.0.2 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.
3. Warnung: DNS: Der sekujndäre Server 192.168.0.1 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.
Bei 2 und 3 vermute ich einen Zusammenhang mit der 1. Meldung
Fehler und Warnungen im BestPa des DNS-Servers:
1. Fehler: Titel: Mit dem Best Practices Analyzer für die Active Directory-Domänendienste (Active Directory Domain Services Best Practices Analyzer, AD DS BPA) sollte das Sammeln von Daten über Gruppenrichtlinienergebnis-Einstellung "Auf diesen Computer vom Netzwerk aus zugreifen" von der Domänencontroller DC01 möglich sein.
Über den Befehl "$doc = C:\Windows\System32\BestPractices\v1.0\Models\Microsoft\Windows\DirectoryServices\DirectoryServices_model.ps1" habe ich auch einen Account (Cannot translate account name S-1.......) gefunden der dafür Schuld sein könnte. Aber wir bekomme raus welches Object das ist? Habe schon User und Computer durchsucht, aber dabei nicht die SID gefunden.
Ich hoffe wirklich sehr das ihr mir weiterhelfen könnt.
Vielen Vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181621
Url: https://administrator.de/contentid/181621
Ausgedruckt am: 16.11.2024 um 07:11 Uhr
3 Kommentare
Neuester Kommentar
moin,
also ohne groß nachzusehen...
Gruß
also ohne groß nachzusehen...
- 1 öffne adsiedit und erlaube dem Netzwerk Dienst den Validated Write to Service Principal Name ändern zu dürfen.
- 2 eh klar - entweder ein selbstgezimmertes cert oder ein "echtes" dranbappschen.
- 3 tja da bin ich auch ahnungslos - du hast 4 Dcs und nur du weißt, welche Ip die haben und was das überhaupt für zonen sind...
Gruß
edit
/edit
Moin,
danke für die Antwort.
1. Ich werde das nachher nochmal probieren und dann bescheid geben ob es erfolg hatte.
2. Bevor ich hierbei etwas falsch mache, wie erstelle ich ein zertifikat und binde es sauber ein?
3. Also ich habe derzeit noch 4 DCs. die zwei DCs die noch auf Server 2003 laufen möchte ich aber runterstufen zum memberserver. Allerdings habe ich Aufgrund der Meldungen dabei noch etwas Magenschmerzen, obwohl es doch so aussieht als ob nichts beeinträchtigt ist.
Die Zone TrustAnchors sehe ich in der DNS-Verwaltung leider nicht. mit adsiedit kann ich sie sehen. Ich verstehe noch nicht so wirklich was es hiermit aufsich hat.
Sorry wegen der doppelten Frage. Die erste Frage konnte ich hier nicht sehen und auch nicht editieren. Da dachte ich es ist etwas schief gelaufen.
danke für die Antwort.
1. Ich werde das nachher nochmal probieren und dann bescheid geben ob es erfolg hatte.
2. Bevor ich hierbei etwas falsch mache, wie erstelle ich ein zertifikat und binde es sauber ein?
3. Also ich habe derzeit noch 4 DCs. die zwei DCs die noch auf Server 2003 laufen möchte ich aber runterstufen zum memberserver. Allerdings habe ich Aufgrund der Meldungen dabei noch etwas Magenschmerzen, obwohl es doch so aussieht als ob nichts beeinträchtigt ist.
Die Zone TrustAnchors sehe ich in der DNS-Verwaltung leider nicht. mit adsiedit kann ich sie sehen. Ich verstehe noch nicht so wirklich was es hiermit aufsich hat.
Sorry wegen der doppelten Frage. Die erste Frage konnte ich hier nicht sehen und auch nicht editieren. Da dachte ich es ist etwas schief gelaufen.
Zitat von @60730:
- 1 öffne adsiedit und erlaube dem Netzwerk Dienst den Validated Write to Service Principal Name
So die ersten Fehlermeldungen sind jetzt weg. Schon mal vielen dank für die Hilfe....
