Kerberos Probleme - Zielkontoname ungültig
Moin zusammen ...
... ich stoße hier so langsam an meine fachlichen Grenzen bei der Suche nach einer Lösung für unser Problem:
In fast allen Standorten bei uns kommt es aktuell zu dem Problem, dass Druckerzuordnungen via GPO nicht funktionieren und dass Freigaben nicht verfügbar sind.
Als Meldung kommt im Explorer z.B. beim Aufruf von \\DC1 immer die Meldung "Zielkontoname ist ungültig".
Ein Versuch auf DC2 über CMD mit fragt nach Benutzername und Kennwort
Umgekehrt von DC1 über sehe ich die Freigaben.
"Zielkontoname ungültig" hängt ja meines Wissens nach fast immer irgendwie mit Kerberos zusammen.
Da ich im Explorer und in der CMD über die IP an die Freigaben komme, scheint sich das zu bestätigen, da ja über die IP NTLM statt Kerberos verwendet wird, wenn ich das richtig in Erinnerung habe.
Also habe ich zuerst über repadmin in den META-Daten die Versionen der ntPwdHistory und das Datum von pwdLastSet überprüft.
und
Beide Angaben auf beiden Servern identisch.
Also sollte es ja eigentlich nicht daran liegen.
DNS Einstellungen sind auch korrekt, denke ich.
DC2 hat DC1 als primary DNS und sich selber als secondary DNS
Jedenfalls zeigt nslookup die korrekten Daten an und ein ping ist sowohl über die IP, den netBIOS-Namen und den FQDN machbar.
Wenn ich allerdings manuell den Kerberosdienst auf DC2 stoppe und deaktiviere und das Computerkennwort zurücksetze über
kommt die Bestätigung, dass das Kennwort zurückgesetzt wurde.
Und ab diesem Moment funktioniert wieder alles.
In den META-Daten steht dann auch die korrekten Werte und das korrekte Datum drin.
Allerdings funktioniert es nicht lange. Spätestens am nächsten Morgen ist alles wieder bei "Zielkontoname ungültig".
Hoffe, jmd. hat eine rettende Idee.
Grüße
Der Rico
... ich stoße hier so langsam an meine fachlichen Grenzen bei der Suche nach einer Lösung für unser Problem:
In fast allen Standorten bei uns kommt es aktuell zu dem Problem, dass Druckerzuordnungen via GPO nicht funktionieren und dass Freigaben nicht verfügbar sind.
Als Meldung kommt im Explorer z.B. beim Aufruf von \\DC1 immer die Meldung "Zielkontoname ist ungültig".
Ein Versuch auf DC2 über CMD mit
net view \\DC1
Umgekehrt von DC1 über
net view \\DC2
"Zielkontoname ungültig" hängt ja meines Wissens nach fast immer irgendwie mit Kerberos zusammen.
Da ich im Explorer und in der CMD über die IP an die Freigaben komme, scheint sich das zu bestätigen, da ja über die IP NTLM statt Kerberos verwendet wird, wenn ich das richtig in Erinnerung habe.
Also habe ich zuerst über repadmin in den META-Daten die Versionen der ntPwdHistory und das Datum von pwdLastSet überprüft.
repadmin /showmeta "cn=DC2,ou=domain controllers,dc=mydomain,dc=lan" DC2
repadmin /showmeta "cn=DC2,ou=domain controllers,dc=mydomain,dc=lan" DC1
Beide Angaben auf beiden Servern identisch.
Also sollte es ja eigentlich nicht daran liegen.
DNS Einstellungen sind auch korrekt, denke ich.
DC2 hat DC1 als primary DNS und sich selber als secondary DNS
Jedenfalls zeigt nslookup die korrekten Daten an und ein ping ist sowohl über die IP, den netBIOS-Namen und den FQDN machbar.
Wenn ich allerdings manuell den Kerberosdienst auf DC2 stoppe und deaktiviere und das Computerkennwort zurücksetze über
netdom resetpwd /s:dc1 /ud:admin-account /pd:*
Und ab diesem Moment funktioniert wieder alles.
In den META-Daten steht dann auch die korrekten Werte und das korrekte Datum drin.
Allerdings funktioniert es nicht lange. Spätestens am nächsten Morgen ist alles wieder bei "Zielkontoname ungültig".
Hoffe, jmd. hat eine rettende Idee.
Grüße
Der Rico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 532568
Url: https://administrator.de/forum/kerberos-probleme-zielkontoname-ungueltig-532568.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
und dann noch: IPv4 oder IPv6? wenn IPv6 - wird hier korrekt aufgelöst?
Grüße
lcer
Zitat von @RicoPausB:
Sind sie.
DC1 bekommt seine Zeit von de.pool.ntp.org
DC2 bekommt sie von DC1
liefert eine Stammabweichung von 0.3079982s
ist das gemessen, wenn "alles Läuft" oder wenn der Fehler kommt?Sind sie.
DC1 bekommt seine Zeit von de.pool.ntp.org
DC2 bekommt sie von DC1
w32tm /query /status
und dann noch: IPv4 oder IPv6? wenn IPv6 - wird hier korrekt aufgelöst?
Grüße
lcer
Hallo,
Dann messen, wenn der Fahler auftritt
Grüße
lcer
Dann messen, wenn der Fahler auftritt
Verbindung läuft ausschließlich über IPv4.
dass heißt, nslookup liefert auf keinem der Server eine ipv6 Adresse aus? (sicherheitshalber auf beiden Server prüfen!) und die Server haben keine IPv6-Zonen bzw. AAAA-records gespeichert?Grüße
lcer
Und warum nicht nichts? So, wie es korrekt gewesen wäre?
Edit:
Schau mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Da muss "NT5DS" drin stehen.
Edit:
Schau mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Da muss "NT5DS" drin stehen.
https://docs.microsoft.com/en-us/windows-server/networking/windows-time- ...
Abschnitt "Time Synchronization in an AD DS Hierarchy"
Abschnitt "Time Synchronization in an AD DS Hierarchy"
Hallo,
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.
Grüße
lcer
Zitat von @RicoPausB:
Nicht das ich wüsste ...
Jedenfalls finde ich weder ausgestellte in der aktuellen Zertifizierungsstelle noch irgendwelche in certmgr.msc auf DC1 /DC2
der DC sollte ein gültiges Domänencontrollerzertifikat haben - ab besten auch nur eins unter Computerzertifikate->Eigene..Nicht das ich wüsste ...
Jedenfalls finde ich weder ausgestellte in der aktuellen Zertifizierungsstelle noch irgendwelche in certmgr.msc auf DC1 /DC2
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.
Grüße
lcer
Zitat von @RicoPausB:
DC2 hat von unserer CA auf DC1 vier Zertifikate erhalten.
Aus vier Zertifikatsvorlagen:
- Domänencontroller (DomainController)
- Domänencontrollerauthentifizierung
- Kerberos-Authentifizierung
- Verzeichnis-E-Mail-Replikation
Zitat von @lcer00:
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.
Wenn beim Verbindungsaufbau ein falsches / altes angeboten wird, gibt es Probleme.
DC2 hat von unserer CA auf DC1 vier Zertifikate erhalten.
Aus vier Zertifikatsvorlagen:
- Domänencontroller (DomainController)
- Domänencontrollerauthentifizierung
- Kerberos-Authentifizierung
- Verzeichnis-E-Mail-Replikation
meiner kommt mit einem Zertifikat nach Vorlage "Domänencontroller" (Original, Zertifizierungsstelle Server 2012R2). Also habt ihr selbst Zertifikate zusätzliche erstellt.
Dann würde ich die Zertifikate einzeln überprüfen, ob der jeweilige Verwendungszweck passt, ob die Sperrlisten erreichbar sind und so weiter.
Grüße
lcer