19
Probleme mit AD Replikation (Zielprinzipname ist falsch)
GutenMorgen, ich bin ein wenig am verzweifeln und wollte mal nach Unterstützung fragen.
Wir haben 22 Domaincontroller (keine VM). Wir hatten dann plötzlich Probleme mit drei Servern, die nicht mehr replizieren konnten. Wenn ich die Replikation manuell angestossen habe, bekam ich die Fehlermeldung "Der Zielprinzipname ist falsch" Diese Meldung bekam ich von beiden Seiten DC-Haupt zu DC-Filiale. Jetzt zeigt sich, dass alle DC's betroffen sind, nicht nur die drei.
Jetzt habe ich mich an die Anleitungen von Microsoft gehalten:
Fehler (Zielprinzipalname ist falsch) beim manuellen Replizieren von Daten zwischen Domänencontrollern
und:
Active Directory-Replikationsfehler -2146893022: Der Zielprinzipalname ist falsch
Leider ohne Erfolg. Die Fehlermeldunh habe ich weiterhin.
Alle Server sehen sich im Netzwerk ohne Probleme.
Wenn ich den DCDIAG auf dem Hauptdomain ausführe, bekomme ich auch eine lange Meldung u.a.:
Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
......................... Der Test KccEvent für DC-VW ist fehlgeschlagen.
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
CN=Schema,CN=Configuration,DC=xxx,DC=local
......................... Der Test NCSecDesc für DC-VW ist fehlgeschlagen.
Starting test: Replications
[Replications Check,DC-VW] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von DC-F14 nach DC-VW
Namenskontext: DC=ForestDnsZones,DC=xxx,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2022-10-16 07:09:45.
Letzter erfolgreicher Vorgang: 2022-09-20 09:13:31.
Seit dem letzten erfolgreichen Vorgang sind 142 Fehler aufgetreten.
Jetzt habe ich einen Dienstleister bereits eingeschaltet, der, naja, das gemacht hat, was auch ich bereits im Netz gefudnen hatte.
Zusätzlich zu diesen Fehlern erhalte ich auch eine Fehlermeldung, wenn ich auf einer der DC's die Active Directory Domänen und Vertrauenseinstellungen öffne (siehe Bilder) und der Betriebsmaster ist auch nicht einzustellen.
Daher wollte ich mal hier fragen, ob jemand eine Idee hat den Fehler besser einzugrenzen, oder einen Dienstleister kennt, den wir beauftragen könnte. Mich würde interessieren, von welchem Parameter hier gesprochen wird? Kriegt man das irgendwie raus?
Wir haben 22 Domaincontroller (keine VM). Wir hatten dann plötzlich Probleme mit drei Servern, die nicht mehr replizieren konnten. Wenn ich die Replikation manuell angestossen habe, bekam ich die Fehlermeldung "Der Zielprinzipname ist falsch" Diese Meldung bekam ich von beiden Seiten DC-Haupt zu DC-Filiale. Jetzt zeigt sich, dass alle DC's betroffen sind, nicht nur die drei.
Jetzt habe ich mich an die Anleitungen von Microsoft gehalten:
Fehler (Zielprinzipalname ist falsch) beim manuellen Replizieren von Daten zwischen Domänencontrollern
und:
Active Directory-Replikationsfehler -2146893022: Der Zielprinzipalname ist falsch
Leider ohne Erfolg. Die Fehlermeldunh habe ich weiterhin.
Alle Server sehen sich im Netzwerk ohne Probleme.
Wenn ich den DCDIAG auf dem Hauptdomain ausführe, bekomme ich auch eine lange Meldung u.a.:
Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
......................... Der Test KccEvent für DC-VW ist fehlgeschlagen.
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
CN=Schema,CN=Configuration,DC=xxx,DC=local
......................... Der Test NCSecDesc für DC-VW ist fehlgeschlagen.
Starting test: Replications
[Replications Check,DC-VW] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von DC-F14 nach DC-VW
Namenskontext: DC=ForestDnsZones,DC=xxx,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2022-10-16 07:09:45.
Letzter erfolgreicher Vorgang: 2022-09-20 09:13:31.
Seit dem letzten erfolgreichen Vorgang sind 142 Fehler aufgetreten.
Jetzt habe ich einen Dienstleister bereits eingeschaltet, der, naja, das gemacht hat, was auch ich bereits im Netz gefudnen hatte.
Zusätzlich zu diesen Fehlern erhalte ich auch eine Fehlermeldung, wenn ich auf einer der DC's die Active Directory Domänen und Vertrauenseinstellungen öffne (siehe Bilder) und der Betriebsmaster ist auch nicht einzustellen.
Daher wollte ich mal hier fragen, ob jemand eine Idee hat den Fehler besser einzugrenzen, oder einen Dienstleister kennt, den wir beauftragen könnte. Mich würde interessieren, von welchem Parameter hier gesprochen wird? Kriegt man das irgendwie raus?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4310662993
Url: https://administrator.de/contentid/4310662993
Printed on: May 5, 2024 at 02:05 o'clock
19 Comments
Latest comment
Hallo,
ohne jetzt Ahnung zu haben: Bei solchen Fehlerbildern gucke ich immer zuerst nach abgelaufen Zertifikaten.
Gruß,
Jörg
ohne jetzt Ahnung zu haben: Bei solchen Fehlerbildern gucke ich immer zuerst nach abgelaufen Zertifikaten.
Gruß,
Jörg
Was meinst du genau? Welche Zertifikate meinst du?
Hallo,
die Computerzertifikate der DCs. Genauer gesagt, die Zertifikate, die das KDC verwendet.
Grüße
lcer
die Computerzertifikate der DCs. Genauer gesagt, die Zertifikate, die das KDC verwendet.
Grüße
lcer
Vielen Dank für den Hinweis. Also, ich habe mir das ganze auf drei DC's und auf dem HauptDC angeguckt. Die Zertifikate sind bis August 23 gültig.
Daher schließe ich das mal aus.
Daher schließe ich das mal aus.
Hallo,
ja dann, Systemzeit überprüfen, DNS überprüfen, Eventlog durchsehen.
Grüße
lcer
ja dann, Systemzeit überprüfen, DNS überprüfen, Eventlog durchsehen.
Grüße
lcer
@icer Also Systemzeit ist überprüft.
DNS ist auch in Ordnung.
Und die Eventlogs, einen Auszug habe ich mal oben angehängt.
Die bringen auch nicht tatsächlich weiter.
DNS ist auch in Ordnung.
Und die Eventlogs, einen Auszug habe ich mal oben angehängt.
Die bringen auch nicht tatsächlich weiter.
Hi,
22 DC's: Alle in einer Domain oder sind das mehrere Domains im Forest?
Was wurde als letztes an den DC's oder der AD-Konfiguration geändert?
E.
Edit:
Wurde da ein Backup eines DC's wiederhergestellt o.ä.?
Am Rande (off topic)
Diese Übersetzung ist köstlich!
22 DC's: Alle in einer Domain oder sind das mehrere Domains im Forest?
Was wurde als letztes an den DC's oder der AD-Konfiguration geändert?
E.
Edit:
Wurde da ein Backup eines DC's wiederhergestellt o.ä.?
Am Rande (off topic)
Diese Übersetzung ist köstlich!
Um dieses Problem zu beheben, bestimmen Sie zunächst, welcher Domänencontroller der aktuelle Master-Rollenhalter für Denkvorgänge des primären Domänencontrollers (PDC) ist.
Da fehlt nur noch: "Am 29. August 1997 um 2:14 Uhr entwickelt Skynet sein eigenes Bewusstsein. ..."
1
Hallo,
Hast Du die Abfrage der Domäne manuell geprüft? Also nslookup -> Domänename -> liefert die DCs zurück?
Versuche mal einen Blick in die Protokolle (ich würde zuerst am PDC-Emulator anfangen) von Kerberos & co .
insbesondere:
Anwendungs- und Dienstprotokolle-> Microsoft
->Windows:
Kerberos-Key-Distribution-Center
NTLM
Time-Service
Und: was habe ihr denn zuvor umgestellt? bzw. Updates installiert?
Grüße
lcer
Hast Du die Abfrage der Domäne manuell geprüft? Also nslookup -> Domänename -> liefert die DCs zurück?
Und die Eventlogs, einen Auszug habe ich mal oben angehängt.
Das sind keine Eventlogs, das sind ja die Auszüge aus dcdiag.Die bringen auch nicht tatsächlich weiter.
Versuche mal einen Blick in die Protokolle (ich würde zuerst am PDC-Emulator anfangen) von Kerberos & co .
insbesondere:
Anwendungs- und Dienstprotokolle-> Microsoft
->Windows:
Kerberos-Key-Distribution-Center
NTLM
Time-Service
Und: was habe ihr denn zuvor umgestellt? bzw. Updates installiert?
Grüße
lcer
An wievielen Standorten (sowohl AD wie auch physisch) sind diese 22 DC's verteilt?
Sie bereits erwähnt, die Systemzeit aller DOmain Controller darf nicht mehr als 5 Minuten auseinander gehen und DNS muss ein bisschen genauer überprüft werden:
Ist die Domain pingbar, also z.B. firma.de?
Ist jeder Domaincontroller pingbar, also dc1.firma.de, dc2.firma.de usw
Und das von jedem Domain Controller aus zu jedem Domain Controller.
Ist die Domain pingbar, also z.B. firma.de?
Ist jeder Domaincontroller pingbar, also dc1.firma.de, dc2.firma.de usw
Und das von jedem Domain Controller aus zu jedem Domain Controller.
Das wäre nicht zwangsläufig notwendig, wenn es da mehrere Standorte geben sollte und diese dann auch alle im AD abgebildet sind.
Das wäre nicht zwangsläufig notwendig
Man erkennt jedoch damit Verbindungsprobleme, die eigentlich verbunden sein sollten. Wenn die Namensauflösung nicht funktioniert, macht man sich dann auf einmal Gedanken, warum bzw warum nicht.
Ich versuche mal die Fragen von oben, bis unten zu beantworten:
Alle DC's 22 sind in einer Domain.
Bzgl. Backup bin ich gerade in der Recherche und warte auf eine Rückmeldung, ob so ein Fall vorlag. Tatsächlich scheint eine Maschine ausgetauscht worden zu sein, ich befürchte dass hier tatsächlich das Backup des DC nicht richtig zurückgeholt wurde, muss aber noch warten. Aber auch wenn es so wäre, dann wäre doch die Replikation zu dem einen DCbetroffen, und nicht im gesamten Netzwerk?
Ich kann die DC's anping mit IP und mit FQDN, nslookup funktioniert auch (hab hierbei 5 Stück geprüft, nicht alle)
@icer00 Mit den Eventslog hast du natürlich recht:
Die wichtigen Einträge sind diese:
Directory Service:
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
CN=Configuration,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
DC=DomainDnsZones,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
DC=ForestDnsZones,DC=xxx,DC=local
Kerberos-Key-Distribution-Center
NTLM
Keine Einträge bei beiden
Time-Service
Den Pfad habe ich nicht gefunden
Alle 22 DC's sind an 22 verschieden Standorten, pro Standort ein DC.
Die Domain selber ist pingbar, und die 5 DC's die ich aus der Stichprobe genommen habe, ebenfalls. Wie gesagt, per IP und auch per FQDN. Und auch gegenseitig,
Updates wurden keine gemacht, laut Protokoll.
Ach ja, die Systemzeit bei allen fünf sind identisch, also keine Abweichung, diesbezüglich.
Nun mir machen jetzt die Eventlogs aus dem Directory Server sorgen.
Alle DC's 22 sind in einer Domain.
Bzgl. Backup bin ich gerade in der Recherche und warte auf eine Rückmeldung, ob so ein Fall vorlag. Tatsächlich scheint eine Maschine ausgetauscht worden zu sein, ich befürchte dass hier tatsächlich das Backup des DC nicht richtig zurückgeholt wurde, muss aber noch warten. Aber auch wenn es so wäre, dann wäre doch die Replikation zu dem einen DCbetroffen, und nicht im gesamten Netzwerk?
Ich kann die DC's anping mit IP und mit FQDN, nslookup funktioniert auch (hab hierbei 5 Stück geprüft, nicht alle)
@icer00 Mit den Eventslog hast du natürlich recht:
Die wichtigen Einträge sind diese:
Directory Service:
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
CN=Configuration,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
DC=DomainDnsZones,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
DC=ForestDnsZones,DC=xxx,DC=local
Kerberos-Key-Distribution-Center
NTLM
Keine Einträge bei beiden
Time-Service
Den Pfad habe ich nicht gefunden
Alle 22 DC's sind an 22 verschieden Standorten, pro Standort ein DC.
Die Domain selber ist pingbar, und die 5 DC's die ich aus der Stichprobe genommen habe, ebenfalls. Wie gesagt, per IP und auch per FQDN. Und auch gegenseitig,
Updates wurden keine gemacht, laut Protokoll.
Ach ja, die Systemzeit bei allen fünf sind identisch, also keine Abweichung, diesbezüglich.
Nun mir machen jetzt die Eventlogs aus dem Directory Server sorgen.
Zitat von @Easyma:
Directory Service:
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
CN=Configuration,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
Bitte mal die gesamte Fehlermeldung incl. EventIDDirectory Service:
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
CN=Configuration,DC=xxx,DC=local
Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
Verzeichnispartition:
Grüße
lcer
Sind diese 22 AD-Standorte im AD abgebildet?
Habe alle Standorte eine Verbindung zur Zentrale (Nabe/Speiche) oder ist es eher ein Gitter/Baum?
Habe alle Standorte eine Verbindung zur Zentrale (Nabe/Speiche) oder ist es eher ein Gitter/Baum?
Bzgl. der Standort:
Alle Standorte sind zur Zentrale verbunden. Btgl. der Netzwerktopologie ist es ein Stern. Jeder Standort wird durch die Zentrale geroutet, und sehen sich gegenseitig, falls das die Frage war.
Zu der Fehlermeldung:
Tatsächlich wurde der DC-F14 (Reeperbahn) ausgetauscht. Wie und wer, konnte ich nicht ermitteln.
Alle Standorte sind zur Zentrale verbunden. Btgl. der Netzwerktopologie ist es ein Stern. Jeder Standort wird durch die Zentrale geroutet, und sehen sich gegenseitig, falls das die Frage war.
Zu der Fehlermeldung:
Tatsächlich wurde der DC-F14 (Reeperbahn) ausgetauscht. Wie und wer, konnte ich nicht ermitteln.
Hallo,
mit ist noch folgendes eingefallen: Teste mal, ob die Windows-Firewall korrekt arbeitet:
Get-NetConnectionProfile -> müßte "DomainAuthenticated" liefern.
Grüße
lcer
mit ist noch folgendes eingefallen: Teste mal, ob die Windows-Firewall korrekt arbeitet:
Get-NetConnectionProfile -> müßte "DomainAuthenticated" liefern.
Grüße
lcer
Firewall hatte ich auch mim Verdacht, aber ist eher unwahsrscheinlich, da das Thema von heute auf morgen gekommen ist.
Name : xxx.local
InterfaceAlias : Ethernet
InterfaceIndex : 17
NetworkCategory : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic
Name : xxx.local
InterfaceAlias : Ethernet
InterfaceIndex : 17
NetworkCategory : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic
Zitat von @Easyma:
Bzgl. der Standort:
Alle Standorte sind zur Zentrale verbunden. Btgl. der Netzwerktopologie ist es ein Stern. Jeder Standort wird durch die Zentrale geroutet, und sehen sich gegenseitig, falls das die Frage war.
Und die Site-Links sind sicherlich so eingerichtet, dass jeder Außenstandort-DC sich nur mit dem Zentralstandort-DC repliziert?Bzgl. der Standort:
Alle Standorte sind zur Zentrale verbunden. Btgl. der Netzwerktopologie ist es ein Stern. Jeder Standort wird durch die Zentrale geroutet, und sehen sich gegenseitig, falls das die Frage war.
Sind alle DC auch GC und DNS?
