1
Probleme mit Benutzer IWAM xxx nach DC Entfernung mit ntdsutil
Nach erfolglosen Entfernung eines alten DC (Win2k-Server) mittels dcpromo habe ich den alten Server mittels ntdsutil entfernt.
Die FSMO-Rollen konnte ich noch erfolgreich an unseren zweiten DC übetragen.
Danach die entsprechenden Einträge mit ADSIedit gelöscht.
Jetzt bekomme ich folgende Fehlermeldung in der Ereignisanzeige:
Ereignistyp: Warnung
Ereignisquelle: W3SVC
Ereigniskategorie: Keine
Ereigniskennung: 36
Datum: 05.04.2006
Zeit: 14:00:26
Benutzer: Nicht zutreffend
Computer: SERVER1
Beschreibung:
Der Server konnte Anwendung '/LM/W3SVC/1/ROOT' nicht laden. Fehler 'Der Serverprozess konnte nicht gestartet werden, da die konfigurierte Identitt falsch ist. berprfen Sie Benutzernamen und Kennwort.
und
Bei DCOM ist der Fehler "Anmeldung fehlgeschlagen: Benutzerkontenbeschrnkung. " aufgetreten. .\IWAM_NTSERVER konnte nicht angemeldet werden, um den folgenden Server zu starten:
{3D14228D-FBE1-11D0-995D-00C04FD919C1}
Erklärung zur 2. Fehlermeldung: NTSERVER ist der alte DC, der nicht mehr exisitiert.
Diese beiden Fehlermeldungen kommen fast in jeder Sekunde und lassen dass Ereignisprotokoll schnell volllaufen.
Folgendes ist für die Lösung interessant (denke ich):
Im Active-Directory gibt es folgende Benutzer, nämlich:
IUSER [alterDC]
IUSER [zweiterDC]
und
IWAM [alterDC]
IWAM [zweiterDC]
Mittlerweile ist ein dritter, neuer DC ins Netz genommen worden, für den gibt es aber keine IWAM bzw. IUSER-Konten. Ist das normal ?
Bei Microsoft bin ich fündig geworden. Dort heisst es, es ist ein Problem, dass die Passwörter des IUSER bzw. IWAM nicht synchronisiert sind.
Mit Hilfe des Tools adsutil.vbs habe ich mir die Passwörter von IUSER und IWAM anzeigen lassen. Wenn ich das Tool auf dem zweiten DC ausführe (der schon die ganze Zeit im netz war) und auf dem neu aufgenommenen DC erhalte ich unterschiedliche Passwörter als Ergebnis.
Mein Frage zusammengefasst:
- Kann ich den IUSER [alterDC] und IWAM[alterDC] einfach löschen ?
- Brauche ich für den neuen DC nicht auch IUSER und IWAM Einträge ?
Obwohl sich das Problem Thema komplex anhört, habe ich versucht, alles so verständlich wie möglich zu schildern.
Danke im Voraus !
Die FSMO-Rollen konnte ich noch erfolgreich an unseren zweiten DC übetragen.
Danach die entsprechenden Einträge mit ADSIedit gelöscht.
Jetzt bekomme ich folgende Fehlermeldung in der Ereignisanzeige:
Ereignistyp: Warnung
Ereignisquelle: W3SVC
Ereigniskategorie: Keine
Ereigniskennung: 36
Datum: 05.04.2006
Zeit: 14:00:26
Benutzer: Nicht zutreffend
Computer: SERVER1
Beschreibung:
Der Server konnte Anwendung '/LM/W3SVC/1/ROOT' nicht laden. Fehler 'Der Serverprozess konnte nicht gestartet werden, da die konfigurierte Identitt falsch ist. berprfen Sie Benutzernamen und Kennwort.
und
Bei DCOM ist der Fehler "Anmeldung fehlgeschlagen: Benutzerkontenbeschrnkung. " aufgetreten. .\IWAM_NTSERVER konnte nicht angemeldet werden, um den folgenden Server zu starten:
{3D14228D-FBE1-11D0-995D-00C04FD919C1}
Erklärung zur 2. Fehlermeldung: NTSERVER ist der alte DC, der nicht mehr exisitiert.
Diese beiden Fehlermeldungen kommen fast in jeder Sekunde und lassen dass Ereignisprotokoll schnell volllaufen.
Folgendes ist für die Lösung interessant (denke ich):
Im Active-Directory gibt es folgende Benutzer, nämlich:
IUSER [alterDC]
IUSER [zweiterDC]
und
IWAM [alterDC]
IWAM [zweiterDC]
Mittlerweile ist ein dritter, neuer DC ins Netz genommen worden, für den gibt es aber keine IWAM bzw. IUSER-Konten. Ist das normal ?
Bei Microsoft bin ich fündig geworden. Dort heisst es, es ist ein Problem, dass die Passwörter des IUSER bzw. IWAM nicht synchronisiert sind.
Mit Hilfe des Tools adsutil.vbs habe ich mir die Passwörter von IUSER und IWAM anzeigen lassen. Wenn ich das Tool auf dem zweiten DC ausführe (der schon die ganze Zeit im netz war) und auf dem neu aufgenommenen DC erhalte ich unterschiedliche Passwörter als Ergebnis.
Mein Frage zusammengefasst:
- Kann ich den IUSER [alterDC] und IWAM[alterDC] einfach löschen ?
- Brauche ich für den neuen DC nicht auch IUSER und IWAM Einträge ?
Obwohl sich das Problem Thema komplex anhört, habe ich versucht, alles so verständlich wie möglich zu schildern.
Danke im Voraus !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 29783
Url: https://administrator.de/contentid/29783
Ausgedruckt am: 23.11.2024 um 03:11 Uhr
1 Kommentar
also, anscheinend habe ich mich zu kompliziert ausgedrückt oder ich bin der einzigste 
Also, für alle die auch mal dieses Problem haben (ich wünsche es
Workaround:
Im Internet-Informationsdienste den Server auswählen, Eigenschaften der Standard-Webseite anklicken -> Kartenreiter Verzeichnissicherheit -> Steuerung des anonymen Zugriffs bearbeiten -> verwendestes Konto für anonymen Zugriff bearbeiten.
hier stand noch der IUSER_[alter DC] drinne. Habe den benutzer auf IUSER_[aktueller DC] umgestellt und das Passwort geändert (kann man per Kommandozeilen-tool auslesen).
Seitdem ist Ruhe in der Ereignisanzeige
Also, für alle die auch mal dieses Problem haben (ich wünsche es
Workaround:
Im Internet-Informationsdienste den Server auswählen, Eigenschaften der Standard-Webseite anklicken -> Kartenreiter Verzeichnissicherheit -> Steuerung des anonymen Zugriffs bearbeiten -> verwendestes Konto für anonymen Zugriff bearbeiten.
hier stand noch der IUSER_[alter DC] drinne. Habe den benutzer auf IUSER_[aktueller DC] umgestellt und das Passwort geändert (kann man per Kommandozeilen-tool auslesen).
Seitdem ist Ruhe in der Ereignisanzeige
