kauzig
Goto Top

Replikation zwischen zwei Windows Server 2016 DCs

Hallo,

ich habe seit geraumer Zeit zwei Windows Server 2016 DCs am laufen, diese befinden sich an zwei unterschiedlichen Standorten (sind via dauerhaften VPN-Verbindung verbunden)
Dies funktionierte nun auch für 3 Monate einwandfrei.

Nun habe ich seit nun doch schon seit ca. 2 Wochen das Problem, dass sich DC2 keine Daten mehr von DC1 repliziert, DC1 jedoch von DC2 schon noch Änderung aufnimmt (z.B. neue User).

Auf DC1 wird mir im Server Manager unter Alle Server angezeigt, dass beide Serer Online sind und die Verwaltbarkeit gegeben ist.
Bei einem manuellen Anstoßen der Replikation bekomme ich auf DC1 folgenden Error: 10028 Microsoft-Windows-DistributedCOM

DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DC1.Domain.local" kommunizieren; angefordert von PID     1578 (C:\Windows\system32\ServerManager.exe).  

DC2 zeigt mir meist den Error 4 Microsoft-Windows-Secruity-Kerberos

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war DNS/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DOMAIN.LOCAL) von der Clientdomäne (DOMAIN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  


Des Weiteren wird auch öfters der Error 5774 NETLOGON geworfen:

Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.Standort2._sites.ForestDnsZones.Domain.local. 600 IN SRV 0 100 389 DC2.Domain.local." auf folgendem DNS-Server ist ein Fehler aufgetreten:    

IP-Adresse des DNS-Servers: 192.168.0.100 
Verbindungsantwortcode (RCODE): 5 
Zurückgegebener Statuscode: 9017  

Dieser Eintrag muss in DNS registriert sein, damit Computer und Anwender diesen Domänencontroller finden können.  

BENUTZERAKTION  
Ermitteln Sie, was diesen Fehler verursacht hat. Beheben Sie das Problem, und initialisieren Sie die Registrierung der DNS-Einträge durch den Domänencontroller. Um festzustellen, was diesen Fehler verursacht hat, führen Sie "DCDiag.exe" aus. Weitere Informationen zu "DCDiag.exe" finden Sie im Hilfe- und Supportcenter. Führen Sie "nltest.exe /dsregdns" über die Eingabeaufforderung des Domänencontrollers aus, oder starten Sie den Anmeldedienst neu, um die Registrierung der DNS-Einträge durch diesen Domänencontroller zu initialisieren.   
 Alternativ können Sie den Eintrag manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen.  

ZUSÄTZLICHE DATEN 
Fehlerwert: Ungültiger DNS-Schlüssel.


Hier das Ergebnis von dcdiag auf DC1:

C:\Windows\system32>dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = DC1
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standort1\DC1
      Starting test: Connectivity
         ......................... DC1 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standort1\DC1
      Starting test: Advertising
         ......................... DC1 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... DC1 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
         vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... DC1 hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... DC1 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... DC1 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... DC1 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... DC1 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... DC1 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... DC1 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... DC1 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... DC1 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... DC1 hat den Test RidManager bestanden.
      Starting test: Services
         ......................... DC1 hat den Test Services bestanden.
      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 04/15/2019   09:23:58
            Ereigniszeichenfolge:
            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DC2.Domain.local" kommunizieren; angefordert von PID     1578 (C:\Windows\system32\ServerManager.exe).  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 04/15/2019   09:23:58
            Ereigniszeichenfolge:
            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DC2.Domain.local" kommunizieren; angefordert von PID     1578 (C:\Windows\system32\ServerManager.exe).  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 04/15/2019   09:23:58
            Ereigniszeichenfolge:
            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DC2.Domain.local" kommunizieren; angefordert von PID     1578 (C:\Windows\system32\ServerManager.exe).  
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 04/15/2019   09:23:58
            Ereigniszeichenfolge:
            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DC2.Domain.local" kommunizieren; angefordert von PID     1578 (C:\Windows\system32\ServerManager.exe).  
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:26:35
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:26:44
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:26:55
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:27:07
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:27:26
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         Warnung. Ereignis-ID: 0x00009016
            Erstellungszeitpunkt: 04/15/2019   09:27:26
            Ereigniszeichenfolge:
            Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
         ......................... Der Test SystemLog für DC1 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... DC1 hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Domain
      Starting test: CheckSDRefDom
         ......................... Domain hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Domain hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: Domain.local
      Starting test: LocatorCheck
         ......................... Domain.local hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... Domain.local hat den Test Intersite bestanden.

Sowie das Ergebnis des dcdiag auf DC2

C:\Users\admin>dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = DC2
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standort2\DC2
      Starting test: Connectivity
         ......................... DC2 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standort2\DC2
      Starting test: Advertising
         ......................... DC2 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... DC2 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
         vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... Der Test DFSREvent für DC2 ist fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... DC2 hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         Warnung. Ereignis-ID: 0x8000061E
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar.
         Fehler. Ereignis-ID: 0xC000051F
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
         Warnung. Ereignis-ID: 0x80000749
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
         Warnung. Ereignis-ID: 0x8000061E
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar.
         Fehler. Ereignis-ID: 0xC000051F
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
         Warnung. Ereignis-ID: 0x80000749
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
         Warnung. Ereignis-ID: 0x8000061E
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar.
         Fehler. Ereignis-ID: 0xC000051F
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
         Warnung. Ereignis-ID: 0x80000749
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
         Warnung. Ereignis-ID: 0x8000061E
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Alle Verzeichnisdienste am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar.
         Fehler. Ereignis-ID: 0xC000051F
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition festgestellt.
         Warnung. Ereignis-ID: 0x80000749
            Erstellungszeitpunkt: 04/15/2019   10:00:21
            Ereigniszeichenfolge:
            Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.
         ......................... Der Test KccEvent für DC2 ist fehlgeschlagen.
      Starting test: KnowsOfRoleHolders
         [DC1] DsBindWithSpnEx()-Fehler -2146893022,
         Der Zielprinzipalname ist falsch..
         Achtung: DC1 ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
         [DC1] LDAP-Bindungsfehler 8341,
         Ein Verzeichnisdienstfehler ist aufgetreten..
         Achtung: DC1 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung.
         Achtung: DC1 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
         Achtung: DC1 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.
         Achtung: DC1 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
         Achtung: DC1 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.
         Achtung: DC1 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
         Achtung: DC1 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.
         Achtung: DC1 ist Infrastructure Update Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
         Achtung: DC1 ist Infrastructure Update Owner, reagiert jedoch nicht auf die LDAP-Bindung.
         ......................... Der Test KnowsOfRoleHolders für DC2 ist fehlgeschlagen.
      Starting test: MachineAccount
         ......................... DC2 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... DC2 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         [DC2] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs.
         Das für diesen Test verwendete Konto muss für die Domäne dieses
         Computers über Netwerkanmelderechte verfügen.
         ......................... Der Test NetLogons für DC2 ist fehlgeschlagen.
      Starting test: ObjectsReplicated
         ......................... DC2 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         [Replications Check,DC2] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von DC1 nach DC2
            Namenskontext: DC=ForestDnsZones,DC=Domain,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
            Der Zielprinzipalname ist falsch.
            Auftreten des Fehlers: 2019-04-15 08:30:14.
            Letzter erfolgreicher Vorgang: 2019-03-25 13:12:17.
            Seit dem letzten erfolgreichen Vorgang sind 167 Fehler aufgetreten.
         [Replications Check,DC2] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von DC1 nach DC2
            Namenskontext: DC=DomainDnsZones,DC=Domain,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
            Der Zielprinzipalname ist falsch.
            Auftreten des Fehlers: 2019-04-15 08:30:14.
            Letzter erfolgreicher Vorgang: 2019-03-25 13:12:17.
            Seit dem letzten erfolgreichen Vorgang sind 167 Fehler aufgetreten.
         [Replications Check,DC2] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von DC1 nach DC2
            Namenskontext: CN=Schema,CN=Configuration,DC=Domain,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
            Der Zielprinzipalname ist falsch.
            Auftreten des Fehlers: 2019-04-15 08:30:14.
            Letzter erfolgreicher Vorgang: 2019-03-25 13:12:16.
            Seit dem letzten erfolgreichen Vorgang sind 167 Fehler aufgetreten.
         [Replications Check,DC2] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von DC1 nach DC2
            Namenskontext: DC=Domain,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
            Der Zielprinzipalname ist falsch.
            Auftreten des Fehlers: 2019-04-15 08:30:14.
            Letzter erfolgreicher Vorgang: 2019-03-25 13:12:16.
            Seit dem letzten erfolgreichen Vorgang sind 167 Fehler aufgetreten.
         ......................... Der Test Replications für DC2 ist fehlgeschlagen.
      Starting test: RidManager
         ......................... Der Test RidManager für DC2 ist fehlgeschlagen.
      Starting test: Services
            Der Dienst NTDS auf DC2 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert"  
         ......................... Der Test Services für DC2 ist fehlgeschlagen.
      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   09:11:33
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war ldap/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   09:11:34
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war cifs/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x00002720
            Erstellungszeitpunkt: 04/15/2019   09:23:51
            Ereigniszeichenfolge:
            Durch die Berechtigungseinstellungen für "application-specific" wird dem Benutzer "NT AUTHORITY\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (Using LRPC)" keine Berechtigung vom Typ "Local Activation" für die COM-Serveranwendung mit der CLSID  
         Warnung. Ereignis-ID: 0x00000079
            Erstellungszeitpunkt: 04/15/2019   09:25:19
            Ereigniszeichenfolge:
            Die Firewallausnahme zum Zulassen der iSNS-Clientfunktionalität (Internet Storage Name Server) ist nicht aktiviert. Die iSNS-Clientfunktionalität ist nicht verfügbar.
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   09:25:51
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war DNS/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x0000168E
            Erstellungszeitpunkt: 04/15/2019   09:25:51
            Ereigniszeichenfolge:
            Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.Standort2._sites.Domain.local. 600 IN SRV 0 100 389 DC2.Domain.local." auf folgendem DNS-Server ist ein Fehler aufgetreten:  
         Fehler. Ereignis-ID: 0x0000168E
            Erstellungszeitpunkt: 04/15/2019   09:25:51
            Ereigniszeichenfolge:
            Bei der dynamischen Registrierung des DNS-Eintrags "_gc._tcp.Standort2._sites.Domain.local. 600 IN SRV 0 100 3268 DC2.Domain.local." auf folgendem DNS-Server ist ein Fehler aufgetreten:  
         Fehler. Ereignis-ID: 0x0000168E
            Erstellungszeitpunkt: 04/15/2019   09:25:51
            Ereigniszeichenfolge:
            Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.Standort2._sites.ForestDnsZones.Domain.local. 600 IN SRV 0 100 389 DC2.Domain.local." auf folgendem DNS-Server ist ein Fehler aufgetreten:  
         Fehler. Ereignis-ID: 0x0000168E
            Erstellungszeitpunkt: 04/15/2019   09:25:51
            Ereigniszeichenfolge:
            Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.Standort2._sites.DomainDnsZones.Domain.local. 600 IN SRV 0 100 389 DC2.Domain.local." auf folgendem DNS-Server ist ein Fehler aufgetreten:  
         Warnung. Ereignis-ID: 0x00001796
            Erstellungszeitpunkt: 04/15/2019   09:28:41
            Ereigniszeichenfolge:
            Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   09:28:45
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war cifs/DC1.Domain.local/Domain.local@Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x00000422
            Erstellungszeitpunkt: 04/15/2019   09:28:45
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\Domain.local\SysVol\Domain.local\Policies\{F86EE33C-1FA6-4685-9B7E-2B0B682272D4}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:  
         Fehler. Ereignis-ID: 0x00002720
            Erstellungszeitpunkt: 04/15/2019   09:28:47
            Ereigniszeichenfolge:
            Durch die Berechtigungseinstellungen für "application-specific" wird dem Benutzer "NT AUTHORITY\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (Using LRPC)" keine Berechtigung vom Typ "Local Activation" für die COM-Serveranwendung mit der CLSID  
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   09:29:07
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war HTTP/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   10:01:55
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war LDAP/52d056e3-254c-4659-9af7-7d70cc2efa46._msdcs.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         Fehler. Ereignis-ID: 0x40000004
            Erstellungszeitpunkt: 04/15/2019   10:01:55
            Ereigniszeichenfolge:
            Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "DC1$" empfangen. Der verwendete Zielname war ldap/DC1.Domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (Domain.LOCAL) von der Clientdomäne (Domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.  
         ......................... Der Test SystemLog für DC2 ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... DC2 hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Domain
      Starting test: CheckSDRefDom
         ......................... Domain hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Domain hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: Domain.local
      Starting test: LocatorCheck
         ......................... Domain.local hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... Domain.local hat den Test Intersite bestanden.


Nun habe ich schon mehrere Stunden am Googlen verbracht., meist wurde mir ein Ergebnis angezeigt, dass es an der Firewall liegen sollte. Habe zu Testzwecken auf beiden DCs die Firewall deaktiviert und konnte auch keinen block auf den Firewalls sehen.


Nun bin ich ratlos und bin für jede Hilfe dankbar, da ich nicht weiß woran es liegt und was hilfreich ist, bitte ich einfach darum nachzufragen, wenn Informationen benötigt werden.


Grüße
Kauzig

Content-Key: 441061

Url: https://administrator.de/contentid/441061

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: goscho
goscho 15.04.2019 um 12:32:52 Uhr
Goto Top
Hallo Kauzig,

hast du die Möglichkeit, einen 3. DC ins Netz zu bringen, natürlich am Standort von DC2?

Was macht dieser DC noch alles?
Kann temporär der DC 1 genutzt werden (falls die Leitung stark und stabil genug ist und der DC wirklich nur DC ist)?
Mitglied: Kauzig
Kauzig 15.04.2019 um 12:54:03 Uhr
Goto Top
Hallo goscho,

aktuell hab ich leider keine Möglichkeit am Standort von DC2 einen weiteren DC ins Netz zu stellen.

Grundsätzlich ist DC2 vollkommen ansprechbar und es können auch User angelegt werden, bislang ist mir nur aufgefallen, dass ein Zugriff auf die GPOs nicht möglich ist.


Da aktuell nur wenige Mitarbeiter am Standort2 vorhanden sind ist dies möglich.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 15.04.2019 um 12:58:11 Uhr
Goto Top
Moin,

Zeitunterschiede und DNS Probleme kannst du ausschließen?

Wird auf seiten der VPN Vernetzung vielleicht etwas geblickt?

Gruß
Spirit
Mitglied: Kauzig
Kauzig 15.04.2019 aktualisiert um 13:54:55 Uhr
Goto Top
Zeitunterschiede und DNS Probleme kannst du ausschließen?

Zeitunterschied kann ich ausschließen

DNS nicht zu 100%, habe aber bereits jeden DNS-Eintrag doppelt und dreifach überprüft

Wird auf seiten der VPN Vernetzung vielleicht etwas geblickt?

Habe erst am Donnerstag mit unserem Firewall Anbieter von Standort2 telefoniert und wir konnten hierbei "leider" kein Problem feststellen
Bei der Firewall am Standort1 sehe ich den Logs nur bestätigte Kontaktaufnahmen.

Grüße
Mitglied: Hubert.N
Hubert.N 15.04.2019 um 16:42:07 Uhr
Goto Top
Moin face-smile

Bei "Access is denied" im dcdiag klingelte doch was bei mir...

Schaue mal bitte den folgenden Artikel an: https://support.microsoft.com/en-us/help/2002013/active-directory-replic ...

Gruß

Hubert
Mitglied: Kauzig
Kauzig 16.04.2019 aktualisiert um 13:15:49 Uhr
Goto Top

Bei "Access is denied" im dcdiag klingelte doch was bei mir...

Schaue mal bitte den folgenden Artikel an: https://support.microsoft.com/en-us/help/2002013/active-directory-replic ...


Hallo Hubert,

deine Hilfe schien die Lösung zu sein, nach einem erneuten reboot mit wieder aktivierten Kerberos-Dienst musste ich feststellen, dass der Fehler leider wieder aufgetaucht ist!

LG
Kauzig
Mitglied: Kauzig
Kauzig 17.04.2019 um 13:11:47 Uhr
Goto Top
Ich habe nun den DC2 herabgestuft und anschließend erneut zu einem DC gemacht.

Nun ist der Fehler behoben.


Wie man den Fehler manuell (ohne DC entfernen und hinzufügen) beheben kann weiß ich leider nach wie vor nicht.


Da bei mir der DC nur als Backup verwendet wird mit 3 Usern an dem Standort, war es für mich so durchaus bequemer, als mit einem halb funktionierenden DC ewig für die Fehlersuche zeit aufzuwenden.

Beste Grüße
Kauzig
Mitglied: Dani
Dani 17.04.2019 um 19:11:04 Uhr
Goto Top
Moin,
Ich habe nun den DC2 herabgestuft und anschließend erneut zu einem DC gemacht.
Wichtig wäre trotzdem einen Metadata Cleanup zu machen, bevor man den DC wieder hochstuft. Um evtl. Konflikte aus dem Weg zu gehen.

Wie man den Fehler manuell (ohne DC entfernen und hinzufügen) beheben kann weiß ich leider nach wie vor nicht.
Ein Domain Controller an sich ist ein komplexes Konstrukt. Das kann man in einem Forum so gar nicht leisten. Es gibt mit Kerberos, DFS, Active Directory, etc.. so viele Ansätze. Da wäre es sinnvoll einmal einen Active Directory Grund, Fort- und Expertenkurs zu besuchen. Danach läuft so was einfacher von der Hand.


Gruß,
Dani
Mitglied: Kauzig
Kauzig 17.04.2019 um 20:35:40 Uhr
Goto Top
Hi Dani,

Danke für deine Hinweise!

Sehe ich genau so, habe den DC auch sauber entfernt und metadaten bereinigt.

Bzgl Kurse habe ich besucht, aber wie du sagst sehr komplexe gebilde, die wie ich finde hàufig fehler auswerfen die oft soviele ursachen haben können, dass es oft nicht zu sagen ist woher es stammt, vor allem da manche Microsoft Meldungen wenig mit dem Problem zu tun haben (natürlich nicht alle und häufig auch brauchbar).

Hätte den Fehler auch gerne anders gelöst vor allen in Hinsicht auf die Zukunft um soetwas zu vermeiden bzw. zu wissen wie es zu beheben ist, aber leider ist in der Arbeitswelt oft Zeit ein wesentliches Thema und so muss man dann zur schnellsten Lösung greifen und das Beste hoffen face-sad

Grüße
kauzig