7303
Goto Top

Riesen Problem mit Domainencontroller. Brauchen dringen Unterstützung

Folgende Fehlermeldung bekomme ich im Ereignisprotokoll:

1.) Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Die Gruppenrichtlinien sind gar nicht mehr vorhanden, aber warum?


2.) Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/servername.domain.org" empfangen. Der verwendete Zielname war Doamin\Server$. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (E-ZFLTL.ORG) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

?????


3.) Der DNS-Server hat zahlreiche Laufzeitereignisse ermittelt. Untersuchen Sie die Einträge im DNS-Serverereignisprotokoll, die diesen Laufzeitereignissen vorangehen, um die ursprüngliche Ursache dieser Laufzeitereignisse zu ermitteln. Die Daten stellen die Anzahl der Ereignisse dar, die im letzten 60-Minuten-Zeitraum unterdrückt wurden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


4.) Wenn ich versuche von einem Client einen Hostnamen anzupingen, wird als IP Adresse grundlegend 127.0.0.1 (Loopback) aufgelöst. Kann jemand sagen warum das so ist?


5.) In der AD neu eingerichte Nutzeraccounts können sich Anmelden und müssen wir vorgegeben das Passwort ändern. Nachdem dies geschehen ist erfolgt eine Anmeldung.
Allerdings kommt es bei jedem neuen Nutzer vor, dass sein Rechner sich nach unregelmäßiger Zeit mit einem BlackScreen resetet. Anschließend ist ein Login der Users auf seinem Rechner nicht mehr möglich. Ein Login auf andere Rechner funktioniert allerdings.


6.) Nutzer die nach der GPO-definierten Richtlinie ihr Kennwort ändern, sind gemäß Windows Aussage nicht mehr berechtigt, sich an dem Rechner anzumelden. Woran kann das liegen.


Ich weiß es handelt sich hierbei um ein komplexes Thema, aber ich würde euch trotzdem bitten mit mir zu versuchen die Fehler einzugrenzen. Ich komme derzeit einfach nicht weiter. Der Server / die beiden DC die wir im Einsatz haben wurden von mir und einem Kollegen aufgespielt, jedoch am gleichen Tag noch durch ein dritten modifiert(Änderung der IP Adresse des HauptDC's).

Problemfall 5. und 6. sind erst seit letzter Woche vorhanden. Vermutlich wurde durch einem Kollegen eine Änderung an den GPO's vorgenommen (wird das eigentlich protokolliert, falls ja wo?). Seither kann ich in keinster Art und Weise mehr auf die Gruppenrichtlinien zugreifen es wird mir grundsätzlich mitgeteilt, das ich entweder
a) keine Berechtigung für den Zugriff habe
oder
b) der Netzwerkpfad nicht korrekt ist.

Auch wenn die GPO's nicht mehr auffindbar sind, greifen diese grundsätzlich noch (auch bei Neuinstallierten Rechner, die der Domain beitreten).

Vielen dank schon ein mal für eure mühe

Gruß

Andie2409

Content-Key: 32272

Url: https://administrator.de/contentid/32272

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Atti58
Atti58 12.05.2006 um 13:35:50 Uhr
Goto Top
... da hast Du ja eine nette Beschäftigung am Wochenende face-wink ...

Was sagt denn Dein DNS-Server, funktioniert denn nslookup auf Servern und Clients? Poste doch mal ein "ipconfig /all** auf den beiden DC's und einem Client,

Gruß

Atti.
Mitglied: Karo
Karo 12.05.2006 um 15:05:36 Uhr
Goto Top
Da Ihr ja anscheinend hübsch mit Policies bastelt, würde ich zuerst empfehlen mal die Referenz www.gruppenrichtlinien.de zu konsultieren. Ich verweise immer darauf die Default Policies in Ruhe zu lassen. Auf der Site gibt es auch eine Anleitung wie man die Ausgangsconfig der GPOs wiederherstellt. Das wäre sicherlich der erste Antritt ....

Karo

PS: Änderungen an Policies sollten auch nur von einer ausgewählten kleinen Gruppe von Personen vorgenommen werden, die sich IMMER miteinander abstimmen UND die Änderungen nach gemeinsamer Absprache auch ordnungsgemäss dokumentieren.

PS2: Beim Loopback: Nimm mal Netbios over TCP in den WINS Einstellungen des PCs auf disabled und deaktiviere LMHOST
Mitglied: Rafiki
Rafiki 12.05.2006 um 17:35:16 Uhr
Goto Top
Hallo Andie2409
Auch ich wünsche dir ein spannendes Wochenende. Sieh es positiv, du wirst viel lernen. Ich stimme zu: mit einen Group Policy Objekten ? GPO stimmt etwas nicht. Auch euer DNS scheint nicht OK zu sein. Beides deutet darauf hin dass die Kommunikation zwischen euren Domain Controllern nicht zuverlässig arbeitet. Ich vermute dass im Eventlog, bei System und File Replikation viele sich wiederholende Fehler auftauchen. Die Folge davon ist, unter anderem, das es Einträge im Active Directory gibt die nur von einem der beiden Server als gültig gesehen werden. Z.B. ein neuer Benutzer wird an einem der Server angemeldet. Dann kommuniziert der PC von dem Benutzer mit dem anderen Server und der Benutzer wird als ungültig abgewiesen.
Um den Fehler genauer zu untersuchen musst du dir Zeit nehemen und uns (Forum lesende, hilfsbereite Wesen von administrator.de) noch ganz genau erklären was ihr gemacht habt.
Zitat : Der Server / die beiden DC die wir im Einsatz haben wurden von mir und einem Kollegen aufgespielt, jedoch am gleichen Tag noch durch ein dritten modifiziert (Änderung der IP Adresse des HauptDC's).

Hier erst einmal einige Tipps:
Prüfe mit ipconfig /all auf beiden DC ob auch wirklich kein Tippfehler vorliegt. Der DNS Suffix z.B: firma.de entspricht deiner Domain und ist genau so im DNS Serverdienst eingetragen. Jeder DC sollte einen DNS Dienst ausführen und sich selber als DNS Server verwenden.
Mit einem ping server1 bzw. ping server2 können die beiden DC sich selbst erreichen und sich auch gegenseitig erreichen. Der DNS Eintrag darf NICHT auf 127.0.0.1 lauten!
Wenn das ping funktioniert dann prüfe als nächstes das Active Directory. Welcher DC hat welche Rollen (Aufgaben)? http://support.microsoft.com/?id=234790

Zu Punkt 5 und 2
5.) Benutzer werden nach unregelmäßiger Zeit abgemeldet
2.) Kerberos bemängelt identische Computerkontonamen
Ursache dafür könnte sein.
a) ein Domain Controller hat die gleiche SID ? secure id ? hat wie einer der anderen Computer im Active Directory
b) ein anderer PC mit gleichem Namen (z.B. Linux mit Samba) benimmt sich auch wie ein Domain Controller
c) ein Domain Controller wurde kopiert oder vom Backup wieder hergestellt oder existiert doppelt seit dem ihr die virtuelle Maschine kopiert habt. (z.B. VMware)
d) ein Domain Controller konnte sich über die Thoubstone Zeit (default 60 Tage) nicht mit den anderen Domaincontrollern replizieren.

Gruß Rafiki
Mitglied: 7303
7303 13.05.2006 um 19:25:50 Uhr
Goto Top
Ich danke allen schon ein mal für eure Tatkräftige Unterstützung. Ich werde mir alles noch mal anschauen und besagtes posten.
Mitglied: 7303
7303 15.05.2006 um 09:41:45 Uhr
Goto Top
verwunderlich finde ich das die GPO's heute morgen, ohne irgendeine Änderung am Server wieder auffindbar waren face-sad kann sich das jemand erklären.
Mitglied: Atti58
Atti58 15.05.2006 um 11:33:09 Uhr
Goto Top
... sollen wir hier unsere Glaskugel befragen? face-wink ... Wie wär's, wenn Du erst einmal ein paar Fragen beantworten würdest?

Gruß

Atti
Mitglied: IchbinProblematiX
IchbinProblematiX 13.12.2006 um 15:54:39 Uhr
Goto Top
Hi Leute,

ich habe diesen Thread zwar nicht eröffnet, aber letzendlich das selbe bzw. ein ähnliches Problem...
Deshalb bin ich einfach mal so frei, meinen Senf direkt hier rein zuschreiben, mit sehr vielen mehr Infos, als mein Vorschreiber face-smile


Ich würde mich freuen, wenn ihr vielleicht eine Idee hättet, woran es liegt..


Also, folgendes ist passiert:


Folgende Netzwerksituation:
- PDC -> Windows Server 2003 for Small Business
- BDC -> Windows 2000 Server (ehem. PDC)


Bei der Installation des ExchangeServers auf dem PDC ist leider nicht alles so glatt gelaufen.
Jedenfalls musste ich im Zuge dessen den BDC als zweiten Domänencontroller rausnehmen.

Da es sich um ein OEM-Setup des Exchange-Servers handelt, war nochmaliges Starten (wie im Fehler-Dialog angegeben) des Setups zur Vervollständigung nicht möglich. Da letztendlich nur die Neuinstallation bleib, habe ich den PDC auf das gezogene Image von vor der Exchange-Installation zurückgesetzt.

Da ich ja wusste, dass während des Imagens der BDC noch in der Domäne war, habe ich ihn vor dem Rücksetzen des PDCs wieder als Domänencontroller unter selbem Namen eingesetzt, in der Hoffnung, dass dadurch das AD relativ problemlos wieder läuft und den fehlenden BDC nicht moniert...

Inzwischen bin ich fast sicher, dass ich ihn lieber hätte draußen lassen sollen und im Nachhinein per "Metadata Cleanup" entfernen sollen.

Jedenfalls ist das Eventlog flächendeckend Rot mit dem folgenden Fehler: "KRB_AP_ERR_MODIFIED-Fehler"

In der Auflistung an Dingen, die alle schief gelaufen sein könnten und die Rafiki im Mai an meinen Vorschreiber gerichtet hat, steht auch, dass so ein Verhalten nach dem Rücksetzen auf ein Backup der Fall sein kann.... Leider stand eine möglich Lösung nicht gleich dabei, daher bitte ich euch nun um euren Rat.

Gibt es eine Möglichkeit das wieder zum Laufen zu bringen, oder soll ich im Prinzip einfach nochmal auf das Image zurücksetzen und dann per "Metadata Cleanup" den BDC "zum Schweigen" bringen???

Ansonsten noch der Hinweis:
Die Gruppenrichtlinien sind von meiner Seite aus noch nie berührt worden face-smile

Wenn ihr diesbezüglich einen kleinen Tipp für mich hättet, wäre ich euch sehr dankbar...

Ich hoffe auch, dass ich euch so viele Infos über mein Vorgehen an die Hand gegeben habe, wie ihr es auch braucht. Wenn nicht, bitte schnell Bescheid geben... Sobald ich's seh', folgen die Infos.


AN DIESER STELLE SCHON MAL VIELEN DANK IM VORAUS!
... schon alleine für die Zeit, die ich euch stehle!


Gruß ProX
Mitglied: Rafiki
Rafiki 13.12.2006 um 17:56:51 Uhr
Goto Top
Hi ProX

du hast dich an diese urlate frage angehängt. nett das mal jemand erst sucht und dann schreibt. - goßes lob!

bitte poste deine Frage als neue Frage. Nur so wird die Frage gesehen.
ich habe es nur per zufall gerade in meinen inhalten bemerkt.

gerne auch einen link zu diesem thread in der neuen Frage angeben.

Welche EventID haben die roten Einträge, in den ersten 5 min nach einem reboot? -> suche bei eventid.net

Was geht nicht? z.b. neue Benutzer anlegen?

gruß Rafki