17
SBS 2011 und 2012R2 DC error
Hallo Leute
In diesem kleinen Netzwerk sind ein SBS 2011 und zwei 2012 R2 Server, einer davon ist der Fileserver und der andere wurde vor Monaten als zusätzlicher DC installiert, welcher den SBS ablösen sollte.
Seit diesem Wochenende ist einiges durcheinander, Kerberos bringt Fehler, User können sich unterschiedlich am Server anmelden oder auch nicht, Replizierung der DC's funktioniert nicht etc, Tombstone Meldung.... habe viele Errors in der Ereignisanzeige im Google und hier nachgeprüft, aber so viel gefunden, dass ich den Überblick verloren habe.
Das Ziel ist sowieso den einten 2012er als eigenständigen DC einzurichten inkl. Exchange etc. SBS soll abgeschaltet werden.
Meine Frage an die Experten, welcher Weg wäre hier am besten?
(sagt mir welche Informationen noch gebraucht werden)
1. Replizierung reparieren, Kerberos etc und dann später auf 2012 Migrieren (keine Ahnung wie)
2. Migration auf 2012 nach «Anleitung» durchführen und SBS abschalten (welche Anleitung kann empfohlen werden? habe einige unterschiedliche im Netz gefunden)
3. eine völlig neue Domäne einrichten, frischen Exchange, etc. (je nachdem wie viel defekt ist)
Danke & Gruss
In diesem kleinen Netzwerk sind ein SBS 2011 und zwei 2012 R2 Server, einer davon ist der Fileserver und der andere wurde vor Monaten als zusätzlicher DC installiert, welcher den SBS ablösen sollte.
Seit diesem Wochenende ist einiges durcheinander, Kerberos bringt Fehler, User können sich unterschiedlich am Server anmelden oder auch nicht, Replizierung der DC's funktioniert nicht etc, Tombstone Meldung.... habe viele Errors in der Ereignisanzeige im Google und hier nachgeprüft, aber so viel gefunden, dass ich den Überblick verloren habe.
Das Ziel ist sowieso den einten 2012er als eigenständigen DC einzurichten inkl. Exchange etc. SBS soll abgeschaltet werden.
Meine Frage an die Experten, welcher Weg wäre hier am besten?
(sagt mir welche Informationen noch gebraucht werden)
1. Replizierung reparieren, Kerberos etc und dann später auf 2012 Migrieren (keine Ahnung wie)
2. Migration auf 2012 nach «Anleitung» durchführen und SBS abschalten (welche Anleitung kann empfohlen werden? habe einige unterschiedliche im Netz gefunden)
3. eine völlig neue Domäne einrichten, frischen Exchange, etc. (je nachdem wie viel defekt ist)
Danke & Gruss
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 319180
Url: https://administrator.de/contentid/319180
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Hey,
bitte prüfe folgendes:
1. Die Uhrzeit auf allen DCs darf nicht weiter als 5 min auseinander liegen
2. In der cmd kannst du ausführen
3. Wie sieht es mit DNS aus? Funktioniert die Auflösung mit sauber? Wie sind die DCs untereinander als DNS eingetragen?
bitte prüfe folgendes:
1. Die Uhrzeit auf allen DCs darf nicht weiter als 5 min auseinander liegen
2. In der cmd kannst du
dcdiag3. Wie sieht es mit DNS aus? Funktioniert die Auflösung mit
nslookup
Hi,
Du solltest erst das Problem beheben und dann sauber migrieren.
Wurden FSMO-Rollen vom sbs auf den 2012er verschoben?
Wenn ich dich richtig verstanden habe möchtest du später den Exchange auf dem 2012er Server betreiben der auch DC ist.
Das solltest du unter keinen Umständen tun!
Die weiteren Diagnoseschritte hat @tomolpi bereits genannt
Lg
Du solltest erst das Problem beheben und dann sauber migrieren.
Wurden FSMO-Rollen vom sbs auf den 2012er verschoben?
Wenn ich dich richtig verstanden habe möchtest du später den Exchange auf dem 2012er Server betreiben der auch DC ist.
Das solltest du unter keinen Umständen tun!
Die weiteren Diagnoseschritte hat @tomolpi bereits genannt
Lg
Vielen Dank für die Antwort
die Uhrzeit ist auf beiden servern gleich
dcdiag SBS2011 hat alles bestanden ausser:
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
haben.
nslookup sbs2011 zeigt den eigenen server mit domäne und die ipadresse
dcdiag 2012srv sieht schon einiges anders aus...
FrsEvent hat gleichen Fehler
hier ein Teil von mehreren ähnlichen Fehlern
Starting test: KnowsOfRoleHolders
[sbs2011] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Achtung: sbs2011ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
[SPITEXSBS] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: sbs2011 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Infrastructure Update Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: sbs2011 ist Infrastructure Update Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
......................... Der Test KnowsOfRoleHolders für 2012srv ist fehlgeschlagen.
Starting test: MachineAccount
......................... 2012srv hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... 2012srv hat den Test NCSecDesc bestanden.
Starting test: NetLogons
[2012srv] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs.
Das für diesen Test verwendete Konto muss für die Domäne dieses
Computers über Netwerkanmelderechte verfügen.
......................... Der Test NetLogons für 2012srvist fehlgeschlagen.
Starting test: ObjectsReplicated
......................... 2012srv hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[Replications Check,2012srv] Bei einer kürzlich ausgeführten Replikation ist ein Fehler
aufgetreten:
Von sbs2011 nach 2012srv
Namenskontext: DC=ForestDnsZones,DC=domain,DC=local
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2016-10-26 20:08:36.
Letzter erfolgreicher Vorgang: 2016-10-26 11:08:48.
Seit dem letzten erfolgreichen Vorgang sind 24 Fehler aufgetreten.
Erstellungszeitpunkt: 10/26/2016 20:13:12
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "2012srv$" empfangen
. Der verwendete Zielname war DNS/2012srv.domain.local. Dies deutet darauf hin, dass der Zielserve
r das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Zie
l-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stell
en Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. D
ieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort ü
bereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Ste
llen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Ken
nworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain
.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen bei
den Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Name
n, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:16:48
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:21:49
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:26:49
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
nslookup vom 2012er zeigt auch den sbs2011.domain.local und die sbs IP
vom 2012er server kann ich nicht auf den sbs mit dem namen zugreifen, aber mit der ip sofort, obwohl in der dns die ip und der name drin ist.
auch habe ich das gefühl dass ad & dns auf dem 2012er updatet wird..
Danke & Gruss
p.s. zum exchange und ad zusammen komme ich später
die Uhrzeit ist auf beiden servern gleich
dcdiag SBS2011 hat alles bestanden ausser:
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
haben.
nslookup sbs2011 zeigt den eigenen server mit domäne und die ipadresse
dcdiag 2012srv sieht schon einiges anders aus...
FrsEvent hat gleichen Fehler
hier ein Teil von mehreren ähnlichen Fehlern
Starting test: KnowsOfRoleHolders
[sbs2011] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Achtung: sbs2011ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
[SPITEXSBS] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: sbs2011 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.
Achtung: sbs2011 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.
Achtung: sbs2011 ist Infrastructure Update Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: sbs2011 ist Infrastructure Update Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
......................... Der Test KnowsOfRoleHolders für 2012srv ist fehlgeschlagen.
Starting test: MachineAccount
......................... 2012srv hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... 2012srv hat den Test NCSecDesc bestanden.
Starting test: NetLogons
[2012srv] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs.
Das für diesen Test verwendete Konto muss für die Domäne dieses
Computers über Netwerkanmelderechte verfügen.
......................... Der Test NetLogons für 2012srvist fehlgeschlagen.
Starting test: ObjectsReplicated
......................... 2012srv hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[Replications Check,2012srv] Bei einer kürzlich ausgeführten Replikation ist ein Fehler
aufgetreten:
Von sbs2011 nach 2012srv
Namenskontext: DC=ForestDnsZones,DC=domain,DC=local
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2016-10-26 20:08:36.
Letzter erfolgreicher Vorgang: 2016-10-26 11:08:48.
Seit dem letzten erfolgreichen Vorgang sind 24 Fehler aufgetreten.
Erstellungszeitpunkt: 10/26/2016 20:13:12
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "2012srv$" empfangen
. Der verwendete Zielname war DNS/2012srv.domain.local. Dies deutet darauf hin, dass der Zielserve
r das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Zie
l-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stell
en Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. D
ieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort ü
bereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Ste
llen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Ken
nworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain
.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen bei
den Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Name
n, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:16:48
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:21:49
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 10/26/2016 20:26:49
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war
für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der
Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "D
etails".
nslookup vom 2012er zeigt auch den sbs2011.domain.local und die sbs IP
vom 2012er server kann ich nicht auf den sbs mit dem namen zugreifen, aber mit der ip sofort, obwohl in der dns die ip und der name drin ist.
auch habe ich das gefühl dass ad & dns auf dem 2012er updatet wird..
Danke & Gruss
p.s. zum exchange und ad zusammen komme ich später
Hallo
es wurden damals nur die serverrollen installiert, ad, dns, dhcp, FSMO Rollen sollten nicht verschoben worden sein.
(ich glaube das darf man bei einer migration auf 2012 erst am schluss machen, deswegen)
wenn man die logs oben anschaut ist etwas nicht sauber, wie kann man das repairieren bzw soll ich die serverrollen ad, dns etc wieder deinstallieren?
diesen DC herunterstufen? (nur über serverrollen in der verwaltung oder gäbe es noch was?)
wenn alles wieder sauber ist wieder korrekt installieren? (die leute sollten mind. etwas ruhiger arbeiten können)
Danke & Gruss
es wurden damals nur die serverrollen installiert, ad, dns, dhcp, FSMO Rollen sollten nicht verschoben worden sein.
(ich glaube das darf man bei einer migration auf 2012 erst am schluss machen, deswegen)
wenn man die logs oben anschaut ist etwas nicht sauber, wie kann man das repairieren bzw soll ich die serverrollen ad, dns etc wieder deinstallieren?
diesen DC herunterstufen? (nur über serverrollen in der verwaltung oder gäbe es noch was?)
wenn alles wieder sauber ist wieder korrekt installieren? (die leute sollten mind. etwas ruhiger arbeiten können)
Danke & Gruss
Okay, die DNS Rolle ist auf dem neuen Server installiert? Findest du dort in der DNS Konsole deine Zone(n)?
Auf dem 2012er stellst du in den Netzwerk Konfigs den SBS als DNS ein (ipv4), bei ipv6 lässt du den DNS auf automatisch (der wird gerne bei der Installation der Rolle mitgesetzt).
Auf dem 2012er stellst du in den Netzwerk Konfigs den SBS als DNS ein (ipv4), bei ipv6 lässt du den DNS auf automatisch (der wird gerne bei der Installation der Rolle mitgesetzt).
2012er netzwerkonfig in ipv4 ist 1. dns der sbs und der 2 der 2012er
ipv6 habe ich deaktiviert auf dem sbs und 2012er
in der dns konsole auf dem 2012er sehe ichin der forward zone die domäne und in der reverse die ip
(dieser server wurde mehrere monate lang nicht angefasst, ausser dass der RAS aktiviert wurde)
und seit letzter woche gibt es diese probleme
danke & gruss
ipv6 habe ich deaktiviert auf dem sbs und 2012er
in der dns konsole auf dem 2012er sehe ichin der forward zone die domäne und in der reverse die ip
(dieser server wurde mehrere monate lang nicht angefasst, ausser dass der RAS aktiviert wurde)
und seit letzter woche gibt es diese probleme
danke & gruss
ipv6 habe ich deaktiviert auf dem sbs
Das mach mal direkt wieder rückgängig. Ohne IPv6 läuft ein SBS 2011 nicht sauber.
Hallo
OK, das habe ich gemacht.
Bei der Fehlersuche habe ich es deaktiviert.
Muss der 2012srv auch ipv6 aktiviert haben?
Danke & Gruss
OK, das habe ich gemacht.
Bei der Fehlersuche habe ich es deaktiviert.
Muss der 2012srv auch ipv6 aktiviert haben?
Danke & Gruss
Muss der 2012srv auch ipv6 aktiviert haben?
Hi,
ja! Auf DCs (und Exchange) sollte du v6 nicht deaktiviert werden.
LG
ok, das habe ich jetzt gemacht.
was kann ich noch machen? (das Problem besteht noch)
danke & Gruss
was kann ich noch machen? (das Problem besteht noch)
danke & Gruss
Wurden die Kisten danach mal neu gestartet?
LG
LG
Hallo
SBS & 2012er wurden jetzt neugestartet und das Problem besteht immer noch.
Gruss
SBS & 2012er wurden jetzt neugestartet und das Problem besteht immer noch.
Gruss
Hallo
Habe jetzt bei SBS und 2012 ipv6 aktiviert, wenn ich nslookup ausführe ist der standardserver unknown und irgendeine ipv6 Adresse ist drin.
in den Eigenschaften von ipv6 steht ein wert, soll ich ipv6 automatisch beziehen aktivieren, von wem bekommt er diese?
danke & gruss
Habe jetzt bei SBS und 2012 ipv6 aktiviert, wenn ich nslookup ausführe ist der standardserver unknown und irgendeine ipv6 Adresse ist drin.
in den Eigenschaften von ipv6 steht ein wert, soll ich ipv6 automatisch beziehen aktivieren, von wem bekommt er diese?
danke & gruss
Hallo
Der 2012srv ist eine sehr gute Maschine für die Firmenverhältnisse dl360, 32gb ram etc.
soll ich den DC herunterstufen und mit virtuelle Server drauf installieren sodass DC & Exchange getrennt sind?
was meinst du?
Danke & Gruss
Der 2012srv ist eine sehr gute Maschine für die Firmenverhältnisse dl360, 32gb ram etc.
soll ich den DC herunterstufen und mit virtuelle Server drauf installieren sodass DC & Exchange getrennt sind?
was meinst du?
Danke & Gruss
Ich meinte nicht, dass du ipv6 deaktivieren sollst, nur den DNS Server bei ipv6 auf automatisch. Dieser wird bei der Installation der DNS Rolle automatisch so gesetzt, aber oft fehlt dann eben die Zone für ipv6. Bei ipv4 trägst du die DCs überkreuz ein.
Ich glaube ich werde den schon herunterstufen, da fehlt mir wissen wegen ipv6
Wie sieht eine zone für ipv6 aus?
Wie sieht eine zone für ipv6 aus?
Zitat von @e-tech:
Ich glaube ich werde den schon herunterstufen, da fehlt mir wissen wegen ipv6
Wie sieht eine zone für ipv6 aus?
Ist egal, einfach den ipv6 DNS auf automatisch stellen, dann sollte nslookup sauber sein.Ich glaube ich werde den schon herunterstufen, da fehlt mir wissen wegen ipv6
Wie sieht eine zone für ipv6 aus?
