Server repliziert nach Abwesenheit nicht mit seinen Partnern

Mitglied: Atti58

Atti58 (Level 3) - Jetzt verbinden

12.02.2016, aktualisiert 11:37 Uhr, 1963 Aufrufe, 20 Kommentare

Hallo an das Forum,

ich habe folgendes Problem:

Umgebung: eine Windows SBS / 2008 - Domäne mit fünf Standorten, die über IP-Sec-Tunnel miteinander verbunden sind, in jedem Standort steht ein Domänen-Controller, diese Umgebung lief seit Jahren stabil.

Durch einen Umbau in einer Filiale war der Server ca. 4 Wochen vom Netz genommen, gestern wurde er wieder angeschlossen und hat sich seine Windows Updates vom SBS gezogen und installiert. Als ich versuchte, einen PC in's Netz zu nehmen, bekam dieser keine Verbindung, die gemapten Laufwerke konnten nicht verbunden werden.

Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"

Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl. Wenn ich versuche, auf dem SBS unter "AD-Standorte und Dienste" die Replikation der Server manuell anzustoßen, erhalte ich die Fehlermeldung:

f3e3e49fb53c350906be9dce4cb0e22b - Klicke auf das Bild, um es zu vergrößern

Am Montag müssen in der Filiale 5 PC's laufen, was kann ich tun?

Vielen Dank

Atti
Mitglied: emeriks
12.02.2016 um 11:44 Uhr
Hi,
der Server ca. 4 Wochen vom Netz genommen
Deinst Du, dass der Server einfach nicht eingeschaltet war oder keinen Kontakt zu den anderen DC's hatte oder hattest Du ihn etwa herabgestuft?
Ich frage wegen Deiner Bemerkung:
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl.
Das irritiert mich.

Falls Du ihn nicht demoted hattest, warum dann das DCPROMO?

Wurde während der Offline-Phase etwas grundlegendes am AD geändert? Standorte und oder Subnetze im AD konfiguriert? Site Links geändert?
Sind die Uhren der DC's synchron?
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 11:56 Uhr
Hallo,

ich habe alle Rechner und den Server vor vier Wochen sauber heruntergefahren und ausgeschaltet. Gestern ging zuerst der Server wieder in Betrieb, hat sich die Updates gezogen. Da fiel er noch nicht unangenehm auf.

Erst als ich einen PC in's Netz nehmen wollte, merkte ich, dass der Bootvorgang extrem lange dauerte (wegen der gemapten Laufwerke). Als der PC dann online war, ließen sich die Netzlaufwerke nicht verbinden - Berechtigungsprobleme. Darauf habe ich den PC dann aus der Domäne genommen und wollte ihn wieder aufnehmen.

Auf einer Microsoft-Seite fand ich einen Hinweis zu der Fehlermeldung, der auf eine nicht vollständige Replikation hindeutete, deshalb habe ich es mit dcpromo versucht - vollständiger geht ja wohl nicht ;-) face-wink ...

Gruß

Atti
Bitte warten ..
Mitglied: emeriks
12.02.2016 um 12:02 Uhr
Mit DCpromo kann man keine Replikationsproblem diagniostizieren oder gar lösen.

Und die anderen Fragen?
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 12:12 Uhr
... außer den üblichen Updates wurde nichts geändert, keine neuen Mitglieder oder Benutzer, kein neuer Standort. Die Uhren stimmen überein.

Bei einem dcpromo repliziert sich ein Server mit seinen Partner und das wollte ich durch ein Herab- und anschließendes Heraufstufen erzwingen.
Bitte warten ..
Mitglied: emeriks
12.02.2016, aktualisiert um 12:19 Uhr
Bei einem dcpromo repliziert sich ein Server mit seinen Partner und das wollte ich durch ein Herab- und anschließendes Heraufstufen erzwingen.
Langsam! Du hast erfolgreich mit DCPROMO den DC zum Member demoted? Und jetzt bekommst Du ihn nicht mehr zum DC promoted.
Habe ich das richtig verstanden?

Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Wobei? Beim Demoten oder beim Promoten?
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 12:26 Uhr
Der Server ist immer noch ein DC, beim Demoten kam es zu der Fehlermeldung:

Der Vorgang konnte nicht durchgeführt werden. Fehler:

Die Verwaltung der Netzwerksitzung mit SRV100.XXX.local ist fehlgeschlagen.


"Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig."

Aus der Domäne habe ich den angeschlossenen PC genommen, den ich nun nicht mehr aufnehmen kann.
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016 um 12:36 Uhr
Führe auf allen DCs repadmin /showrepl aus.
Stelle sicher, dass die anderen DCs nach wie vor sauber replizieren.

Es kann sein, dass der der solange weg war im Nur-Lesen-Modus ist und weder repliziert noch seine AD-DB verändert.
Du kannst auf unorthodoxem Weg so prüfen:

Mit obigem Befehl werden pro Server auch DSA-optionen in einer Zeile angezeigt. IS_GC ist ok. Es kann aber auch sein, dass dort steht
DISABLE_INBOUND_REPL oder DISABLE_OUTBOUND_REPL, was dann bedeutet, dass der Server nicht repliziert und nichts von sich replizieren lässt.

Schau im Ereignislog nach welche Event-IDs auflaufen. Das ist wichtig.
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016 um 13:24 Uhr
Auf Basis des Eventlogs ist u.U. feststellbar, warum keine Replikation mehr möglich ist.
Wenn der Server 4 Wochen lang down war, besteht zwar die Chance, dass die Tombstone-Zeit (wann AD-Objekte ungültig werden) noch nicht erreicht ist, aber da die Domäne ja weitergelebt hat, könnte ich mir auch vorstellen, dass der Computer das Passwort seines Computerkontos in der Domäne hätte ändern müssen und dies nicht mehr konnte. Das wäre händisch lösbar, aber nachdem was alles gemacht wurde bin ich nicht mal sicher, ob es besser wäre, die Büchse platt zu machen und aus der Domäne zu werfen.
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 13:30 Uhr
Die Ausgabe des Befehls auf einem funktionierenden Server (der allerdings nicht der SBS ist - warum auch immer) - der fehlerhafte Server heißt "SRV102":



Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt

Vorwerk\SRV101

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

DSA-Aufrufkennung: 9d90da91-3c06-47b2-859d-502196bce992



==== EINGEHENDE NACHBARN



DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:29 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.



CN=Configuration,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:29 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.



CN=Schema,CN=Configuration,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.



DC=DomainDnsZones,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:12 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:19 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.



DC=ForestDnsZones,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:12 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:19 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


__________________________________________________________________________________________________________________________

und hier auf dem Server "SRV102", der die Probleme macht:



Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt

Zwickauer\SRV102

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

DSA-Aufrufkennung: 30e05dc5-030a-4a71-993a-c35e8bf036c2



==== EINGEHENDE NACHBARN



DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:33.



CN=Configuration,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.



CN=Schema,CN=Configuration,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.



DC=DomainDnsZones,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.



DC=ForestDnsZones,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.



Quelle: Vorwerk\SRV101

* 9 AUFEINANDERFOLGENDE FEHLER seit 2016-01-15 07:45:34

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.



Quelle: HoheStrasse\SRV103

* 82 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 16:51:45

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.



Namenskontext: DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Quelle: Huttenstrasse\SRV100

* 74 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 18:51:57

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.



Namenskontext: DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Quelle: Karli\SRV104

* 66 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 20:52:18

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.



Namenskontext: DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



... ich bin ziemlich ratlos ...

Atti
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 13:36 Uhr
... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016 um 13:49 Uhr
Zitat von @Atti58:

... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
Nicht auf die Domäne vielleicht, aber auf ihn.

Führ auf dem kaputten bitte noch dcdiag aus.
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016, aktualisiert um 13:55 Uhr
Und noch was:
Führe auf dem intakten DC aus: netdom query fsmo
Es geht darum herauszufinden, welcher DC die Betriebsmasterrolle inne hat.
Bitte warten ..
Mitglied: emeriks
12.02.2016 um 13:57 Uhr
Ich tippe auch auf abgelaufenes Computer-Password.
Versuche mal das: https://support.microsoft.com/de-de/kb/325850
Der Artikel bezieht sich zwar auf 2003, funktioniert meines Wissens aber auch für 2008.
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016 um 13:59 Uhr
Das funktioniert zwar auch mit 2008 aber für einen DC reicht das nicht.
Er muss den KDC auf der kaputten Büchse runterfahren und deaktivieren, dann die Büchse hochbringen, dann kann er das Kennwort auf diesem Wege setzen, dazu muss er aber den Betriebsmaster kennen und hoffentlich ist das nicht der kaputte.
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 14:01 Uhr
... das kann ich unmöglich alles posten ;-) face-wink ... ich denke aber, dass dass hier:

Starting test: SystemLog

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:47

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv100$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6/XXXX.local@XXXX.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:48

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv104$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/85eb076b-5973-4fd0-ab85-f7a64085737f/XXXX.local@XXXX.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:49

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv102$" empfangen. Der verwendete Zielname war LDAP/SRV102. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

darauf hindeutet, dass sich das Kennwort geändert hat. Wie könnte ich das händisch lösen?
Bitte warten ..
Mitglied: Atti58
12.02.2016 um 14:07 Uhr
Nein der kaputte hat keine Rollen, die hat alle der SBS:

Schemamaster SRV104.XXXX.local
Domänennamen-Master SRV104.XXXX.local
PDC SRV104.XXXX.local
RID-Pool-Manager SRV104.XXXX.local
Infrastrukturmaster SRV104.XXXX.local
Der Befehl wurde ausgeführt.
Bitte warten ..
Mitglied: beidermachtvongreyscull
12.02.2016 um 14:09 Uhr
Perfekt. Schau Dir den Link an. Gib den Servernamen des PDCs an.
Bitte warten ..
Mitglied: Atti58
14.02.2016 um 17:10 Uhr
Danke für den Link, ich habe das ausprobiert, es hat aber leider das Problem nicht gelöst. Dadurch, dass der Server vor dem Herunterfahren ein Domänencontroller war, hat er sich an zu vielen Stellen in's System eingetragen.

Ich habe jetzt mit "ntdsutil" den Eintrag im AD entfernt, das DNS bereinigt und seine Spuren auf den anderen vier DC's (soweit möglich) gelöscht. Nachdem sich die DC's dann repliziert hatten und auf einem Stand waren, ließ sich der Server dan in die Domäne nehmen und wieder zum DC heraufstufen.

Vielen Dank an die Helfer,

Atti
Bitte warten ..
Mitglied: emeriks
14.02.2016 um 17:41 Uhr
Sehr seltsam. Du schriebst:
Der Server ist immer noch ein DC, beim Demoten kam es zu der Fehlermeldung:
Wenn Du nur die halbe Geschichte erzählst, dann kann man Dir hier auch nicht helfen.

Wenn der Server noch DC war (und Du hier nichts falsches geschrieben hast) und Du ihn mit NTDSUTIL hart aus der Domäne entfernt hast (auf den anderen DC's) - Wie konntest Du ihn dann wieder zum DC der Domäne machen, wo er doch noch DC war? Er selbst hielt sich zu diesem Zeitpunkt ja immer noch für einen DC.

Also entweder hast Du ihn zwischendurch neu installiert oder Du hast auch auf ihm mit NTDSUTIL aufgeräumt (aus seiner Sicht die anderen Server rausgeschmissen) oder Du kennst einen anderen Weg oder Du hast hier falsche Fakten geschrieben. So oder so. Schreib doch einfach Alles die Lösung betreffende hier rein, damit auch noch andere Leser, die vielleicht mal vor dem gleichen Problem stehen, was davon haben.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 16 StundenAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server12 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...