atti58
Goto Top

Server repliziert nach Abwesenheit nicht mit seinen Partnern

Hallo an das Forum,

ich habe folgendes Problem:

Umgebung: eine Windows SBS / 2008 - Domäne mit fünf Standorten, die über IP-Sec-Tunnel miteinander verbunden sind, in jedem Standort steht ein Domänen-Controller, diese Umgebung lief seit Jahren stabil.

Durch einen Umbau in einer Filiale war der Server ca. 4 Wochen vom Netz genommen, gestern wurde er wieder angeschlossen und hat sich seine Windows Updates vom SBS gezogen und installiert. Als ich versuchte, einen PC in's Netz zu nehmen, bekam dieser keine Verbindung, die gemapten Laufwerke konnten nicht verbunden werden.

Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"

Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl. Wenn ich versuche, auf dem SBS unter "AD-Standorte und Dienste" die Replikation der Server manuell anzustoßen, erhalte ich die Fehlermeldung:

f3e3e49fb53c350906be9dce4cb0e22b

Am Montag müssen in der Filiale 5 PC's laufen, was kann ich tun?

Vielen Dank

Atti

Content-ID: 296016

Url: https://administrator.de/contentid/296016

Ausgedruckt am: 19.12.2024 um 12:12 Uhr

emeriks
emeriks 12.02.2016 um 11:44:48 Uhr
Goto Top
Hi,
der Server ca. 4 Wochen vom Netz genommen
Deinst Du, dass der Server einfach nicht eingeschaltet war oder keinen Kontakt zu den anderen DC's hatte oder hattest Du ihn etwa herabgestuft?
Ich frage wegen Deiner Bemerkung:
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl.
Das irritiert mich.

Falls Du ihn nicht demoted hattest, warum dann das DCPROMO?

Wurde während der Offline-Phase etwas grundlegendes am AD geändert? Standorte und oder Subnetze im AD konfiguriert? Site Links geändert?
Sind die Uhren der DC's synchron?
Atti58
Atti58 12.02.2016 um 11:56:04 Uhr
Goto Top
Hallo,

ich habe alle Rechner und den Server vor vier Wochen sauber heruntergefahren und ausgeschaltet. Gestern ging zuerst der Server wieder in Betrieb, hat sich die Updates gezogen. Da fiel er noch nicht unangenehm auf.

Erst als ich einen PC in's Netz nehmen wollte, merkte ich, dass der Bootvorgang extrem lange dauerte (wegen der gemapten Laufwerke). Als der PC dann online war, ließen sich die Netzlaufwerke nicht verbinden - Berechtigungsprobleme. Darauf habe ich den PC dann aus der Domäne genommen und wollte ihn wieder aufnehmen.

Auf einer Microsoft-Seite fand ich einen Hinweis zu der Fehlermeldung, der auf eine nicht vollständige Replikation hindeutete, deshalb habe ich es mit dcpromo versucht - vollständiger geht ja wohl nicht face-wink ...

Gruß

Atti
emeriks
emeriks 12.02.2016 um 12:02:00 Uhr
Goto Top
Mit DCpromo kann man keine Replikationsproblem diagniostizieren oder gar lösen.

Und die anderen Fragen?
Atti58
Atti58 12.02.2016 um 12:12:52 Uhr
Goto Top
... außer den üblichen Updates wurde nichts geändert, keine neuen Mitglieder oder Benutzer, kein neuer Standort. Die Uhren stimmen überein.

Bei einem dcpromo repliziert sich ein Server mit seinen Partner und das wollte ich durch ein Herab- und anschließendes Heraufstufen erzwingen.
emeriks
emeriks 12.02.2016 aktualisiert um 12:19:14 Uhr
Goto Top
Bei einem dcpromo repliziert sich ein Server mit seinen Partner und das wollte ich durch ein Herab- und anschließendes Heraufstufen erzwingen.
Langsam! Du hast erfolgreich mit DCPROMO den DC zum Member demoted? Und jetzt bekommst Du ihn nicht mehr zum DC promoted.
Habe ich das richtig verstanden?

Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Wobei? Beim Demoten oder beim Promoten?
Atti58
Atti58 12.02.2016 um 12:26:20 Uhr
Goto Top
Der Server ist immer noch ein DC, beim Demoten kam es zu der Fehlermeldung:

Der Vorgang konnte nicht durchgeführt werden. Fehler:

Die Verwaltung der Netzwerksitzung mit SRV100.XXX.local ist fehlgeschlagen.


"Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig."

Aus der Domäne habe ich den angeschlossenen PC genommen, den ich nun nicht mehr aufnehmen kann.
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 12:36:49 Uhr
Goto Top
Führe auf allen DCs repadmin /showrepl aus.
Stelle sicher, dass die anderen DCs nach wie vor sauber replizieren.

Es kann sein, dass der der solange weg war im Nur-Lesen-Modus ist und weder repliziert noch seine AD-DB verändert.
Du kannst auf unorthodoxem Weg so prüfen:

Mit obigem Befehl werden pro Server auch DSA-optionen in einer Zeile angezeigt. IS_GC ist ok. Es kann aber auch sein, dass dort steht
DISABLE_INBOUND_REPL oder DISABLE_OUTBOUND_REPL, was dann bedeutet, dass der Server nicht repliziert und nichts von sich replizieren lässt.

Schau im Ereignislog nach welche Event-IDs auflaufen. Das ist wichtig.
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 13:24:58 Uhr
Goto Top
Auf Basis des Eventlogs ist u.U. feststellbar, warum keine Replikation mehr möglich ist.
Wenn der Server 4 Wochen lang down war, besteht zwar die Chance, dass die Tombstone-Zeit (wann AD-Objekte ungültig werden) noch nicht erreicht ist, aber da die Domäne ja weitergelebt hat, könnte ich mir auch vorstellen, dass der Computer das Passwort seines Computerkontos in der Domäne hätte ändern müssen und dies nicht mehr konnte. Das wäre händisch lösbar, aber nachdem was alles gemacht wurde bin ich nicht mal sicher, ob es besser wäre, die Büchse platt zu machen und aus der Domäne zu werfen.
Atti58
Atti58 12.02.2016 um 13:30:38 Uhr
Goto Top
Die Ausgabe des Befehls auf einem funktionierenden Server (der allerdings nicht der SBS ist - warum auch immer) - der fehlerhafte Server heißt "SRV102":


Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt

Vorwerk\SRV101

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

DSA-Aufrufkennung: 9d90da91-3c06-47b2-859d-502196bce992


EINGEHENDE NACHBARN=====================================


DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:29 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


CN=Configuration,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:29 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


CN=Schema,CN=Configuration,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:11 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:18 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


DC=DomainDnsZones,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:12 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:19 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


DC=ForestDnsZones,DC=XXXX,DC=local

Huttenstrasse\SRV100 ber RPC

DSA-Objekt-GUID: d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6

Letzter Versuch am 2016-02-12 11:05:12 war erfolgreich.

HoheStrasse\SRV103 ber RPC

DSA-Objekt-GUID: 23b073f1-6464-4ba4-aa5c-bf68ade05b74

Letzter Versuch am 2016-02-12 11:05:19 war erfolgreich.

Zwickauer\SRV102 ber RPC

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

Letzter Versuch am 2016-02-12 11:05:30 war erfolgreich.

Karli\SRV104 ber RPC

DSA-Objekt-GUID: 85eb076b-5973-4fd0-ab85-f7a64085737f

Letzter Versuch am 2016-02-12 11:06:07 war erfolgreich.


__________________________________________________________________________________________________________________________

und hier auf dem Server "SRV102", der die Probleme macht:


Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt

Zwickauer\SRV102

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: cf06f2e1-13fb-4830-8ed6-28790d96c663

DSA-Aufrufkennung: 30e05dc5-030a-4a71-993a-c35e8bf036c2


EINGEHENDE NACHBARN=====================================


DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:33.


CN=Configuration,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.


CN=Schema,CN=Configuration,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.


DC=DomainDnsZones,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.


DC=ForestDnsZones,DC=XXXX,DC=local

Vorwerk\SRV101 ber RPC

DSA-Objekt-GUID: 848c9c07-8c5d-48d0-aedf-c484e6019444

Letzter Versuch am 2016-02-12 11:06:44 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.

9 aufeinander folgende Fehler.

Letzte Erfolg um 2016-01-15 07:45:34.


Quelle: Vorwerk\SRV101

* 9 AUFEINANDERFOLGENDE FEHLER seit 2016-01-15 07:45:34

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.


Quelle: HoheStrasse\SRV103

* 82 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 16:51:45

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.


Namenskontext: DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: HoheStrasse\SRV103

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Quelle: Huttenstrasse\SRV100

* 74 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 18:51:57

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.


Namenskontext: DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: Huttenstrasse\SRV100

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Quelle: Karli\SRV104

* 66 AUFEINANDERFOLGENDE FEHLER seit 2016-02-11 20:52:18

Letzter Fehler: -2146893022 (0x80090322):

Der Zielprinzipalname ist falsch.


Namenskontext: DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=DomainDnsZones,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: CN=Configuration,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.


Namenskontext: DC=ForestDnsZones,DC=XXXX,DC=local

Quelle: Karli\SRV104

* WARNUNG: KCC konnte diese REPLIKATVERKNPšFUNG aufgrund eines Fehlers nicht hinzufgen.



... ich bin ziemlich ratlos ...

Atti
Atti58
Atti58 12.02.2016 um 13:36:04 Uhr
Goto Top
... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 13:49:10 Uhr
Goto Top
Zitat von @Atti58:

... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
Nicht auf die Domäne vielleicht, aber auf ihn.

Führ auf dem kaputten bitte noch dcdiag aus.
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 aktualisiert um 13:55:05 Uhr
Goto Top
Und noch was:
Führe auf dem intakten DC aus: netdom query fsmo
Es geht darum herauszufinden, welcher DC die Betriebsmasterrolle inne hat.
emeriks
emeriks 12.02.2016 um 13:57:06 Uhr
Goto Top
Ich tippe auch auf abgelaufenes Computer-Password.
Versuche mal das: https://support.microsoft.com/de-de/kb/325850
Der Artikel bezieht sich zwar auf 2003, funktioniert meines Wissens aber auch für 2008.
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 13:59:30 Uhr
Goto Top
Das funktioniert zwar auch mit 2008 aber für einen DC reicht das nicht.
Er muss den KDC auf der kaputten Büchse runterfahren und deaktivieren, dann die Büchse hochbringen, dann kann er das Kennwort auf diesem Wege setzen, dazu muss er aber den Betriebsmaster kennen und hoffentlich ist das nicht der kaputte.
Atti58
Atti58 12.02.2016 um 14:01:56 Uhr
Goto Top
... das kann ich unmöglich alles posten face-wink ... ich denke aber, dass dass hier:

Starting test: SystemLog

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:47

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv100$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/d96c3b3f-fac6-48b7-a3ee-6256d57fa1c6/XXXX.local@XXXX.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:48

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv104$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/85eb076b-5973-4fd0-ab85-f7a64085737f/XXXX.local@XXXX.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 02/12/2016 12:56:49

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv102$" empfangen. Der verwendete Zielname war LDAP/SRV102. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (XXXX.LOCAL) von der Clientdom„ne (XXXX.LOCAL) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

darauf hindeutet, dass sich das Kennwort geändert hat. Wie könnte ich das händisch lösen?
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 14:06:11 Uhr
Goto Top
Atti58
Atti58 12.02.2016 um 14:07:38 Uhr
Goto Top
Nein der kaputte hat keine Rollen, die hat alle der SBS:

Schemamaster SRV104.XXXX.local
Domänennamen-Master SRV104.XXXX.local
PDC SRV104.XXXX.local
RID-Pool-Manager SRV104.XXXX.local
Infrastrukturmaster SRV104.XXXX.local
Der Befehl wurde ausgeführt.
beidermachtvongreyscull
beidermachtvongreyscull 12.02.2016 um 14:09:53 Uhr
Goto Top
Perfekt. Schau Dir den Link an. Gib den Servernamen des PDCs an.
Atti58
Atti58 14.02.2016 um 17:10:38 Uhr
Goto Top
Danke für den Link, ich habe das ausprobiert, es hat aber leider das Problem nicht gelöst. Dadurch, dass der Server vor dem Herunterfahren ein Domänencontroller war, hat er sich an zu vielen Stellen in's System eingetragen.

Ich habe jetzt mit "ntdsutil" den Eintrag im AD entfernt, das DNS bereinigt und seine Spuren auf den anderen vier DC's (soweit möglich) gelöscht. Nachdem sich die DC's dann repliziert hatten und auf einem Stand waren, ließ sich der Server dan in die Domäne nehmen und wieder zum DC heraufstufen.

Vielen Dank an die Helfer,

Atti
emeriks
emeriks 14.02.2016 um 17:41:27 Uhr
Goto Top
Sehr seltsam. Du schriebst:
Der Server ist immer noch ein DC, beim Demoten kam es zu der Fehlermeldung:
Wenn Du nur die halbe Geschichte erzählst, dann kann man Dir hier auch nicht helfen.

Wenn der Server noch DC war (und Du hier nichts falsches geschrieben hast) und Du ihn mit NTDSUTIL hart aus der Domäne entfernt hast (auf den anderen DC's) - Wie konntest Du ihn dann wieder zum DC der Domäne machen, wo er doch noch DC war? Er selbst hielt sich zu diesem Zeitpunkt ja immer noch für einen DC.

Also entweder hast Du ihn zwischendurch neu installiert oder Du hast auch auf ihm mit NTDSUTIL aufgeräumt (aus seiner Sicht die anderen Server rausgeschmissen) oder Du kennst einen anderen Weg oder Du hast hier falsche Fakten geschrieben. So oder so. Schreib doch einfach Alles die Lösung betreffende hier rein, damit auch noch andere Leser, die vielleicht mal vor dem gleichen Problem stehen, was davon haben.