Ralph_S 11 Geschrieben 2. September 2010 Melden Teilen Geschrieben 2. September 2010 Hallo Community, Ich habe folgendes Problem: Ich habe eine migration von SBS2003 R2 auf 2008 R2 und Exchange 2010 gemacht nach folgendem dokument: Howto: Ablösung eines Windows Small Business Server 2003 inkl. Exchange-Migration Technikblog soweit hat auch alles funktioniert. Die Server sind alle auf Xen Server 5.6 virtualisiert.( HP DL 380, MSA2000 SAN) als noch ein 2ter DL 380 hinzugefügt werden sollte und ein pool erzeugt wurde gab es da probleme mit dem Storage und der musste zurückgesetzt werden. als die Windows Server wieder hochkamen ging keine verbindung mehr zum neuen DC weder vom alten noch zum Exchange. Ich habe bemerkt das sie als Datum vom XEN 25.11.2010 bekommen haben, das Datum habe ich wieder auf den 01.09.2010 zurückgestellt trotzdem keine verbindungen möglich. PEr IP alles wunderbar per \\servername kein zugriff. Fehlermeldung: Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig Wenn ich am betroffenen DC den DNS Server öffnen will sagt der Zugriff verweigert. Am alten DC steht Betriebsmaster Offline Am neuen DC in der Ereignissanzeige habe ich als fehlermeldung folgendes gefunden: Protokollname: System Quelle: Microsoft-Windows-Security-Kerberos Datum: 01.09.2010 16:43:18 Ereignis-ID: 4 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: server.domäne.local Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "server$" empfangen. Der verwendete Zielname war LDAP/server.domäne.local/domäne. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domäne.LOCAL) von der Clientdomäne (domäne.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" /> <EventID Qualifiers="16384">4</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2010-09-01T14:43:18.000000000Z" /> <EventRecordID>2163</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>System</Channel> <Computer>server.domäne.local</Computer> <Security /> </System> <EventData> <Data Name="Server">server$</Data> <Data Name="TargetRealm">domäne.LOCAL</Data> <Data Name="Targetname">LDAP/server.domäne.local/domäne</Data> <Data Name="ClientRealm">domäne.LOCAL</Data> <Binary> </Binary> </EventData> </Event> Hab jetzt schon gegoogelt aber alles was ich finde trifft nur auf windows 2000 zu. Ich hoffe von euch hat einer eine idee was ich machen kann/muss um den fehler zu beheben??? Danke im vorraus Grüße Ralph Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Moin, das Zeitproblem wird die Ursache sein. Es führt dazu, dass die Kerberos-Tickets nicht mehr gültig sind, zudem dürfte der ADSI-Cache dadurch auch ungültig sein. So ein Problem hatte ich schon mal mit vom VM-System falsch verteilter Zeit, aber da ging es nur um Stunden, nicht um Monate. Ich habe keine direkte Anleitung dazu, aber ich würde jetzt alle Server herunterfahren und dann nacheinander wieder hochbringen und bei jeder Maschine zunächst ohne Netzwerkverbindung die Zeit korrigieren; erst dann einzeln online nehmen. Vielleicht hilft das. Hier ein Ergebnis meiner damaligen Recherchen zur Illustration. Damals haben wir die Umgebung komplett neu installiert, nachdem die Host-Zeit korrigiert war ... faq-o-matic.net Zeitprobleme mit VMware bei eigenen NTP-Servern Gruß, Nils Zitieren Link zu diesem Kommentar
Ralph_S 11 Geschrieben 3. September 2010 Autor Melden Teilen Geschrieben 3. September 2010 Danke Nils für die Antwort, hab das Problem gestern abend mit MS lösen können, zuerst musste auf dem SBS Server (alter dc) die Kerberos-Schlüsselverteilung beendet werden dann mit dem Tool Klist (aus den Ressourcekit Tools) die Kerberos Tickets gelöscht werden mit dem Befehl: "klist purge" dannach alle fragen mit y bestätigen. als nächstes mit dem Befehl ausführen: netdom resetpwd /s:server /ud:domain\user /pd:* hiernach den SBS neustarten und das ganze noch mal machen nur mit dem unterschied beim netdom befehl die ip vom neuen dc (/S:ipneuerdc) durchführen. wieder neustart. Im nächsten Schritt wieder die gesammte Prozedur auf dem neuen DC durchführen. Dannach hat alles wieder funktioniert. Grüße Ralph Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. September 2010 Melden Teilen Geschrieben 3. September 2010 Moin, ah, gut zu hören. Vielleicht wäre das auch in meiner Situation ein gangbarer Weg gewesen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.