Fabse

Vielen Dank für Eure bisherige Hilfe, seit ich gestern den DC02 nach langen Überlegungen durchgestartet hatte war kein Fehler mehr im DCDIAG Log zu entdecken. Replikas haben ohne Probleme funktioniert. Heute Nacht, bzw. heute morgen trat dann aber wieder das Problem auf. Test KnowsOfRoleHolders und RidManager: PDC Emulator und RID Master sind per LDAP nicht zu erreichen. Fehler "LDAP bind failed with error 8341" erscheint immer von den anderen DC's, hinzu kommt der Replikationsfehler DsBindWithSpnEx() tritt auch noch auf. Beim Test NCSecDesc auf dem DC02 selbst zeigt er an das "LDAP bind failed with error 8341" Dieser Event erscheint immer wieder auf allen DC's. Wir haben insgesamt 4 DC's im Einsatz. Event ID4 Kerberos The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dc04.xxx.xxx.de. The target name used was ldap/ef4973f0-c7bf-4279-879a-888fff5c0c91._msdcs.xxx.de. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (xxx.xxx.DE), and the client realm. Please contact your system administrator. Kann es sein das ich den Secure Channel auf dem DC02 per netdom /resetpwd zurücksetzen muss!? Mir ist bei diesem Befehl auch nicht ganz klar welche Einträge da reseted werden, die Einträge auf dem Server, auf dem der Befehl ausgeführt wird, oder auf dem Server, den ich in der Syntax angebe!? Hatte gestern Abend gedacht das Problem wäre beseitigt, aber da hab ich mich wohl geirrt. .... Mannomann... jetzt habe ich meinen MCSE unter Windows 2003 Server gemacht und kann mir beim Troubleshooting nicht helfen. Wäre super wenn Ihr mir weiterhin noch ein paar Tipps geben könntet. Gruß Fabse

Hi, nochmal ein Zusatz und zwar habe ich jetzt den Primary DNS auf dem DC02 auf sich selbst verwiesen. Die Fehler sind aber immer noch vorhanden. PDC Emulator und RID Master sind per LDAP Bind immer noch nicht erreichbar von den anderen DC's(KnowsOfRoleHolders) und Replikationsfehler DsBindWithSpnEx() tritt auch noch auf. Hmm.... gute Frage ... nächste Frage!? :) Gruß Fabse

Hallo, der DC02 ist auch DNS Server verweisst aber nicht auf sich selber. Stimmt, dies könnte ich noch optimieren. Hast Du sonst noch irgendwelche Fehler gefunden!? Dank Dir für die tatkräftige Unterstützung. Gruß Fabse Windows IP Configuration Host Name . . . . . . . . . . . . : DC02 Primary Dns Suffix . . . . . . . : xxx.xxx.de Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : xxx.de xxx.xxx.de Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . . . . . . . : 00-50-56-B0-47-3E DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.96.66.120 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.96.66.1 DNS Servers . . . . . . . . . . . : 10.96.66.116 10.96.96.116 Primary WINS Server . . . . . . . : 10.96.66.113 Secondary WINS Server . . . . . . : 10.96.96.113 --------------------------------------------------------------------- Windows IP Configuration Host Name . . . . . . . . . . . . : DC04 Primary Dns Suffix . . . . . . . : xxx.xxx.de Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : xxx.xxx.de xxx.de Ethernet adapter Team #0 - Adapter Fault Tolerance Mode: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel® Advanced Network Services Virtual Adapter Physical Address. . . . . . . . . : 00-04-23-A8-6A-A9 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.96.66.116 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.96.66.1 DNS Servers . . . . . . . . . . . : 10.96.66.116 10.96.96.116 Primary WINS Server . . . . . . . : 10.96.66.113 Secondary WINS Server . . . . . . : 10.96.96.113

Hidiho, im Anhang findest Du die Daten der beiden DC's. Gruß Fabse ipconfig_dc02.txt ipconfig_dc04.txt

Hi, es kann sein das für die Umstellung, bzw. Installation des DC04 mal ein Alias erstellt wurde, aber im Moment gibt es keinen Eintrag mehr. Habe gerade erneut unsere DNS Einträge überprüft. SRV, A und PTR Einträge sind korrekt eingerichtet. Per NSLOOKUP kann der DC02 ohne Probleme aufgelöst werden. Danke für Deine Hilfe Gruß Fabse

Hallo olc, vielen Dank für Deine Antwort, ich habe nun den Eintrag des DC02 im DNS in der Reverse Lookup Zone manuell umgestellt. Dies wurde auch an alle anderen DNS Server repliziert, habe nun zwar nicht mehr das Problem, dass ich doppelte Einträge im DNS habe, dafür aber LDAP bind Fehler. Die anderen DC's können sich nicht mehr mit dem DC02 per LDAP verbinden. Vielleicht hilft ja der Auszug aus dem Log von dcdiag weiter!? dcdiag_dc02.txt siehe Anhang Die anderen DC's haben im DCDIAG folgenden Eintrag: dcdiag_dc04.txt siehe Anhang Ich weiss nun nicht ob mir ein Neustart des Servers helfen könnte. Wenn ja gibt es dann kein Problem mit den Rollen, die der DC02 hält!? Habe dann noch auf dem DC02 ein dcdiag /fix gemacht. Dies hat aber zu keiner Änderung geführt. Hast Du eventuell noch eine Idee!? Vielen Dank für Deine Unterstützung :) Gruß Fabse dcdiag_dc02.txt dcdiag_dc04.txt

Hallo Leute, :( wäre super wenn Ihr mir in dieser Sache helfen könntet. :confused: :confused: Ich habe nun seit mehreren Tagen ein Problem mit unserer Kerberos Authentifizierung zwischen zwei DC's. Im Event Log taucht immer wieder die ID 4 auf. Die Replika zwischen den DC's ist in Ordnung, habe dies mit repadmin kontrolliert. Per netdiag /v habe ich die einzelnen DC's durchgecheckt. Es erscheint immer wieder folgender Eintrag: "Check the DNS registration for DCs entries on DNS server '10.96.66.116' The Record is different on DNS server '10.96.66.116'. DNS server has more than one entries for this name, usually this means there are multiple DCs for this domain. Your DC entry is one of them on DNS server '10.96.66.116', no need to re-register. Daraufhin habe ich mir die DNS Einträge der DC's angeschaut und habe zum Erschrecken festgestellt das in der Reverse Lookup Zone 10.x.x.x der DC2, sowie der DC4 mit der gleichen IP Adresse drin steht. Da wurde wohl beim installieren des DC4 etwas vergessen. Dieser hat nämlich die IP Adresse vom DC2 geerbt. Nun treten immer mehr Fehler auf, so auch beim Exchange Server. (Event ID 40960 SPNEGO). Um nun diesen DNS Eintrag ändern zu können muss ich doch sicherlich die Rollen an einen anderen Server übertragen. Er hält gerade die RID Master und PDC Emulator Rolle. Ist das so korrekt!? Ich bin mir nun nicht sicher was passieren würde wenn ich den DNS Eintrag in der Reverse Lookup Zone einfach abändere. Könnt Ihr mir da einen Tipp geben wie ich dies am Besten abändern kann?