Markus_wien 10 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Hallo liebe Forenteilnehmer, folgende Situation: 1x SBS 2003 (ISA, Exchange, Fileserver) DC (192.168.0) 2x Windows Server 2003 Standard (einer in Deutschland 192.168.1, einer in Rumänien 192.168.5) verbunden über Zywalls (VPN Tunnel). Seit gestern gibt es folgendes Problem: Auf den Clients in den Aussenstellen werden die Anmeldedaten nichtmehr akzeptiert. Dh. Anmelden am Client geht noch, doch sobald man Outlook öffnet bekommt man ein Anmeldefenster. Internet (ISA) genau so. Die (eigentlich richtigen) Anmeldedaten werden nicht akzeptiert. Es erfolgt die Meldung: "Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig" Im selben Moment kommt ein Eintrag unter Sicherheit in der Ereignisanzeige mit folgendem Inhalt: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Domäne: Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Name der Arbeitsstation: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.5.1 Quellport: 0 Weiters gibt es noch folgende Fehlermeldungen am SBS: Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden. Standorte: CN=burghausen,CN=Sites,CN=Configuration,DC=xxx,DC=com sowie Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition ermittelt. Verzeichnispartition: CN=Configuration,DC=xxx,DC=com Es gibt für die Konsistenzprüfung nicht genügend Sitekonnektivitätsinformationen in Active Directory-Standorte und -Dienste, um eine umfassende Gesamtstrukturreplikationstopologie zu erstellen. Oder ein oder mehrere Domänencontroller mit dieser Verzeichnispartition ware nicht in der Lage, die Verzeichnispartitioninformationen zu replizieren. Dies liegt vermutlich an nicht zugreifbaren Domänencontrollern. Benutzeraktion Verwenden Sie Active Directory-Standorte und -Dienste, um eine der folgenden Maßnahmen durchzuführen: - Veröffentlichen Sie genügend Informationen über Standortkonnektivität, so dass die Konsistenzprüfung eine Route ermitteln kann, durch die die Verzeichnispartition diesen Standort erreichen kann. Diese Option wird empfohlen. sowie Der Dateireplikationsdienst konnte die Replikation von BGH-S1 nach S1 für c:\windows\sysvol\domain mit DNS-Namen bgh-s1.xxx.com nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name bgh-s1.xxx.com von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf bgh-s1.xxx.com nicht ausgeführt. [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Für mich sieht das alles nach DNS Problemen aus. Jegliche DNS Abfrage egal in welche Richtung und von welchem Server zu welchem scheint in Ordnung zu sein. Mir ist aufgefallen dass im DNS vom SBS die IPAdressen der Stammhinweise alle auf "unbekannt" standen. Mit einem Klick auf "von server kopieren" habe ich die IP Adressen von einem Anderen DC wieder hergeholt. Auf jedem Server wird ein DNS Server ausgeführt mit AD-integrierten Zonen. Jeder Server hat selbst sich, dann den SBS Server als DNS_Server. Ich kenn mittlerweile fast jede Google Seite zu jeder Fehlermeldung. Weitergebracht hat mich jedoch noch nichts. Für brauchbare Antworten bin ich sehr dankbar, ich hoffe jemand kann mir weiterhelfen. Vielen Dank! Markus aus Wien Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 Ein Ausschnitt DCDiag auf einem DC (der Rest von DCDIAG ist ok): Testing server: burghausen\BGH-S1 Starting test: Replications [Replications Check,BGH-S1] A recent replication attempt failed: From S1 to BGH-S1 Naming Context: DC=ForestDnsZones,DC=xx,DC=com The replication generated an error (1256): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. The failure occurred at 2008-04-15 12:08:01. The last success occurred at 2008-04-14 10:33:00. 102 failures have occurred since the last success. [Replications Check,BGH-S1] A recent replication attempt failed: From S1 to BGH-S1 Naming Context: DC=DomainDnsZones,DC=xx,DC=com The replication generated an error (1256): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. The failure occurred at 2008-04-15 12:08:01. The last success occurred at 2008-04-14 10:33:00. 102 failures have occurred since the last success. [Replications Check,BGH-S1] A recent replication attempt failed: From S1 to BGH-S1 Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=co The replication generated an error (-2146893022): Der Zielprinzipalname ist falsch. The failure occurred at 2008-04-15 12:08:02. The last success occurred at 2008-04-14 10:33:00. 102 failures have occurred since the last success. [Replications Check,BGH-S1] A recent replication attempt failed: From S1 to BGH-S1 Naming Context: CN=Configuration,DC=xx,DC=com The replication generated an error (-2146893022): Der Zielprinzipalname ist falsch. The failure occurred at 2008-04-15 12:08:01. The last success occurred at 2008-04-14 10:32:59. 102 failures have occurred since the last success. [Replications Check,BGH-S1] A recent replication attempt failed: From S1 to BGH-S1 Naming Context: DC=xx,DC=com The replication generated an error (-2146893022): Der Zielprinzipalname ist falsch. The failure occurred at 2008-04-15 12:08:01. The last success occurred at 2008-04-14 10:32:59. 102 failures have occurred since the last success. REPLICATION-RECEIVED LATENCY WARNING BGH-S1: Current time is 2008-04-15 12:18:24. DC=ForestDnsZones,DC=xx,DC=com Last replication recieved from S1 at 2008-04-14 10:33:00. DC=DomainDnsZones,DC=xx,DC=com Last replication recieved from S1 at 2008-04-14 10:33:00. CN=Schema,CN=Configuration,DC=xx,DC=com Last replication recieved from S1 at 2008-04-14 10:33:00. CN=Configuration,DC=xx,DC=com Last replication recieved from S1 at 2008-04-14 10:32:59. DC=xx,DC=com Last replication recieved from S1 at 2008-04-14 10:32:59. REPLICATION-RECEIVED LATENCY WARNING Source site: CN=NTDS Site Settings,CN=wien,CN=Sites,CN=Configuration,DC=ferropan-k ra,DC=com Current time: 2008-04-15 12:18:24 Last update time: 2008-04-14 09:56:21 Check if source site has an elected ISTG running. Check replication from source site to this server. ......................... BGH-S1 passed test Replications Zitieren Link zu diesem Kommentar
nschlueter 10 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Moin, hast Du das mal überprüft? Bestimmen des standortübergreifenden Erstellers (ISTG) der Topologie von einer Site in dem Active Directory Gruß Nils Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Hallo Markus, kannst Du bitte die Event IDs zu den Fehlermeldungen mit posten? Ich vermute, daß es sich bei den KCC Fehlern um 1311, 1566 und 1865 handelt? Sind die Replikationspartner denn per Ping / Tracert (auf den FQDN) erreichbar? Welche Connection Objects sind automatisch vom KCC angelegt? Ggf. könnte es Sinn machen, temporär manuelle Connection Objects einzurichten, bis die Replikation des Config NCs durchgelaufen ist. Danach sollte einer korrekten Topologiebildung nichts im Wege stehen - unter Umständen zieht sich der KCC jedoch auch selbst wieder aus dieser Situation. Vorausgesetzt die Netrzwerkverbindung als solches steht. Wurde an der Netzwerkverbindung oder den DCs irgendetwas verändert, bevor der Fehler auftrat? hast Du das mal überprüft? Bestimmen des standortübergreifenden Erstellers (ISTG) der Topologie von einer Site in dem Active Directory Grundsätzlich richtiger Ansatz, jedoch nützt dem TO das reine bestimmen des ISTG recht wenig. ;) Die Bestimmung geht ab Windows Server 2003 davon einmal abgesehen einfacher, als im Artikel beschrieben: "repadmin /istg" zeigt die ISTG aller Sites an. Viele Grüße olc Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 hallo olc, vielen dank für deine Antwort zu später Stund. Also die Event-IDS kann ich dir leider nicht liefern da die Event Logs jetzt mit anderen Ereignissen voll sind. Durch meine wilde Klickerei befürchte ich hab ich mittlerweile nochmehr kaputt gemacht. Also zurzeit ist es so dass ich von den anderen DCS nicht per \\s1 zugreifen kann, Fehler ist: "Der Zielkontoname ist ungültig" lt. Google Ergebnissen müssen die SystemAccount Passwörter per "netdom resetpwd /user...." zurückgesetzt werden. das habe ich getan, jedoch ohne erfolg. Ereignistyp: Fehler Ereignisquelle: NTDS Replication Ereigniskategorie: Verzeichnisdienst-RPC-Client Ereigniskennung: 2087 Datum: 15.04.2008 Zeit: 23:49:25 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: S1 Beschreibung: Active Directory konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht zu einer IP-Adresse auflösen. Dieser Fehler verhindert die Replizierung von von Hinzufüge- bzw. Löschvorgängen oder Änderungen im Active Directory zwischen einen oder mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen, die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden dadurch inkonsistent zwischen den Domänencontrollern, solange dieser Fehler nicht behoben wird. Eventuell wird auch die Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen, beeinflusst. Quelldomänencontroller: rum-s1 Fehlgeschlagener DNS-Hostname: 932d7ec8-9081-432b-876b-f58007141f0f._msdcs.xx.com Registrierungspfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client Benutzeraktion: dcdiag /test:dns 4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen: dcdiag /test:dns Zusätzliche Daten Fehlerwert: 11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden. >Sind die Replikationspartner denn per Ping / Tracert (auf den FQDN) erreichbar? ja. per hostname und auch per fqdn >Welche Connection Objects sind automatisch vom KCC angelegt? tut mir leid, die Frage vesteh ich nicht. kannst du mir bitte erklären wie ich dir die Antwort auf deine Frage liefere? >Wurde an der Netzwerkverbindung oder den DCs irgendetwas verändert, bevor der Fehler auftrat? Wäre mir nicht bekannt. Vielen Dank für deine MÜhe lg markus Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 Hier noch das Ergebnis von dcdiag /test:dns Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: wien\S1 Starting test: Connectivity ......................... S1 passed test Connectivity Doing primary tests Testing server: wien\S1 DNS Tests are running and not hung. Please wait a few minutes... Running partition tests on : ForestDnsZones Running partition tests on : DomainDnsZones Running partition tests on : Schema Running partition tests on : Configuration Running partition tests on : xx Running enterprise tests on : xx.com Starting test: DNS Test results for domain controllers: DC: s1.xx.com Domain: xx.com TEST: Records registration (RReg) Network Adapter [00000007] Marvell Yukon 88E8050 PCI-E ASF Gi abit Ethernet Controller: Error: Missing A record at DNS server 192.168.0.1 : s1.xx.com Warning: Record Registrations not found in some network adapters Summary of DNS test results: Auth Basc Forw Del Dyn RReg Ext ________________________________________________________________ Domain: xx.com s1 PASS PASS PASS PASS PASS WARN n/a ......................... xx.com passed test DNS Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 hier ist der Eintrag von der Ereignisanzeige wenn man versucht von einem DC auf sen SBS per \\s1 zuzugreifen: Ereignistyp: Fehlerüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 529 Datum: 16.04.2008 Zeit: 00:33:04 Benutzer: NT-AUTORITÄT\SYSTEM Computer: S1 Beschreibung: Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Domäne: Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Name der Arbeitsstation: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.5.1 Quellport: 1793 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Hi Markus, na ja - durch "herumklicken" macht man es natürlich oftmals nur noch schlimmer... :wink2: Mal abgesehen davon, daß es ganz offensichtlich Probleme bezüglich der DNS-Registrierung des DCs gibt (was vielerlei Ursachen haben kann, so auch den zerbrochenen secure channel o.ä.), würde ich mich gar nicht lange damit aufhalten. Soll heißen: Ist es möglich, den DC neu zu promoten? Gruß olc Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 >Soll heißen: Ist es möglich, den DC neu zu promoten? einen von den aussenstellen, oder den sbs? ich habe einen von den aussenstellen bereits herabgestuft, und beim heraufstufen bekomme ich jetzt die meldung dass die logindaten fehlerhaft sind (also die selbe meldung wie bei jeder anderen aktion auch wenn man auf den sbs zugreift). Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 ...auf keinen Fall den SBS demoten. Ich habe es so verstanden, daß die Fehlermeldung nicht beim Zugriff auf den SBS geloggt wird, sondern nur beim Zugriff auf einen der anderen DCs? Es ist immer ein wenig schwierig ein solches Problem mit nur wenigen Daten einzugrenzen. Von daher will ich hier auch keine "Allerweltstipps" geben, die unter Umständen das ganze noch verschlimmbessern. Die Security Events werden auf dem SBS geloggt? Es ist ausgeschlossen, daß das Kennwort falsch ist? Kannst Du Dich mit den Daten direkt am SBS anmelden? Läuft der KDC Dienst? Starte einmal den NETLOGON Dienst oder besser gleich den ganzen SBS neu, wenn Du ein Wartungsfenster dafür hast. Ich glaube man muß das ganze Szenario erst einmal ein wenig ordnen, bevor man vielleicht helfen kann. Viele Grüße olc Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 >Die Security Events werden auf dem SBS geloggt? ja >Es ist ausgeschlossen, daß das Kennwort falsch ist? Kannst Du Dich mit den >Daten direkt am SBS anmelden? ja, anmelden kann ich mich überall. am sbs, auf ALLEN clients, und auch auf den DCS. jedoch im angemeldeten Zustand beginnen die Probleme. Ein Start => ausführen => \\s1 wird negiert mit der Fehlermeldung: Der Dienstkontoname ist ungültig. Bei dieser Variante bekomm ich die Kerberos fehlermeldung im Sicherheit der Ereignisanzeige. Ein Start => ausführen => \\192.168.0.1 funktioniert jedoch. Clients die im Selben Standort sind wie der SBS haben kein Problem. Nur "fremde" Clients die sich an den DCS anmelden, und die DCS selbst auch haben keinen Zugriff auf den SBS. >Läuft der KDC Dienst? ja, auf allen Servern. >Starte einmal den NETLOGON Dienst oder besser gleich den ganzen SBS >neu, wenn Du ein Wartungsfenster dafür hast. die frage ist wie oft noch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Ein Start => ausführen => \\s1 wird negiert mit der Fehlermeldung: Der Dienstkontoname ist ungültig. Bei dieser Variante bekomm ich die Kerberos fehlermeldung im Sicherheit der Ereignisanzeige. Ein Start => ausführen => \\192.168.0.1 funktioniert jedoch. Dann ist scheinbar der Service Principal Name des Systems nicht korrekt registriert. Schau einmal mittels ADSIEdit o.ä. direkt auf dem Computerobjekt von "S1", was Du dort für Attributwerte für den SPN findest. Sind dort mindestens "host/s1.domaene.tld", "host/s1" und ggf. "cifs/s1.domaene.tld", "cifs/s1" angegeben? Wie gesagt, irgend etwas muß passiert sein, daß die Umgebung jetzt einige (sicherlich zusammenhängende) Probleme hat. Ferndiagnose ist da schwer. Clients die im Selben Standort sind wie der SBS haben kein Problem. Nur "fremde" Clients die sich an den DCS anmelden, und die DCS selbst auch haben keinen Zugriff auf den SBS. Dann scheint die Replikation schon eine ganze Weile nicht mehr geklappt zu haben, kann das sein? Führe auf dem SBS und jeweils auf den anderen DCs ein "repadmin /showrepl" und ein "repadmin /relsum" aus und poste den Export (bitte nicht als "QUOTE", sondern als "CODE" ;) ). >Starte einmal den NETLOGON Dienst oder besser gleich den ganzen SBS >neu, wenn Du ein Wartungsfenster dafür hast. die frage ist wie oft noch. Ok, ist also offensichtlich schon passiert. :D An welchen DC wendet sich der demotete DC, wenn er sich wieder promoten will? Schau einmal in das DCPROMO.LOG unterhalb von %SYSTEMROOT%\Debug nach einem DCPROMO-Versuch. Unter Umständen versucht der DC ja einen der Außenstellen-DCs zu erreichen, nicht den SBS. Die Site Links in den AD Sites and Services sind korrekt eingerichtet? Bitte mal als CODE ;) ein repadmin /showism /v posten. Viele Grüße olc Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 Hallo, erstmal tut es mir leid dass ich gequotet statt gecoded hab. Dann ist scheinbar der Service Principal Name des Systems nicht korrekt registriert. Schau einmal mittels ADSIEdit o.ä. direkt auf dem Computerobjekt von "S1", was Du dort für Attributwerte für den SPN findest. Sind dort mindestens "host/s1.domaene.tld", "host/s1" und ggf. "cifs/s1.domaene.tld", "cifs/s1" angegeben? Wärst du bitte so freundlich und erklärst mir wie ich dir die gewünschten Daten liefern kann. Dann scheint die Replikation schon eine ganze Weile nicht mehr geklappt zu haben, kann das sein? Führe auf dem SBS und jeweils auf den anderen DCs ein "repadmin /showrepl" und ein "repadmin /relsum" aus und poste den Export Ergebnis von repadmin /showrepl am SBS: repadmin running command /showrepl against server localhost wien\S1 DC Options: IS_GC Site Options: (none) DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf DC invocationID: b433f5f7-0698-4718-a32f-20562f4a5ebf ==== INBOUND NEIGHBORS ====================================== DC=xxx,DC=com rumaenien\rum-s1 via RPC DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f Last attempt @ 2008-04-16 19:26:42 was successful. CN=Configuration,DC=xxx,DC=com rumaenien\rum-s1 via RPC DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f Last attempt @ 2008-04-16 19:26:42 was successful. CN=Schema,CN=Configuration,DC=xxx,DC=com rumaenien\rum-s1 via RPC DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f Last attempt @ 2008-04-16 19:26:42 was successful. DC=DomainDnsZones,DC=xxx,DC=com rumaenien\rum-s1 via RPC DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f Last attempt @ 2008-04-16 19:26:42 was successful. DC=ForestDnsZones,DC=xxx,DC=com rumaenien\rum-s1 via RPC DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f Last attempt @ 2008-04-16 19:26:42 was successful. Ergebnis von repadmin /replsum am SBS Replication Summary Start Time: 2008-04-16 19:33:35 Beginning data collection for replication summary, this may take awhile: ..... Source DC largest delta fails/total %% error rum-s1 06m:53s 0 / 5 0 S1 02d.09h:10m:54s 5 / 5 100 (2148074274) Can't retri... Destination DC largest delta fails/total %% error rum-s1 02d.09h:10m:54s 5 / 5 100 (2148074274) Can't retri... S1 06m:53s 0 / 5 0 Zitieren Link zu diesem Kommentar
Markus_wien 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 Ergebnis von repadmin /showrepl am DC repadmin running command /showrepl against server localhost rumaenien\rum-s1 DC Options: (none) Site Options: IS_GROUP_CACHING_ENABLED DC object GUID: 932d7ec8-9081-432b-876b-f58007141f0f DC invocationID: d1c370d0-cb78-43c3-9ca2-e416521e3455 ==== INBOUND NEIGHBORS ====================================== DC=xx,DC=com wien\S1 via RPC DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf Last attempt @ 2008-04-16 20:36:38 failed, result -2146893022 (0x8009032 2): Der Zielprinzipalname ist falsch. 233 consecutive failure(s). Last success @ 2008-04-14 11:22:41. CN=Configuration,DC=xx,DC=com wien\S1 via RPC DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf Last attempt @ 2008-04-16 20:36:38 failed, result -2146893022 (0x8009032 2): Der Zielprinzipalname ist falsch. 233 consecutive failure(s). Last success @ 2008-04-14 11:22:42. CN=Schema,CN=Configuration,DC=xx,DC=com wien\S1 via RPC DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf Last attempt @ 2008-04-16 20:36:38 failed, result -2146893022 (0x8009032 2): Der Zielprinzipalname ist falsch. 233 consecutive failure(s). Last success @ 2008-04-14 11:22:42. DC=DomainDnsZones,DC=xx,DC=com wien\S1 via RPC DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf Last attempt @ 2008-04-16 20:36:38 failed, result 1256 (0x4e8): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Be hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. 233 consecutive failure(s). Last success @ 2008-04-14 11:22:42. DC=ForestDnsZones,DC=xx,DC=com wien\S1 via RPC DC object GUID: b433f5f7-0698-4718-a32f-20562f4a5ebf Last attempt @ 2008-04-16 20:36:38 failed, result 1256 (0x4e8): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Be hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. 233 consecutive failure(s). Last success @ 2008-04-14 11:22:42. Source: wien\S1 ******* 232 CONSECUTIVE FAILURES since 2008-04-14 11:22:42 Last error: -2146893022 (0x80090322): Der Zielprinzipalname ist falsch. Ergebnis von repadmin /replsum an einem DC: Replication Summary Start Time: 2008-04-16 20:35:17 Beginning data collection for replication summary, this may take awhile: ..... Source DC largest delta fails/total %% error S1 02d.09h:12m:36s 5 / 5 100 (2148074274) Der Zielpri... Destination DC largest delta fails/total %% error rum-s1 02d.09h:12m:37s 5 / 5 100 (2148074274) Der Zielpri... Experienced the following operational errors trying to retrieve replication info rmation: 8341 - s1.xx.com Den zweiten DC hab ich ja heruntergestuft in meiner Verzweiflung und kann ihn nichtmehr hochstufen da die Anmeldeinformationen vom SBS verweigert werden. Ich denke aber er kommuniziert schon mit dem SBS beim dcpromo da ich am SBS die Ereignisse im log hab für den fehlgeschlagenen Anmeldeversuch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 ...ja, das Bild der Daten paßt zur Beschreibung. Sind zwar noch nicht alle Daten (die kommen vielleicht noch, aber ich bin jetzt mal so frech vorher zu schreiben ;) ), aber eine Nachfrage: Ist der von Dir heruntergestufte DC der "RUM-S1" oder war das ein anderer DC? Fall er es ist - kannst Du mittels NTDSUTIL prüfen, ob er noch in den Metadaten vorhanden ist? Siehe How to remove data in Active Directory after an unsuccessful domain controller demotion - falls auf dem SBS das SBS Server 2003 SP1 installiert ist, ist das recht schmerzlos. Die SPN Daten kannst Du entweder über ADSIEdit, LDP oder LDIFDE ziehen. Am schnellsten sind wir wahrscheinlich mit: ldifde -u -d "CN=S1,OU=Domain Controllers,DC=domain,DC=tld" -f C:\s1.txt Bitte passe den DN des Servers entsprechend Deiner Umgebung im Kommando an. Mal schauen, wie weit wir hier noch per Forum Kommunikation kommen. :D Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.