NTDS KCC und Kerberos Fehler, sowie DNSfehler

[muriati 10]

Hallo, nun bin ich schon seit Tagen am suchen und ausprobieren, komme vom 100stel ins 1000stel aber doch zu keiner Lösung. Vielleicht hat ja einer einen hilfreichen Hinweis für mich.

 

2003 Domäne mit mehreren DC, DNS Servern und Memberservern. Habe vor 4 Wochen den ersten DC 2008 64bit installiert und zur Domäne hinzugefügt. War auch gleich DC und DNS. Schemaerweiterung und alles andere gut gelaufen. Ich musste ihn aus diversen Gründen wieder herabstufen und aus den AD entfernen. Ging auch alles gut. Dann habe ich einen Tag später wieder einen gleichnamigen Server 2003 Standard R2 installiert. Doch seit etwa dem Zeitpunkt habe ich diverse Probleme im Netzwerk. Es kommen NTDS KCC (1925, 1864, 1308) und NTDS Replikationsfehler auf den anderen Servern vor. Die Namensauflösung klappt nicht mehr richtig.

Ich denke, als erstes muss ich auf dem neu installierten DC das DNS hinkriegen.

Mit dcdiag.exe /test:dns habe ich ne Fehlermeldung erhalten:

_________________________________________

DC: server01.domaene.de

Domain: domaene.de

TEST: Basic (Basc)

Warning: adapter [00000012] HP NC7782 Gigabit Server Adapter has invalid DNS server:

192.168.2.212 (<name unavailable>)

 

TEST: Dynamic update (Dyn)

Warning: Dynamic update is enabled on the zone but not secure meine.de.

Summary of test results for DNS servers used by the above domain controllers:

DNS server: 192.168.2.212 (<name unavailable>)

1 test failure on this DNS server

This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the

DNS server 192.168.2.212

Name resolution is not functional. _ldap._tcp.domaene.de. failed on the DNS server

192.168.2.212

Summary of DNS test results:

Auth Basc Forw Del Dyn RReg Ext

_____________________________________________

 

Dann kommen auf diesem Server auch noch Fehler:

Kennung 4: Der Kerberos-Kennwort...identische Computerkontonamen

und

Kennung 5: Client- mit der Serverzeit synchronisiert ....

 

 

Ich bin echt überfordert.

Hat jemand ne Idee, wo ich zuerst anfange?

Vielen Dank.

[olc 18]

Hi muriati,

 

um einen ersten Ansatz zu haben, poste doch bitte einmal die Ausgabe von

ipconfig /all

1x vom PDC-Emulator der Domäne (müßte ein 2003er sein nach Deinen Angaben) und 1x von Deinem neuen 2008er DC.

 

Hast Du mehrere Netzwerkkarten in den DCs oder dem neuen DC verbaut und aktiv?

 

Viele Grüße

olc

[muriati 10]

hi olc, hier die Infos:

Primärer DC

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : server13

Primäres DNS-Suffix . . . . . . . : domaene.de

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : domaene.de

Ethernet-Adapter LAN-Verbindung 6:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter #2

Physikalische Adresse . . . . . . : 00-17-A4-F5-B8-12

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.213

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.205

DNS-Server . . . . . . . . . . . : 192.168.2.213

192.168.2.212

Primärer WINS-Server . . . . . . : 192.168.2.213

Sekundärer WINS-Server . . . . . : 192.168.2.212

192.168.2.204

 

neuer 2003 Server der Probleme macht (ehemals 2008)

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : server01

Primäres DNS-Suffix . . . . . . . : domaene.de

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : domaene.de

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter

Physikalische Adresse . . . . . . : 00-12-79-CD-71-3D

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.212

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.205

DNS-Server . . . . . . . . . . . : 192.168.2.213

192.168.2.212

Primärer WINS-Server . . . . . . : 192.168.2.213

Sekundärer WINS-Server . . . . . : 192.168.2.212

 

Es sind je Server 2 Netzwerkkarten verbaut, aber je nur eine aktiviert. Die andere ist deaktiviert.

Kann es sein, dass es durch das zu schnelle Löschen des alten Servers 2008 und das neu installieren des neuen Servers 2003 zu Namensproblemen in AD kommt? Die Maschinen haben nämlich gleiche Namen (ist ja auch der physisch gleiche Rechner).

 

Danke und Grüße

muriati

[Steven2007 10]

Hallo,

 

Dein DNS-Test deutet darauf hin, dass der DC nicht reverse auflösbar ist, vielleich stimmt der alias von DC-ID zu Computername auch nicht.

Kennung 4 sieht nach AD aus und Kennung 5 nach PDC-Emulator.

 

Betriebsmasterrollen hatte der 2008er ja nie, oder?

Hast du nach dem Durchführen von ADPrep auch eine Weile gewartet, bis alles durchrepliziert wurde?

 

ich würde, wenn ich du wäre, nicht zwanghaft versuchen den DC wieder flott zu bekommen, sonder ihn via dcpromo aus der Domäne entfernen und, einige Stunden später, dann manuell alle Rückstände von ihm aus dem DNS + AD entfernen.

Anschließend kannst du ihn ja neu installieren und wieder in die Domäne aufnehmen.

 

Durch dieses Verfahren schließt du Fehler im OS und im AD+DNS aus. Diese Verfahren macht natürlich nur Sinn, wenn die Domäne sonst TipTop ist und nur der 2008er nicht will...

 

Grüßle

[muriati 10]

Der alte (nicht mehr existierende) 2008 DC hatte den GC. Aber den können ja mehrere DCs haben.

Leider kann ich keine fehlerhaften Einträge im DNS finden! Das ist ja auch eines meiner Probleme. Alle A-Einträge passen zu den IP Adressen!

Das ist die eine Sache...die ich vielleicht mit dem Herabstufen des Servers zum Memberserver OHNE DNS lösen könnte/hoffe.

 

Die andere Sache mit den Fehlern auf den aderen Servern (NTDS KCC, Kerberos und Replikationsfehler) scheint aber zeitlich mit der Installation und Schemaerweiterung von 2008 vor 4 Wochen zu tun zu haben. Diesen Server gibt es ja nun nicht mehr. Weiß jemand, ob die Schemaerweiterung und das Nichtmehrvorhandensein des Servers 2008 damit in Zusammenhang stehen könnte?

 

Vielen Dank

[olc 18]

Hi,

 

wie hast Du den alten DC denn aus der Domäne genommen? Korrekt demotet oder hast Du den einfach außer Betrieb genommen, ohne weitere Aktionen durchzuführen?

 

Ist letzteres der Fall, müßte für diesen alten DC ein METADATA CLEANUP ausgeführt werden. Unter 2008 geht das recht einfach über die AD Users & Computers MMC: Clean up server metadata: Active Directory

 

Dabei wäre zu beachten, daß das unter Umständen nicht ganz so einfach ist, da nun ein DC mit dem selben Namen existiert. Check das einmal ab, ggf. müßtest Du den alten als auch den neuen 2008er DC einmal sauber aus der Domäne entfernen, um ihn dann noch einmal korrekt zu promoten.

 

Die IP-Konfigurationen sehen jedenfalls für den Moment recht gut aus - ich konnte auf den ersten Blick keine Fehler erkennen. Daran sollte es also nicht liegen.

 

Viele Grüße

olc

[muriati 10]

Hi,

ich habe den alten 2008 über dcpromo heruntergestuft und ihn als Memberserver ohne Dienste laufen lassen. Dann gelöscht und noch ne Nacht gewartet!

 

Wie gesagt, dann habe ich am nächsten Tag einen gleichnamigen 2003er installiert. Seit dem hakts immer öfters.

Nun versuche ich den neuen 2003 wieder herabzustufen (da er ja offensichtlich die Probleme macht). Doch leider kommt da die Meldung:

Der Vorgang ist fehlgeschlagen. Fehler:

Active Directory konnte die verbleibenden Daten in der Verzeichnispartition

CN=Schema,CN=Configuration,DC=firma,DC=de nicht zum Domänencontroller Server05.firma.de übertragen.

"Der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen."

-----------------------------------------

Der Vorgang ist fehlgeschlagen. Fehler:

Active Directory konnte die verbleibenden Daten in der Verzeichnispartition

CN=Schema,CN=Configuration,DC=firma,DC=de nicht zum Domänencontroller server03.firma.de übertragen.

"Der RPC-Server ist nicht verfügbar."

------------------------------------------

Der Vorgang ist fehlgeschlagen. Fehler:

Active Directory konnte die verbleibenden Daten in der Verzeichnispartition

CN=Schema,CN=Configuration,DC=firma,DC=de nicht zum Domänencontroller server04.firma.de übertragen.

"Der RPC-Server ist nicht verfügbar."

 

Ich vermute, dass durch die zu schnelle Neuinstallation des Severs das AD noch immer irgendwelche alten Einträge drin hat und diese nun ein ordnungsgemäßes Replizieren des ADs verhindern.

Eigentlich will ich nicht das herabstufen erzwingen ind dann mit metadatacleanup arbeiten. Wer weiß, wass da noch so alles passiert.

 

Danke und Grüße

[Steven2007 10]

Hallo,

 

versuch doch mal manuell eine Replikation zu erzwingen:

 

Active Directory Standorte und Dienste - Doppelklick auf Server - Doppelklick auf NTDS Settings - im rechten Fenste rechtsklick auf die Verbindungen - Jetzt replizieren.

Mach das mal bei allen Servern und allen Settings und guck, ob das Fehlerfrei funktioniert (eventlog).

 

Grüßle

[olc 18]

Hi,

 

wenn Du den alten Server ordentlich demotet hast, dann bleiben keine alten Einträge bestehen. Es sei denn, in der Umgebung gibt es generell Replikationsprobleme.

 

Interessant ist die Meldung "Der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen." Das kann auf einen USN-Rollback, Lingering Objects und auf deaktivierte Inbound-Replikation hindeuten.

 

Hast Du zufällig ein DC Image zurück gesichert, einen VM-Snapshot einen DCs wiederhergestellt oder ähnliches?

 

Ich persönlich würde nun wahrscheinlich den 2003er DC mittels "DCPROMO /FORCEREMOVAL" hart aus der Domäne entfernen, dann ein "METADATA CLEANUP" durchführen (was auf einem 2008er DC direkt über die AD Users & Computers MMC erfolgen kann) und dann die Replikation der weiterhin bestehenden DCs gegenprüfen.

 

Am besten Du führst die Aktionen erst einmal durch und postest hier dann die Ausgaben folgender Kommados, die Du auf einem verbliebenen DC ausführst:

C:\> repadmin /replsum
C:\> repadmin /showrepl /v

Bitte denke an das Datenschutzthema beim Posten der Ausgaben. Weiterhin solltest Du bedenken, daß wir hier nur einen Ausschnitt der Gesamtsituation besprochen haben - also mach vor jeder Aktion bitte valide Backups, um ggf. wieder zurück gehen zu können.

 

Viele Grüße

olc

[muriati 10]

Hallo an Alle,

 

meine Replikation läuft wieder!

Habe auch seit gestern keine nennenswerten Fehler mehr.

Bei meiner Analyse mit dem Programm MPSRPT_DirSvc.EXE, welches 1000 Dinge abcheckt und entsprechende Berichte erstellt, habe ich noch einen DC bei mir im Netz gefunden, wo die Replikation ausgeschaltet wurde! Warum auch immer (mir nicht bekannt).

Dies und die Rückspielung des Systemstatus' des fehlerhaften Servers 2008 von vor 6 Wochen hat wohl die Problematik hervorgerufen.

 

Hier meine Vorgehensweise:

Fehlerhaften Server 2003(Server01) mit dcpromo /forceremoval heruntergestuft.

Metadata cleanup auf dem PDC ausgeführt und den fehlerhaften Server (Server01) entfernt.

Alle DNS Einträge manuell gesucht und gelöscht.

Die Replikation auf dem Server, wo sie ausgeschaltet war, wieder eingeschaltet mit

repadmin /options "Server" -DISABLE_OUTBOUND_REPL

repadmin /options "Server" -DISABLE_INBOUND_REPL

Das Minus vor dem String bedeutet ausschalten und neu starten des Dienstes.

 

Die manuelle Replikation war zwischen den Servern mit dem Fehler "Der Ziel-Prinzipal Name ist falsch." erfolglos.

 

Dann den Kerberos Schlüsselverteilungscenter-Dienst auf dem Server deaktiviert, wo die Replikation ausgeschaltet war. Folgende Aktion auf diesem Server weiterhin ausgeführt: netdom resetpwd /server:Servername /userd:Domänenname\administrator /passwordd:Administratorkennwort

Neustart dieses Servers.

 

Erneute manuelle Replikation mit allen Severn war dann erfolgreich.

 

Heute haben wir den Kerberos Schlüsselverteilungscenter-Dienst auf dem Server, wo die Replizierung ausgeschaltet war, wieder eingeschaltet.

 

Der fehlerhafte Server01 2003, der mit forceremoval heruntergestuft wurde, ist aus der Domäne verschwunden und ist nun in der Arbeitgruppe. Da aber MS davon abrät, diesen Server wieder aufzunehmen, wird er halt platt gemacht. Schade nur, dass dort noch andere Anwendungen drauf liefen (die sind nun auch hin - aber besser die, als das gesamte Netz!).

 

Hier noch ein paar Logs, die diese Fehler zeigten:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server.domaene.de" empfangen. Der verwendete Zielname war ldap/serverPDC.domaene.de/domaene.de@domaene.DE. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist.

_____________________________________

Replication Summary Start Time: 2009-08-25 15:08:26 Beginning data collection for replication summary, this may take awhile: Destination DC largest delta fails/total %% error Server07 03m:45s 0 / 10 0 Server05 48d.04h:20m:03s 9 / 9 100 (8457) Der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen. Server04 48d.01h:09m:57s 3 / 18 16 (8456) Der Quellserver nimmt zurzeit keine Replikationsanforderungen entgegen. Server03 48d.01h:11m:36s 8 / 23 34 (8456) Der Quellserver nimmt zurzeit keine Replikationsanforderungen entgegen. ServerPDC 48d.01h:14m:48s 8 / 23 34 (8456) Der Quellserver nimmt zurzeit keine Replikationsanforderungen entgegen. Experienced the following operational errors trying to retrieve replication information: 58 - server01.domaene.de

 

Also vielen Dank für die hilfreichen Hinweise an Alle!

 

Grüße aus Hessen

muriati

[olc 18]

Hi muriati,

 

schön, daß es nun geklappt hat und danke für die ausführliche Rückmeldung. :)

 

Viele Grüße

olc