Falscher NS Eintrag i.d. Reverse Lookup Zone / Kerberos Event ID4

[Fabse 10]

Hallo Leute, :(

 

wäre super wenn Ihr mir in dieser Sache helfen könntet. :confused: :confused:

 

Ich habe nun seit mehreren Tagen ein Problem mit unserer Kerberos Authentifizierung zwischen zwei DC's.

Im Event Log taucht immer wieder die ID 4 auf.

 

Die Replika zwischen den DC's ist in Ordnung, habe dies mit repadmin kontrolliert.

 

Per netdiag /v habe ich die einzelnen DC's durchgecheckt. Es erscheint immer wieder folgender Eintrag: "Check the DNS registration for DCs entries on DNS server '10.96.66.116'

The Record is different on DNS server '10.96.66.116'.

DNS server has more than one entries for this name, usually this means there are multiple DCs for this domain.

Your DC entry is one of them on DNS server '10.96.66.116', no need to re-register.

 

Daraufhin habe ich mir die DNS Einträge der DC's angeschaut und habe zum Erschrecken festgestellt das in der Reverse Lookup Zone 10.x.x.x der DC2, sowie der DC4 mit der gleichen IP Adresse drin steht.

 

Da wurde wohl beim installieren des DC4 etwas vergessen. Dieser hat nämlich die IP Adresse vom DC2 geerbt.

 

Nun treten immer mehr Fehler auf, so auch beim Exchange Server. (Event ID 40960 SPNEGO).

 

Um nun diesen DNS Eintrag ändern zu können muss ich doch sicherlich die Rollen an einen anderen Server übertragen. Er hält gerade die RID Master und PDC Emulator Rolle. Ist das so korrekt!?

 

Ich bin mir nun nicht sicher was passieren würde wenn ich den DNS Eintrag in der Reverse Lookup Zone einfach abändere.

 

Könnt Ihr mir da einen Tipp geben wie ich dies am Besten abändern kann?

[olc 18]

Hi Fabse und willkommen an Board, :)

 

Du kannst den Eintrag einfach per Hand abändert oder aber den Reverse Lookup Eintrag löschen - einige Zeit später wird er automatisch neu (und damit korrekt) registriert werden.

 

Viele Grüße

olc

[Fabse 10]

Hallo olc,

 

vielen Dank für Deine Antwort, ich habe nun den Eintrag des DC02 im DNS in der Reverse Lookup Zone manuell umgestellt. Dies wurde auch an alle anderen DNS Server repliziert, habe nun zwar nicht mehr das Problem, dass ich doppelte Einträge im DNS habe, dafür aber LDAP bind Fehler. Die anderen DC's können sich nicht mehr mit dem DC02 per LDAP verbinden.

 

Vielleicht hilft ja der Auszug aus dem Log von dcdiag weiter!?

 

dcdiag_dc02.txt siehe Anhang

 

 

Die anderen DC's haben im DCDIAG folgenden Eintrag:

 

dcdiag_dc04.txt siehe Anhang

 

Ich weiss nun nicht ob mir ein Neustart des Servers helfen könnte. Wenn ja gibt es dann kein Problem mit den Rollen, die der DC02 hält!? Habe dann noch auf dem DC02 ein dcdiag /fix gemacht. Dies hat aber zu keiner Änderung geführt.

 

Hast Du eventuell noch eine Idee!?

 

Vielen Dank für Deine Unterstützung :)

 

Gruß Fabse

dcdiag_dc02.txt

dcdiag_dc04.txt

[IThome 10]

Hast Du eventuell DNS-Aliases erstellt (irgendwann mal) ?

[Fabse 10]

Hi,

 

es kann sein das für die Umstellung, bzw. Installation des DC04 mal ein Alias erstellt wurde, aber im Moment gibt es keinen Eintrag mehr. Habe gerade erneut unsere DNS Einträge überprüft. SRV, A und PTR Einträge sind korrekt eingerichtet. Per NSLOOKUP kann der DC02 ohne Probleme aufgelöst werden.

 

Danke für Deine Hilfe

 

Gruß Fabse

[IThome 10]

Poste bitte mal IPCONFIG /ALL beider Server ...

[Fabse 10]

Hidiho,

 

im Anhang findest Du die Daten der beiden DC's.

 

Gruß Fabse

ipconfig_dc02.txt

ipconfig_dc04.txt

[IThome 10]

Würdest Du bitte die Ausgaben via Copy und Paste einfügen, nicht per Anhang (wir schalten solche Anhänge nicht frei) ... :) Ist auf dem DC02 kein DNS-Server installiert ?

[Fabse 10]

Hallo,

 

der DC02 ist auch DNS Server verweisst aber nicht auf sich selber. Stimmt, dies könnte ich noch optimieren. Hast Du sonst noch irgendwelche Fehler gefunden!?

 

Dank Dir für die tatkräftige Unterstützung.

 

Gruß Fabse

 

Windows IP Configuration

 

Host Name . . . . . . . . . . . . : DC02

Primary Dns Suffix . . . . . . . : xxx.xxx.de

Node Type . . . . . . . . . . . . : Hybrid

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

 

DNS Suffix Search List. . . . . . : xxx.de

 

xxx.xxx.de

 

Ethernet adapter Local Area Connection:

 

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

Physical Address. . . . . . . . . : 00-50-56-B0-47-3E

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 10.96.66.120

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 10.96.66.1

DNS Servers . . . . . . . . . . . : 10.96.66.116

10.96.96.116

Primary WINS Server . . . . . . . : 10.96.66.113

Secondary WINS Server . . . . . . : 10.96.96.113

 

---------------------------------------------------------------------

Windows IP Configuration

 

Host Name . . . . . . . . . . . . : DC04

Primary Dns Suffix . . . . . . . : xxx.xxx.de

Node Type . . . . . . . . . . . . : Hybrid

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : xxx.xxx.de

 

xxx.de

 

Ethernet adapter Team #0 - Adapter Fault Tolerance Mode:

 

Connection-specific DNS Suffix . :

 

Description . . . . . . . . . . . : Intel® Advanced Network Services Virtual Adapter

Physical Address. . . . . . . . . : 00-04-23-A8-6A-A9

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 10.96.66.116

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 10.96.66.1

DNS Servers . . . . . . . . . . . : 10.96.66.116

 

10.96.96.116

 

Primary WINS Server . . . . . . . : 10.96.66.113

Secondary WINS Server . . . . . . : 10.96.96.113

[Fabse 10]

Hi,

 

nochmal ein Zusatz und zwar habe ich jetzt den Primary DNS auf dem DC02 auf sich selbst verwiesen. Die Fehler sind aber immer noch vorhanden. PDC Emulator und RID Master sind per LDAP Bind immer noch nicht erreichbar von den anderen DC's(KnowsOfRoleHolders) und Replikationsfehler DsBindWithSpnEx() tritt auch noch auf.

 

Hmm.... gute Frage ... nächste Frage!? :)

 

Gruß Fabse

[IThome 10]

Ich würde erstmal DNS gerade ziehen (notfalls mit der Holzhammermethode):

Die Holzhammermethode:

Beide haben ausschliesslich den DC04 (oder DC02) als primären DNS-Server eingetragen und keinen anderen. Auf dem DC04 (oder DC02) löschst Du alle Einträge unterhalb der Forward Lookupzonen und der Reverse Lookupzone (nicht die Zonen selbst). Dann führst Du auf beiden DCs NETDIAG /FIX und IPCONFIG /REGISTERDNS aus und dann heisst es warten, bis sich die Zonen wieder füllen. Dann prüfst Du mit NETDIAG und DCDIAG auf beiden DCs, ob noch Fehler auftauchen (bitte Ausgaben posten). Wenn alles gerade ist, konfigurierst Du auf DC02 den DC04 als primären DNS und sich selbst als sekundären, auf dem DC04 genau andersrum und dann wieder warten und Ereignisanzeigen kontrollieren ...

[Stephan Betken 43]

Eventuell angelegte Aliase aber vorher notieren, damit man sie wieder anlegen kann bzw. diese gar nicht erst löschen. ;)

[Fabse 10]

Vielen Dank für Eure bisherige Hilfe,

 

seit ich gestern den DC02 nach langen Überlegungen durchgestartet hatte war kein Fehler mehr im DCDIAG Log zu entdecken. Replikas haben ohne Probleme funktioniert. Heute Nacht, bzw. heute morgen trat dann aber wieder das Problem auf.

 

Test KnowsOfRoleHolders und RidManager:

PDC Emulator und RID Master sind per LDAP nicht zu erreichen. Fehler "LDAP bind failed with error 8341" erscheint immer von den anderen DC's, hinzu kommt der Replikationsfehler DsBindWithSpnEx() tritt auch noch auf.

 

Beim Test NCSecDesc auf dem DC02 selbst zeigt er an das "LDAP bind failed with error 8341"

 

Dieser Event erscheint immer wieder auf allen DC's. Wir haben insgesamt 4 DC's im Einsatz. Event ID4 Kerberos

 

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dc04.xxx.xxx.de. The target name used was ldap/ef4973f0-c7bf-4279-879a-888fff5c0c91._msdcs.xxx.de. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (xxx.xxx.DE), and the client realm. Please contact your system administrator.

 

Kann es sein das ich den Secure Channel auf dem DC02 per netdom /resetpwd zurücksetzen muss!?

 

Mir ist bei diesem Befehl auch nicht ganz klar welche Einträge da reseted werden, die Einträge auf dem Server, auf dem der Befehl ausgeführt wird, oder auf dem Server, den ich in der Syntax angebe!?

 

Hatte gestern Abend gedacht das Problem wäre beseitigt, aber da hab ich mich wohl geirrt.

 

....

 

Mannomann... jetzt habe ich meinen MCSE unter Windows 2003 Server gemacht und kann mir beim Troubleshooting nicht helfen.

 

Wäre super wenn Ihr mir weiterhin noch ein paar Tipps geben könntet.

 

Gruß Fabse

[IThome 10]

Das sieht nach doppeltem SPN bzw. einem falschen DNS-Eintrag (z.B. ein Alias für einen alten Server z.B., dessen Computerobjekt sich noch im Verzeichnis befindet) aus ...

http://www.eventid.net/display.asp?eventid=4&eventno=1968&source=Kerberos&phase=1