NilsK 2.930 Geschrieben 13. Dezember 2017 Melden Teilen Geschrieben 13. Dezember 2017 Moin, die SPN-Ausgabe ist unauffällig. Den Funktionslevel kannst du gefahrlos hochstellen, der betrifft nur die DCs untereinander. Einzige Ausnahme ist möglicherweise Exchange (je nach Version), aber das Problem, das du damit haben könntest, hättest du jetzt auch schon aufgrund des 2016er-DCs. Gruß, Nils Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 13. Dezember 2017 Melden Teilen Geschrieben 13. Dezember 2017 Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "marsrv9$" empfangen. Der verwendete Zielname war LDAP/MARSRV9. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschl\'fcsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort f\'fcr das Zieldienstkonto nicht mit dem Kennwort \'fcbereinstimmt, das im Kerberos-KDC (Key Distribution Center) f\'fcr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide f\'fcr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom\'e4ne (Domain Name ersetzt) von der Clientdom\'e4ne (Domain Name ersetzt) unterscheidet, pr\'fcfen Sie, ob sich in diesen beiden Dom\'e4nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.\par Event Source Name: Kerberos Event ID: 16384 Hi, hast Du bei der 2. Abfrage denn "LDAP/MARSRV9" diesen Eintrag auch angezeigt bekommen? So wie ich das ganze verstehe ist der SPN nicht oder doppelt registriert, wenn es zu der Fehlermeldung kommt. https://community.spiceworks.com/topic/277369-security-kerberos-system-event-id-4 Greez Zitieren Link zu diesem Kommentar
Küstennebel 0 Geschrieben 14. Dezember 2017 Autor Melden Teilen Geschrieben 14. Dezember 2017 (bearbeitet) Hi, hast Du bei der 2. Abfrage denn "LDAP/MARSRV9" diesen Eintrag auch angezeigt bekommen? Hier mal die gesamte Ausgabe. Der Server ist registriert. Die Gesamtstruktur "DC=domäne,DC=mbh" wird überprüft. CN=MARSRV9,OU=Domain Controllers,DC=domäne,DC=mbh HOST/marsrv9.domäne.mbh/DOMÄNE RPC/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh GC/marsrv9.domäne.mbh/domäne.mbh HOST/marsrv9.domäne.mbh/domäne.mbh HOST/MARSRV9/DOMÄNE ldap/MARSRV9/DOMÄNE ldap/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh ldap/marsrv9.domäne.mbh/DOMÄNE ldap/MARSRV9 ldap/marsrv9.domäne.mbh ldap/marsrv9.domäne.mbh/ForestDnsZones.domäne.mbh ldap/marsrv9.domäne.mbh/DomainDnsZones.domäne.mbh ldap/marsrv9.domäne.mbh/domäne.mbh DNS/marsrv9.domäne.mbh NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/marsrv9.domäne.mbh E3514235-4B06-11D1-AB04-00C04FC2DCD2/14a8ea97-1b85-4d2f-afc7-a2071757799d/domäne.mbh Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/marsrv9.domäne.mbh TERMSRV/marsrv9.domäne.mbh TERMSRV/MARSRV9 WSMAN/marsrv9.domäne.mbh WSMAN/marsrv9 RestrictedKrbHost/MARSRV9 HOST/MARSRV9 RestrictedKrbHost/marsrv9.domäne.mbh HOST/marsrv9.domäne.mbh Bestehender SPN wurde gefunden. bearbeitet 14. Dezember 2017 von Küstennebel Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. Dezember 2017 Melden Teilen Geschrieben 14. Dezember 2017 Moin, die Einträge sehen OK aus. Hatte der alte DC zufällig denselben Namen wie der neue? Ansonsten gilt weiter: Beobachten. Erst wenn neue Symptome auftreten, kann man dem sinnvoll nachgehen. Gruß, Nils Zitieren Link zu diesem Kommentar
Küstennebel 0 Geschrieben 14. Dezember 2017 Autor Melden Teilen Geschrieben 14. Dezember 2017 Moin Nils, nein, der Alte hatte einen anderen Namen. Heute morgen haben wir ein anderes Phänomen. Einige Rechner können die neuen Windows Updates, die seit gestern verfügbar sind, nicht einspielen. Jeder Rechner updatet sich hier selber. Installation ist immer automatisch abends beim Runterfahren. Einen WSUS gibt es nicht. Wir haben nun gestern mitbekommen, dass sich einige Rechner updaten und andere nicht. Ein manuelles Anstoßen über "Nach Updates suchen" bringt nur die Meldung: "Mit Windows Updates kann derzeit nicht nach Updates gesucht werden, da der Dienst nicht ausgeführt wird. Möglicherweise müssen Sie den Computer neu starten." Die beiden Dienste (Intelligenter Hintergrundübertragungsdienst und Windows Update) laufen aber. Muss nichts mit dem Kerberos Fehler zu tun haben. Nervt aber genauso .... :cry: Gruß Jörg Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Dezember 2017 Melden Teilen Geschrieben 14. Dezember 2017 (bearbeitet) Du solltest dir einen WSUS aufsetzen, damit ist vieles einfacher. Aber das ist ein anderes Thema = neuer Thread. bearbeitet 14. Dezember 2017 von Sunny61 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 14. Dezember 2017 Melden Teilen Geschrieben 14. Dezember 2017 Moin, die SPN Ausgabe sieht super aus. Da weiss ich grad auch nix mehr. Wie Nils schon sagte, im Auge behalten.;-) Der Kryptografiedienst läuft auch auf den Windows 10 Clients. Im Zweifelsfall mal Kontentstore überprüfen. Dism /online /cleanup-image /scanhealth Dism /online /cleanup-image /restorehealth Ich hatte gestern auch Spass mit einem Server 2016 nach Update träge und seltsam. Kontentstore repariert und alles wieder ok. Greez Zitieren Link zu diesem Kommentar
Küstennebel 0 Geschrieben 14. Dezember 2017 Autor Melden Teilen Geschrieben 14. Dezember 2017 Hi Greez, Beim Health Scan im Kontentstore auf dem Server wurden keine Komponentenspeicherbeschädigungen erkannt. Danke und Gruß Jörg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.