mcdaniels 33 Geschrieben 14. Februar Melden Teilen Geschrieben 14. Februar (bearbeitet) Hallo zusammen, mir ist aufgefallen, dass wir auf 2 Server seit rund einer Woche folgende Einträge haben. DC3 (alle FSMO & GC & DNS) DC4 (nur GC & DNS) Auf srv-dc4.domaene.local ==Auf DC4 (System-Event-Log)== Event ID 4 (Security Kerberos) Der Kerberos Client hat einen KRB_APP_ERR_MODIFIED Fehler von Server "DC4$" empfangen. Der verwendete Zielname war DNS/dc3. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten.... Event ID 5775 Netlogon Die dynamische Löschung für den Eintrag '_gc._tcp.domaene.local 600 IN SRV 0 100 3268 dc4.domaene.local ist auf den folgenden Servern fehlgeschlagen. DNS Server IP: 192.168.10.234 Verbindungsantwortcode RCODE: 5 Zurückgegebener Wert: 9001 Zusätzliche Daten: Fehlerwert: Das Format wurde vom DNS Server nicht erkannt. Benutzeraktion Löschen Sie den Eintrag manuell oder beheben Sie den Fehler... Die dynamische Löschung für den Eintrag 'gc.msdcs.domaene.local 600 IN A 192.168.10.234 ist auf den folgenden Servern fehlgeschlagen. DNS Server IP: 192.168.10.234 Verbindungsantwortcode RCODE: 5 Zurückgegebener Wert: 9001 Zusätzliche Daten: Fehlerwert: Das Format wurde vom DNS Server nicht erkannt. Benutzeraktion Löschen Sie den Eintrag manuell oder beheben Sie den Fehler... Die dynamische Löschung für den Eintrag '_ldap.tcp.gc._msdcs.domaene.local 600 IN SRV 0 100 3268 dc4.domaene.local ist auf den folgenden Servern fehlgeschlagen. DNS Server IP: 192.168.10.234 Verbindungsantwortcode RCODE: 5 Zurückgegebener Wert: 9001 Zusätzliche Daten: Fehlerwert: Das Format wurde vom DNS Server nicht erkannt. Benutzeraktion Löschen Sie den Eintrag manuell oder beheben Sie den Fehler... auf dc3.domaene.local ==Auf DC3 (System Event-Log)== Event ID 4 (Security Kerberos) Der Kerberos Client hat einen KRB_APP_ERR_MODIFIED Fehler von Server "DC3$"" empfangen. Der verwendete Zielname war DNS/dc4.domaene.local Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten.... Ansonsten ist mir auf DC3 noch nichts aufgefallen. Ich habe bereits geschaut ob ich doppelte SPNs habe (mit spn -X) -- auf beiden Servern 0 Doppler gefunden. Nun weiß ich im Moment ehrlich gesagt nicht weiter und hoffe auf euren Input. Beide Server sind Server 2019. Patchstand Jänner 2023 Wie gravierend ist dieses Problem bzw. wichtiger, was könnte ich noch probieren? Vielen Dank! bearbeitet 15. Februar von mcdaniels Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. Februar Melden Teilen Geschrieben 14. Februar Mich irritiert "DNS/dc3.". Prüfe mal auf DC3, ob da der SPN wirklich ohne FQDN eingetragen ist und ob es dort überhaupt einen DNS-SPN gibt. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 14. Februar Autor Melden Teilen Geschrieben 14. Februar vor 47 Minuten schrieb zahni: Mich irritiert "DNS/dc3.". Prüfe mal auf DC3, ob da der SPN wirklich ohne FQDN eingetragen ist und ob es dort überhaupt einen DNS-SPN gibt. Hi, kann gut sein dass ich das beim Abtippen nicht korrekt abgetippt hab. Ging leider nicht anders. Wenn mit dem Eintrag alles passt... Was könnte das denn noch sein? Ich verstehe nicht ganz weshalb das aus dem Nichts aufgetreten ist. Kann leider erst morgen wieder nachschauen... Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.366 Geschrieben 14. Februar Beste Lösung Melden Teilen Geschrieben 14. Februar 1. Wieso abtippen? 2. vor 2 Stunden schrieb mcdaniels: Der Kerberos Client hat einen KRB_APP_ERR_MODIFIED Fehler von Server "DC4$" empfangen. Der verwendete Zielname war DNS/dc3. Das Kennwort, das DC04 in seiner AD-Datenbank für DC03 hat, ist nicht identisch mit dem, das DC03 hat (AD-Replikation in Ordnung?). Oder das krbtgt-Kennwort ist "out of sync". Erster Lösungsansatz: Dienst KDC auf allen DCs außer dem PDC-Emulator deaktivieren und stoppen (!!!), dann alle DCs neu starten außer dem PDC. Dann 10 Minuten warten und KDC auf allen DCs wieder aktivieren und starten. Zweiter Ansatz: DC03 SecureChannel zurücksetzen. Dritter Ansatz: DC03 neu aufbauen. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 14. Februar Autor Melden Teilen Geschrieben 14. Februar (bearbeitet) vor 1 Stunde schrieb daabm: 1. Wieso abtippen? weil ich via VPN und RDP drauf war und die Zwischenablage komplett deaktiviert ist und auf dem DC kein Internetzugang möglich ist. (und da kommt noch Anderes dazu..) vor 1 Stunde schrieb daabm: Das Kennwort, das DC04 in seiner AD-Datenbank für DC03 hat, ist nicht identisch mit dem, das DC03 hat (AD-Replikation in Ordnung?). Repadmin /showreps zeigt erfolgreiche sync. (laufend von beiden Servern) dcdiag meldet an sich auf beiden Servern auch keine Probleme (ist aber vermutlich unabhängig von dem Problem zu sehen) netdom query FSMO scheint auch ok (Das hat aber mit dem nix zu tun, denk ich) Verständnisfrage: Von welchem Kennwort sprechen wir hier? vor 1 Stunde schrieb daabm: Erster Lösungsansatz: Dienst KDC auf allen DCs außer dem PDC-Emulator deaktivieren und stoppen (!!!), dann alle DCs neu starten außer dem PDC. Dann 10 Minuten warten und KDC auf allen DCs wieder aktivieren und starten. Okay, das scheint ja noch halbwegs "ungefährlich". Also bleibts auf DC3 in dem Fall aktiv (der hat ja alle Rollen) und muss auf DC4 deaktiviert und gestoppt werden. Exakt 10 Minuten, oder mindestens 10 Minuten? vor 1 Stunde schrieb daabm: Dritter Ansatz: DC03 neu aufbauen. ...und die Rollen bis dato auf den DC4 verschieben (forced?) und den DC03 dann manuell aus dem AD entfernen? Ich frage mich wie soetwas passieren kann? Es gab 0 Änderungen am System... Das macht mich jetzt doch einigermaßen nervös... und passt mir so gar nicht ins Programm. (ist eh meistens so,dass so etwas zu den unpassendsten Momenten passiert...) Was kann dieser Fehler auslösen? Könnte mir vorstellen, dass ev. bald mal alles stillsteht und nix mehr funktioniert. (in Sachen AD) Danke für eure Hilfe! EDIT: Bin nun nochmals vor Ort und versuche das mit dem KDC disable und stop auf DC4 dann 10 Min warten.... noch 9 Minuten... bearbeitet 14. Februar von mcdaniels Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 14. Februar Autor Melden Teilen Geschrieben 14. Februar (bearbeitet) @zahni Ausgabe von setspn -l für SRV-DC3 setspn -l srv-dc3 Registrierte Dienstprinzipalnamen (SPN) für CN=SRV-DC3,OU=Domain Controllers,DC=domaene,DC=local: VeeamDeploySvc/SRV-DC3 VeeamDeploySvc/SRV-DC3.domaene.local VeeamAgentWindows/SRV-DC3 VeeamAgentWindows/SRV-DC3.domaene.local VeeamTransportSvc/SRV-DC3 VeeamTransportSvc/SRV-DC3.domaene.local DNS/SRV-DC3.domaene.local HOST/SRV-DC3.domaene.local/domaene RPC/2914b23f-b4e1-43da-8f2d-0a74ed797334._msdcs.domaene.local GC/SRV-DC3.domaene.local/domaene.local HOST/SRV-DC3.domaene.local/domaene.local HOST/SRV-DC3/domaene ldap/SRV-DC3/domaene ldap/2914b23f-b4e1-43da-8f2d-0a74ed797334._msdcs.domaene.local ldap/SRV-DC3.domaene.local/domaene ldap/SRV-DC3 ldap/SRV-DC3.domaene.local ldap/SRV-DC3.domaene.local/DomainDnsZones.domaene.local ldap/SRV-DC3.domaene.local/ForestDnsZones.domaene.local ldap/SRV-DC3.domaene.local/domaene.local E3514235-4B06-11D1-AB04-00C04FC2DCD2/2914b23f-b4e1-43da-8f2d-0a74ed797334/domaene.local Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/SRV-DC3.domaene.local TERMSRV/SRV-DC3 TERMSRV/SRV-DC3.domaene.local WSMAN/SRV-DC3 WSMAN/SRV-DC3.domaene.local RestrictedKrbHost/SRV-DC3 HOST/SRV-DC3 RestrictedKrbHost/SRV-DC3.domaene.local HOST/SRV-DC3.domaene.local (habe beim Eröffnungspost das "SRV-" weggelassen) Das ist jetzt aber die Originalausgabe. und die "Originalausgabe" des Eventlog: (copy paste -- nur domäne geändert) Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv-dc3$" empfangen. Der verwendete Zielname war DNS/srv-dc4.domaene.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domaene.local) von der Clientdomäne (domaene.local) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. @daabm Replikation aus Sicht SRV-DC3 ==== EINGEHENDE NACHBARN===================================== DC=domaene,DC=local Firma\SRV-DC4 über RPC DSA-Objekt-GUID: f3834b69-c16f-4790-b2f2-6e196737573c Letzter Versuch am 2024-02-14 21:21:30 war erfolgreich. CN=Configuration,DC=domaene,DC=local Firma\SRV-DC4 über RPC DSA-Objekt-GUID: f3834b69-c16f-4790-b2f2-6e196737573c Letzter Versuch am 2024-02-14 20:49:02 war erfolgreich. CN=Schema,CN=Configuration,DC=domaene,DC=local Firma\SRV-DC4 über RPC DSA-Objekt-GUID: f3834b69-c16f-4790-b2f2-6e196737573c Letzter Versuch am 2024-02-14 20:49:02 war erfolgreich. DC=ForestDnsZones,DC=domaene,DC=local Firma\SRV-DC4 über RPC DSA-Objekt-GUID: f3834b69-c16f-4790-b2f2-6e196737573c Letzter Versuch am 2024-02-14 21:16:50 war erfolgreich. DC=DomainDnsZones,DC=domaene,DC=local Firma\SRV-DC4 über RPC DSA-Objekt-GUID: f3834b69-c16f-4790-b2f2-6e196737573c Letzter Versuch am 2024-02-14 21:16:53 war erfolgreich. Edit: So KDC auf DC4 (NICHT PDC) reaktiviert und gestartet... jetzt wirds dann halt ein bisschen dauern, bis der Fehler wieder aufpoppt (oder auch nicht).... bearbeitet 14. Februar von mcdaniels Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 15. Februar Autor Melden Teilen Geschrieben 15. Februar (bearbeitet) @daabm @zahni DANKE LEUTE, ihr seid ein Hammer! vor 11 Stunden schrieb daabm: Erster Lösungsansatz: Dienst KDC auf allen DCs außer dem PDC-Emulator deaktivieren und stoppen (!!!), dann alle DCs neu starten außer dem PDC. Dann 10 Minuten warten und KDC auf allen DCs wieder aktivieren und starten. Das scheint die Lösung gewesen zu sein. (Nachdem Event ID 4 exakt alle Stunden aufgetreten ist und 5775 alle 4h und jetzt nichts --seit 21:40h gestern- zu finden ist.) bearbeitet 15. Februar von mcdaniels 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 15. Februar Melden Teilen Geschrieben 15. Februar Danke für die Rückmeldung. Kommt bei uns quasi quartalsweise vor (>1000 Domains....), Ursache unbekannt. Aber man gewöhnt sich dran, und es ist schnell und einfach zu beheben. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.