W2K3 DC AD Fehlfunktion

[harryhand 10]

Wir haben vier W2K3 Server im AD. Alle sind DC, replizieren untereinander. Ein Server spielt nicht mehr mit, ich habe mal die gängingsten Protokolleinträge angehangen. Die Ursache ist uns nicht bekannt, wir vermuten, dass es nach einer Rücksicherung durch Acronis passiert ist, wobei wir nicht sofort etwas bemerkt haben. Der Server funktioniert weiterhin als Printserver, allerdings verweigert er dann und wann mal den Zugriff, was aber nicht weiter schlimm ist. Man kann auch kein Laufwerk mappen, es sei denn, man gibt die IP an (Namensauflösung scheinbar vollkommen defekt). Der Zugriff auf Freigaben von einem anderen Rechner/Server auf diesen funktioniert tadellos, nur umgekehrt wie gesagt nicht. Hat da jemand einen Tip?

----------------------------------------------------------------------------------------------------

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1053

Datum: 16.03.2006

Zeit: 09:55:44

Benutzer: NT-AUTORITT\SYSTEM

Computer: XXX

Beschreibung:

Der Benutzer oder der Computername kann nicht ermittelt werden. (Der Zielprinzipalname ist falsch. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

 

-----------------------------------------------------------------------------------------------------

Ereignistyp: Fehler

Ereignisquelle: Kerberos

Ereigniskategorie: Keine

Ereigniskennung: 4

Datum: 16.03.2006

Zeit: 09:55:59

Benutzer: Nicht zutreffend

Computer: XXX

Beschreibung:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/XXX.XXX.local" empfangen. Der verwendete Zielname war cifs/XXX.XXX.LOCAL. Dies deutet darauf hin, dass das Kennwort, das zum Verschlsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Hufige Ursache hierfr sind identische Computerkontonamen im Zielbereich (XXX.LOCAL) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

 

Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

[anselmo80 10]

Hallo!

Zufällig mit den Uhrzeiten rumgespielt? Genau das gleiche ist mir letzte Woche passiert.

 

Schau mal hier

 

Ich habe es ohne den angegebenen Patch gelöst, da wir noch kein VPN nutzen. Wenn es bei dir ähnliche Probleme sind, kann ich dir meine genauere Vorgehensweise gerne noch mal schildern.

 

Gruß,

anselmo

[harryhand 10]

Erst einmal vielen Dank für Deine Mühe.

 

 

Ich habe zwar mit den Uhrzeiten nichts gemacht, aber einen Versuch ist es sicher wert. Könntest du mir krz auflisten, welchen Dienst ich auf welchem Server beenden muss und wo bzw. auf wlechem Server der Befehl für die Ticketleerung abgesetzt werden soll?

 

Dabei kann doch den anderen drei, noch funktionierenden Servern nichts passieren?

[anselmo80 10]

Hallo!

Ob dabei mit den anderen nichts passieren kann, kann ich leider nicht versichern. Von unserem Systemhaus habe ich erfahren, dass der Befehl "klist purge" mit Vorsicht eingesetzt werden sollte. Warum weiß ich aber nicht...

Wenn du also keine Probleme bei der Replikation zwischen den DCs oder ähnliches feststellst, kannst du ja auch noch nach einer anderen Lösung suchen.

 

Meine Schritte:

 

Auf dem Server mit den Problemen

1. Kerberos Schlüsselverteilungscenter deaktivieren

2. Server neu starten

3. netdom /resetpwd /s:"PDC-EMULATOR" /ud: DOMÄNE\DOMÄNENADMIN /pd:*

(groß geschriebenes ist entsprechend zu ersetzen)

4. Neu starten

5. Kerberos Schlüsselverteilungscenter

 

Ob die Schritte 1 - 5 wirklich nötig sind weiß ich nicht. Das habe ich vorher im Rahmen eines anderen Lösungsversuchs probiert. Anschließend konnten sich die User aber wieder über die "normalen" Freigaben und nicht über die IP mit den Netz-Laufwerken verbinden.

 

Hier die Schritte die nachher die Replikation wieder in Gang gebracht haben und alle Fehler in dcdiag beseitigt haben.

 

Auf dem DC mit den Problemen...

6. Kerberos Schlüsselverteilungscenter beenden

7. In der Kommandozeile

klist purge

--> für jedes angegebene Ticket das Löschen bestätigen

8. Kerberos Schlüsselverteilungscenter

9. Server neu starten

 

Nach kurzer Zeit sollte im Dateireplikations-Log folgender Eintrag erscheinen:

 

Ereignistyp: Warnung

Ereignisquelle: NtFrs

Ereigniskategorie: Keine

Ereigniskennung: 13509

Datum: 10.03.2006

Zeit: 15:43:38

Benutzer: Nicht zutreffend

Computer: DC2

Beschreibung:

Der Dateireplikationsdienst hat die Replikation von DC1 nach DC2 für

c:\windows\sysvol\domain nach wiederholten Versuchen aktiviert.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

 

Ich hoffe ich konnte dir damit helfen. Eine Garantie kann ich dir leider nicht geben, da ich mir selber nicht 100%ig über die Auswirkungen von klist purge im klaren bin.

[harryhand 10]

Hat leider nicht geklappt, scheint wohl doch eine andere Ursache zu haben. Ich hatte schon mal angedacht, den Server umzubenennen, was ja seit W2K3 möglich ist. danach aus dem AD rauswerfen, und wieder neu einbinden. Meiner Meinung nach ist das schlimsste was passieren kann ein neuer Servername. Die Drucker binden wir per skript ein, wäre also von der Benamsung her nicht das Problem. Wäre das wohl praktikabel?

[Velius 10]

Such mal hier Troubleshooting Kerberos Errors nach KRB_AP_ERR_MODIFIED.

 

 

Gruss

Velius

[harryhand 10]

Das sieht nach schwerer Kost aus. Ich wurschtel mich mal durch und poste demnächst, ob es geklappt hat.

 

Erst einmal vielen Dank.

[anselmo80 10]

Hat leider nicht geklappt

Schade.

 

@Velius

Danke für den Link. Ich denke der kann bei Bedarf sehr sehr hilfreich sein.