simonak 10 Geschrieben 27. Juli 2006 Melden Geschrieben 27. Juli 2006 Hallo! Habe folgendes Netzwerk. Einen Haupt-DC an einem Standort mit angeschlossenen XP Clients. An zwei anderen Standorten sind jeweils ein DC an dem wiederum XP Rechner angeschlossen sind. Diese haben eine Verbindung zum Haupt-DC über VPN die auch einwandfrei funktioniert und replizieren sich übers DFS. Nun war aber längere Zeit ein DC an einem Nebenstandort nicht an VPN angeschlossen, ohne das dies bemerkt wurde, solange wurde natürlich auch nicht zwischen diesem Server und den beiden anderen repliziert. Nun kommt es zu folgender Fehlermeldung im Eventvwr: Ereigniskennung: 4 The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/<SERVER>.<DOMAIN>.local. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (<DOMAIN>.LOCAL), and the client realm. Please contact your system administrator. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Das eigentliche Problem ist, ab und zu können sich Rechner nicht an die Domäne anmelden, weil gesagt wird, dass das Konto oder Passwort nicht stimmt, obwohl alles in Ordnung ist. Meist nach einem Neustart funktioniert es dann. Tritt aber immer häufiger auf. Das andere Problem, mit dem DC der länger nicht Verbunden war stimmt auch was nicht. Gehe ich auf Start-Ausführen und gebe \\Haupt-DC ein sagt er auch Benutzername und Kennwort stimmt nicht. Über die IP gehts. Am DNS liegts definitiv nicht, Haupt-DC kann gepingt werden. Aber so repliziert er auch nicht weiter. Habe hier im Forum auch schon einen Lösungsansatz gefunden, der sich gut anhört: http://groups.google.de/group/microsoft.public.windows.server.migration/browse_thread/thread/7bfdbd064796c988/19b2ec4613da373f?lnk=st&q=%22The+kerberos+client+received+a+KRB_AP_ERR_MODIFIED+error+from+%22&rnum=3&hl=de#19b2ec4613da373f Ich komme auch soweit bis ich den Netdom Befehl eingebe. Da meldet er mir aber einen Fehler. Habe dies an dem DC ausgeführt, der länger nicht verbunden war und im Text in der Eingabeaufforderung den Namen vom Haupt-DC genommen. Was mache ich falsch? Habe einen Screenshot angehängt: http://img128.imageshack.us/img128/8271/erthalzp9.jpg Deaktiviere ich den Kerberosdienst an dem Server der länger nicht verbunden war, komme ich kurzfristig wieder normal auf den Haupt-DC drauf. Er repliziert dann auch. Allerdings ist nach ein paar Minuten wieder Schicht im Schacht und alles wie gehabt. Was kann ich tun? Zitieren
phoenixcp 10 Geschrieben 27. Juli 2006 Melden Geschrieben 27. Juli 2006 Schonmal hier geschaut? Vielleicht findet sich da ja was verwertbares, was dich weiterbringt... Zitieren
Velius 10 Geschrieben 27. Juli 2006 Melden Geschrieben 27. Juli 2006 Den/die Client(s) aus der Domäne entfernen und neu anbinden sollte helfen. Wenn der zweite Server immernoch rumzickt müsste man dann noch über ein Demoten/Promoton des DCs nachdenken. Ansonst die von phoenixcp genannten Tipps durchgehen. Zitieren
simonak 10 Geschrieben 27. Juli 2006 Autor Melden Geschrieben 27. Juli 2006 @phoenixcp leider hat da niemand genau mein Problem beschrieben. Jedenfalls keine Lösung dazu. @Velius Rechner aus der Domäne entfernen bringt auch nix. Außerdem sind manche Rechner gar nicht an der Domäne angebunden, die holen dann nur über VPN E-Mail vom Exchange vom Haupt-DC ab. Das ist aber eine andere Geschichte. Ich würde lieber noch einmal auf den netdom Befehl zurückkommen. Ich glaube das könnte funktionieren, wüsste ich was ich falsch mache. Hat damit noch niemand einmal gearbeitet? Dass ich die Passwörter zurücksetzte? Zitieren
Velius 10 Geschrieben 27. Juli 2006 Melden Geschrieben 27. Juli 2006 Ich würde lieber noch einmal auf den netdom Befehl zurückkommen. Ich glaube das könnte funktionieren, wüsste ich was ich falsch mache. Hat damit noch niemand einmal gearbeitet? Dass ich die Passwörter zurücksetzte? ...http://support.microsoft.com/default.aspx?scid=kb;en-us;325850 Zitieren
simonak 10 Geschrieben 27. Juli 2006 Autor Melden Geschrieben 27. Juli 2006 Ja, genau nach dem Artikel hab ich gearbeitet. Dann kam es zu der Fehlermeldung in der Eingabeaufforderung. Zitieren
simonak 10 Geschrieben 31. Juli 2006 Autor Melden Geschrieben 31. Juli 2006 So, habe den netdom Befehl nun wohl richtig ausgeführt. Die Verbindung der 3 Server besteht momentan und alles schaut gut aus. Jetzt hab ich nur eine neue Fehlermeldung, da der eine ReplikationsDC schon länger nicht mehr mit dem Haupt-DC verbunden war. Hier die Meldung in englisch: Event Type: ErrorEvent Source: NTDS Replication Event Category: Replication Event ID: 2042 Date: 7/31/2006 Time: 7:54:00 AM User: NT AUTHORITY\ANONYMOUS LOGON Computer: Description: It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source. The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted. Time of last successful replication: 2006-04-24 09:13:22 Invocation ID of source: 042df6c8-f6b8-042d-0100-000000000000 Name of source: Tombstone lifetime (days): 180 The replication operation has failed. Sprich der eine Replikationsserver repliziert immer noch nicht. Fehlermeldung ist ja an sich klar. Was kann ich da jetzt dagegen tun? Habe irgendwo mal gehört, man könnte einen Registrykey ändern, so dass er das Replizieren wieder anfängt. Aber mit welchen Schwierigkeiten muss ich da dann rechnen? Zitieren
Christoph35 10 Geschrieben 31. Juli 2006 Melden Geschrieben 31. Juli 2006 Und wieder der Verweis auf EventID.net ;) http://www.eventid.net/display.asp?eventid=2042&eventno=3428&source=NTDS%20Replication&phase=1 Christoph Zitieren
Velius 10 Geschrieben 31. Juli 2006 Melden Geschrieben 31. Juli 2006 Ich sagte ja bereits: Demoten/Promoten Zitieren
simonak 10 Geschrieben 31. Juli 2006 Autor Melden Geschrieben 31. Juli 2006 EventID.net hat zwar nicht den passenden Lösungsvorschlag, die Seite sollte ich mir aber mal merken.:) @Velius Demonten/Promoten find ich sehr aufwendig, wenn es auch andere Möglichkeiten noch gibt. Unter der gleichen Fehlermeldung steht noch folgendes: Setzen Sie die Replikation fort. Möglicherweise werden inkonsistent gelöschte Objekte eingeführt. Sie können die Replikation fortsetzen, indem Sie den folgenden Registrierungsschlüssel verwenden. Es wird empfohlen, zur Wiederherstellung des Schutzes den Schlüssel zu entfernen, sobald das System ein Mal repliziert hat.Registrierungsschlüssel: HKLM\System\CurrentControlSet\Services\nTDS\Parameters\Allow Replication With Divergent and Corrupt Partner Weiß darüber evtl. noch einmal jemand etwas? Muss ich einfach nur diesen Registryeintrag anlegen? Als welchen Wert? Sollten gelöschte Objekte wieder auftauchen, soll dies nicht das große Problem sein. Es sollen nur keine Elemente auf einmal fehlen. Habe vorher aber noch einmal eine Sicherung beider Server gemacht. Kann ich das einfach einmal durchführen? Zitieren
thinksimple 10 Geschrieben 3. August 2006 Melden Geschrieben 3. August 2006 hallo simonak, ich habe ein ähnliches Problem. Hat das mit dem REG Eintrag bei dir funktioniert? Auf welchen Rechnern haßt du den Reg Schlüssel den eingetragen? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.