rpc-server nicht verfügbar auf Member-Server/Exchange 2013

January 8, 2016, 12:07 am

≫ Next: Fehlerhafter DC1 nach Failover/Failback

≪ Previous: Willkürliche und sporadische User-Kontensperrungen - neue Domäne

Ich habe die Katastrophe definitiv selber verursacht:

Nach dem Versuch auf einem W2012 mit Exchange 2013 auch die DirectAccess-Rolle zu installieren. geht nichts mehr.

Der Assistent lief zunächst nur bis zu einer Fehlermeldung, durch manuelles Abwandeln des Befehls für "Install-RemoteAccess" ging es dann aber letztlich doch weiter.

Nach einem Neustart geht eigentlich nichts mehr. Der Rechner heisst \\NEUEXCHANGE und ist kein Domain-Controller.Hier einige Symptome:

- 3 der Exchange-Dienste verharren im Status "wird gestartet", u.a. Exchange-Einschränkungen; lt. Event-log wird der Dienst immer wieder unerwartet beendet und neu gestartet

- Ich kann per Remote-Desktop auf den Rechner zugreifen

- ich kann auf Freigaben \\NEUEXCHANGE zugreifen

- Ich kann nicht auf andere rechner von NEUEXCHANGE aus zugreifen

- Beim Öffnen verschiedener Verwaltungskonsolen kommt die Meldung die Domäne oder Domänencontroller sei nicht erreichbar.

- netdom query FSMO schlägt auch fehl

- dcdiag /s:<domaincontroller> liefert einen fehler 81 bei der LDAP-Suchfunktion

Ich finde leider keine konkreten Hinweise im Eventlog woran das liegen könnte. Tonnen von Fehlern aus den Exchange-Diesnten sind klar.

Worin könnte Ursache liegen ?

↧

Fehlerhafter DC1 nach Failover/Failback

January 12, 2016, 12:21 am

≫ Next: Domain Join in bestimmte OU

≪ Previous: rpc-server nicht verfügbar auf Member-Server/Exchange 2013

Hallo Technet-Community,

ich beschäftige mich seit Tagen mit einem Problem für das ich bisher keine Lösung gefunden habe, daher wende ich mich mit meiner Frage an dieses Forum und hoffe auf Hinweiße und Tipps, oder Erfahrungen mit einem solchen Problem. Ich versuche das ganze so kurz wie möglich zu halten, wenn zusätzliche Informationen benötigt werden, trage ich diese schnellstmöglich zusammen.

Szenario:

Wir haben auf unserem Gelände zwei Serverräume in denen wir jeweils drei Hyper-V Server auf aktueller HP Hardware betreiben. Der Standort 1 dient als produktive Umgebung, der Standort 2 hält aktuelle Replikate aller Server, unseren zweiten DC und einige "unwichtige" Servicerechner sowie Testmaschinen.

Aufgrund von Bauarbeiten an Standort 1 haben wir einen geplanten Failover auf Standort 2 durchgeführt und wollten nach Abschluss der Bauarbeiten einen Failback auf Standort 1 durchführen. Das hat bei allen Servern auch funktioniert, bis auf unseren ersten DC. Dieser zeigte nach dem Failback einen Bluescreen der auf Probleme mit der AD zurückzuführen ist.

An diesem Punkt haben wir den Fehler gemacht nicht den normalen Recoveryweg über den Verzeichnisdienst-Wiederherstellungsmodus zu gehen, sondern sind mit unserer Backup-Software wieder zurück auf das Failover Replikat gesprungen. An dieser Stelle wurde allerdings nicht der "aktuellen" Zustand gebootet sondern der Prüfpunkt vom Zeitpunkt des ersten Failovers (5 Tage zuvor). Unser erster DC wurde also um 5 Tage zurückgesetz. Anmeldungen über den ersten DC waren nicht mehr möglich, zudem zeigten alle Clients einen Kerberos Fehler (KRB_AP_ERR_MODIFIED Ereignis-ID: 4), DNS Fehler der Art "Fehler beim Registrieren der Hostressourceneinträge" (Quelle DNS Client Events ID 8019) und Fehler beim Verarbeiten der Gruppenrichtlinien (ID 1129).

Ich gehe also davon aus das der erste DC nicht mehr ordnungsgemäß arbeitet. Die Replikationen mit dem zweiten DC schlagen in die ausgehende Richtung fehl und dcdiag zeigt diverse Probleme. (Logs s.u.)

Nun bin ich mir nicht sicher wie das richtige Vorgehen in so einer Situation ist, abgesehen davon das ich mittlerweile weiß das Replikationen und Snapshots für DCs Probleme machen, bin ich leider noch keinen Schritt weiter gekommen.

Die einfachste Lösung erscheint mir zur Zeit etwas in der Art:

If you have another healthy DC with GC then you can proceed like that:

Force demotion of the faulty DC by running dcpromo /forceremoval
Perform a metadata cleanup
Run netdom query fsmo to see if the old DC was an FSMO holder. If yes, resize the FSMO roles that it was holding on another DC
Promote again the DC

Allerdings muss ich zugeben das diese Situation mein Know-How deutlich übersteigt und ich würde gerne ein paar zusätzliche Meinungen haben.

Vielen Dank für jede Form von Hilfe im voraus!

Logs:

dcdiag erster DC:

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:

Der Homeserver wird gesucht...

Homeserver = S1

* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

Server wird getestet: Standardname-des-ersten-Standorts\S1

Starting test: Connectivity

......................... S1 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

Server wird getestet: Standardname-des-ersten-Standorts\S1

Starting test: Advertising

Achtung: Bei dem Versuch, S1 zu erreichen, wurden von DsGetDcName

Informationen für \\S4.domain.local zurückgegeben.

DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.

......................... Der Test Advertising für S1 ist

fehlgeschlagen.

Starting test: FrsEvent

Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge

haben.
......................... S1 hat den Test FrsEvent bestanden.

Starting test: DFSREvent

......................... S1 hat den Test DFSREvent bestanden.

Starting test: SysVolCheck

......................... S1 hat den Test SysVolCheck bestanden.

Starting test: KccEvent

Warnung. Ereignis-ID: 0x800004C0

Erstellungszeitpunkt: 01/12/2016 08:18:37

Ereigniszeichenfolge:

Internal event: An LDAP client connection was closed because of an error.

Warnung. Ereignis-ID: 0x800004C0

Erstellungszeitpunkt: 01/12/2016 08:19:07

Ereigniszeichenfolge:

Internal event: An LDAP client connection was closed because of an error.

......................... S1 hat den Test KccEvent bestanden.

Starting test: KnowsOfRoleHolders

......................... S1 hat den Test KnowsOfRoleHolders

bestanden.

Starting test: MachineAccount

......................... S1 hat den Test MachineAccount bestanden.

Starting test: NCSecDesc

......................... S1 hat den Test NCSecDesc bestanden.

Starting test: NetLogons

Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt

werden. (\\S1\netlogon)

[S1] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der

Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden..

......................... Der Test NetLogons für S1 ist

fehlgeschlagen.

Starting test: ObjectsReplicated

......................... S1 hat den Test ObjectsReplicated bestanden.

Starting test: Replications

[Replikationsüberprüfung, S1] Fehler bei DsReplicaGetInfo(PENDING_OPS,

NULL): 0x2105 "Der Replikationszugriff wurde verweigert."

......................... Der Test Replications für S1 ist

fehlgeschlagen.

Starting test: RidManager

......................... S1 hat den Test RidManager bestanden.

Starting test: Services

Der Dienst NTDS auf S1 konnte nicht geöffnet werden. Fehler: 0x5

"Zugriff verweigert"

......................... Der Test Services für S1 ist fehlgeschlagen.

Starting test: SystemLog

Fehler. Ereignis-ID: 0x0000272C

Erstellungszeitpunkt: 01/12/2016 07:33:54

Ereigniszeichenfolge:

DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "domaints.domain.local" kommunizieren; angefordert von PID 5c8 (C:\Windows\system32\ServerManager.exe).

Fehler. Ereignis-ID: 0x0000272C

Erstellungszeitpunkt: 01/12/2016 07:33:54

......................... Der Test SystemLog für S1 ist

fehlgeschlagen.

Starting test: VerifyReferences

......................... S1 hat den Test VerifyReferences bestanden.

Partitionstests werden ausgeführt auf: ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... ForestDnsZones hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... DomainDnsZones hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Schema

Starting test: CheckSDRefDom

......................... Schema hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... Schema hat den Test CrossRefValidation

bestanden.

Partitionstests werden ausgeführt auf: Configuration

Starting test: CheckSDRefDom

......................... Configuration hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... Configuration hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: domain

Starting test: CheckSDRefDom

......................... domain hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... domain hat den Test CrossRefValidation

bestanden.

Unternehmenstests werden ausgeführt auf: domain.local

Starting test: LocatorCheck

......................... domain.local hat den Test LocatorCheck

bestanden.

Starting test: Intersite

......................... domain.local hat den Test Intersite

bestanden.

/showreps erster DC

Standardname-des-ersten-Standorts\S1

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

DSA-Aufrufkennung: 8dd145e8-c12f-4fc7-a228-3a68b6fd8a49



==== EINGEHENDE NACHBARN=====================================



DC=domain,DC=local

    Standardname-des-ersten-Standorts\S4 über RPC

        DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

        Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich.



CN=Configuration,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S4 über RPC

        DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

        Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich.



CN=Schema,CN=Configuration,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S4 über RPC

        DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

        Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich.



DC=DomainDnsZones,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S4 über RPC

        DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

        Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich.



DC=ForestDnsZones,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S4 über RPC

        DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

        Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich.

DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):

    Der Replikationszugriff wurde verweigert.

DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):

    Der Replikationszugriff wurde verweigert.

dcdiag zweiter DC:

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:

Der Homeserver wird gesucht...

Homeserver = S4

* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

Server wird getestet: Standardname-des-ersten-Standorts\S4

Starting test: Connectivity

......................... S4 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

Server wird getestet: Standardname-des-ersten-Standorts\S4

Starting test: Advertising

......................... S4 hat den Test Advertising bestanden.

Starting test: FrsEvent

Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge

haben.
......................... S4 hat den Test FrsEvent bestanden.

Starting test: DFSREvent

......................... S4 hat den Test DFSREvent bestanden.

Starting test: SysVolCheck

......................... S4 hat den Test SysVolCheck bestanden.

Starting test: KccEvent

......................... S4 hat den Test KccEvent bestanden.

Starting test: KnowsOfRoleHolders

[S1] DsBindWithSpnEx()-Fehler -2146893022,

Der Zielprinzipalname ist falsch..
Achtung: S1 ist Schema Owner, reagiert jedoch nicht auf die

DS-RPC-Bindung.

[S1] LDAP-Bindungsfehler 8341,

Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: S1 ist Schema Owner, reagiert jedoch nicht auf die

LDAP-Bindung.

Achtung: S1 ist Domain Owner, reagiert jedoch nicht auf die

DS-RPC-Bindung.

Achtung: S1 ist Domain Owner, reagiert jedoch nicht auf die

LDAP-Bindung.

Achtung: S1 ist PDC Owner, reagiert jedoch nicht auf die

DS-RPC-Bindung.

Achtung: S1 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.

Achtung: S1 ist Rid Owner, reagiert jedoch nicht auf die

DS-RPC-Bindung.

Achtung: S1 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung.

Achtung: S1 ist Infrastructure Update Owner, reagiert jedoch nicht auf

die DS-RPC-Bindung.

Achtung: S1 ist Infrastructure Update Owner, reagiert jedoch nicht auf

die LDAP-Bindung.

......................... Der Test KnowsOfRoleHolders für S4 ist

fehlgeschlagen.

Starting test: MachineAccount

......................... S4 hat den Test MachineAccount bestanden.

Starting test: NCSecDesc

......................... S4 hat den Test NCSecDesc bestanden.

Starting test: NetLogons

[S4] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses

Vorgangs.

Das für diesen Test verwendete Konto muss für die Domäne dieses

Computers über Netwerkanmelderechte verfügen.

......................... Der Test NetLogons für S4 ist

fehlgeschlagen.

Starting test: ObjectsReplicated

......................... S4 hat den Test ObjectsReplicated bestanden.

Starting test: Replications

[Replications Check,S4] Bei einer kürzlich ausgeführten Replikation

ist ein Fehler aufgetreten:

Von S1 nach S4

Namenskontext: DC=ForestDnsZones,DC=domain,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1256):

Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Auftreten des Fehlers: 2016-01-12 07:58:22.

Letzter erfolgreicher Vorgang: 2016-01-05 18:47:20.

Seit dem letzten erfolgreichen Vorgang sind 160 Fehler aufgetreten.

[Replications Check,S4] Bei einer kürzlich ausgeführten Replikation

ist ein Fehler aufgetreten:

Von S1 nach S4

Namenskontext: DC=DomainDnsZones,DC=domain,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1256):

Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Auftreten des Fehlers: 2016-01-12 07:58:22.

Letzter erfolgreicher Vorgang: 2016-01-05 19:25:38.

Seit dem letzten erfolgreichen Vorgang sind 292 Fehler aufgetreten.

[Replications Check,S4] Bei einer kürzlich ausgeführten Replikation

ist ein Fehler aufgetreten:

Von S1 nach S4

Namenskontext: CN=Schema,CN=Configuration,DC=domain,DC=local

Beim Replizieren ist ein Fehler aufgetreten (-2146893022):

Der Zielprinzipalname ist falsch.

Auftreten des Fehlers: 2016-01-12 07:58:22.

Letzter erfolgreicher Vorgang: 2016-01-05 18:47:20.

Seit dem letzten erfolgreichen Vorgang sind 160 Fehler aufgetreten.

[Replications Check,S4] Bei einer kürzlich ausgeführten Replikation

ist ein Fehler aufgetreten:

Von S1 nach S4

Namenskontext: CN=Configuration,DC=domain,DC=local

Beim Replizieren ist ein Fehler aufgetreten (-2146893022):

Der Zielprinzipalname ist falsch.

Auftreten des Fehlers: 2016-01-12 07:58:22.

Letzter erfolgreicher Vorgang: 2016-01-05 19:30:39.

Seit dem letzten erfolgreichen Vorgang sind 186 Fehler aufgetreten.

[Replications Check,S4] Bei einer kürzlich ausgeführten Replikation

ist ein Fehler aufgetreten:

Von S1 nach S4

Namenskontext: DC=domain,DC=local

Beim Replizieren ist ein Fehler aufgetreten (-2146893022):

Der Zielprinzipalname ist falsch.

Auftreten des Fehlers: 2016-01-12 07:58:22.

Letzter erfolgreicher Vorgang: 2016-01-05 19:38:47.

Seit dem letzten erfolgreichen Vorgang sind 165 Fehler aufgetreten.

......................... Der Test Replications für S4 ist

fehlgeschlagen.

Starting test: RidManager

......................... Der Test RidManager für S4 ist

fehlgeschlagen.

Starting test: Services

Der Dienst NTDS auf S4 konnte nicht geöffnet werden. Fehler: 0x5

"Zugriff verweigert"

......................... Der Test Services für S4 ist fehlgeschlagen.

Starting test: SystemLog

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 07:58:22

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/50b8c222-2685-480a-8403-81fc916e392c/domain.local@domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 08:00:59

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war domain\S1$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 08:04:52

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war ldap/S1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 08:13:35

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war DNS/s1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 08:29:52

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war LDAP/50b8c222-2685-480a-8403-81fc916e392c._msdcs.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Fehler. Ereignis-ID: 0x40000004

Erstellungszeitpunkt: 01/12/2016 08:29:52

Ereigniszeichenfolge:

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war ldap/s1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

......................... Der Test SystemLog für S4 ist

fehlgeschlagen.

Starting test: VerifyReferences

......................... S4 hat den Test VerifyReferences bestanden.

Partitionstests werden ausgeführt auf: ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... ForestDnsZones hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... DomainDnsZones hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: Schema

Starting test: CheckSDRefDom

......................... Schema hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... Schema hat den Test CrossRefValidation

bestanden.

Partitionstests werden ausgeführt auf: Configuration

Starting test: CheckSDRefDom

......................... Configuration hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... Configuration hat den Test

CrossRefValidation bestanden.

Partitionstests werden ausgeführt auf: domain

Starting test: CheckSDRefDom

......................... domain hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... domain hat den Test CrossRefValidation

bestanden.

Unternehmenstests werden ausgeführt auf: domain.local

Starting test: LocatorCheck

Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355

Es wurde kein primärer Domänencontroller gefunden.

Der Server mit der Rolle für den primären Domänencontroller ist nicht

verfügbar.

......................... Der Test LocatorCheck für domain.local ist

fehlgeschlagen.

Starting test: Intersite

......................... domain.local hat den Test Intersite

bestanden.

/showreps zweiter DC:

Standardname-des-ersten-Standorts\S4

DSA-Optionen: IS_GC

Standortoptionen: (none)

DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c

DSA-Aufrufkennung: 75c5a678-ffc3-480d-9e77-73a581967bbf



==== EINGEHENDE NACHBARN=====================================



DC=domain,DC=local

    Standardname-des-ersten-Standorts\S1 über RPC

        DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

        Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

            Der Zielprinzipalname ist falsch.

        165 aufeinander folgende Fehler.

        Letzte Erfolg um 2016-01-05 19:38:47.



CN=Configuration,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S1 über RPC

        DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

        Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

            Der Zielprinzipalname ist falsch.

        186 aufeinander folgende Fehler.

        Letzte Erfolg um 2016-01-05 19:30:39.



CN=Schema,CN=Configuration,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S1 über RPC

        DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

        Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322):

            Der Zielprinzipalname ist falsch.

        160 aufeinander folgende Fehler.

        Letzte Erfolg um 2016-01-05 18:47:20.



DC=DomainDnsZones,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S1 über RPC

        DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

        Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis 1256 (0x4e8):

            Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

        292 aufeinander folgende Fehler.

        Letzte Erfolg um 2016-01-05 19:25:38.



DC=ForestDnsZones,DC=domain,DC=local

    Standardname-des-ersten-Standorts\S1 über RPC

        DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c

        Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis 1256 (0x4e8):

            Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

        160 aufeinander folgende Fehler.

        Letzte Erfolg um 2016-01-05 18:47:20.

DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):

    Der Replikationszugriff wurde verweigert.

DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):

    Der Replikationszugriff wurde verweigert.

↧

Domain Join in bestimmte OU

January 13, 2016, 12:36 am

≫ Next: CertEnroll-Fehler 13 und 28

≪ Previous: Fehlerhafter DC1 nach Failover/Failback

Hi.

Ich erstelle gerade ein paar VM Vorlagen und dort gibt es unter anderem die Möglichkeit die VM bei Erstellung automatisch einer Domäne zu joinen. Leider ist diese Möglichkeit ein wenig eingeschränkt, so dass ich dort nicht direkt angeben kann in welche OU die VM joinen soll.
ICh weiß wie man es mit "add-computer -OUPath" macht oder aber mit einer Antwortdatei, das wäre dann auch meine Notlösung (vermutlich als First Login Command), schöner wäre es natürlich wenn ich das direkt in der Vorlage konfigurieren könnte.

Jetzt habe ich mich gefragt ob es möglich ist die OU in welche ein Computer eingebunden wird abhängig zu machen vom Konto das den Join durchführt.
Weiß jemand ob sowas möglich ist?

↧

CertEnroll-Fehler 13 und 28

January 13, 2016, 7:08 am

≫ Next: Authentication Failure sperrt User nicht

≪ Previous: Domain Join in bestimmte OU

Seit einiger Zeit funktioniert das Enrollment-System auf unseren Servern nicht mehr, wir bekommen sowie beim Autoenrollment, als auch beim manuellen Versuch über die MMC-Konsole folgenden Fehler, wenn wir versuchen ein neues Zertifikat anzufordern:

Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {0FCE8424-A909-4D47-82D2-698299874867} (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Fehler bei der Registrierung für Vorlage: KerberosAuthentication

Dies betrifft unter anderem Zertifikate der Vorlage "KerberosAuthentification", zB bei der Vorlage "Computer" funktioniert die Anfrage der Zertifikate.

Ich habe bereits alles versucht, was im Netz zu finden war, was üblicher Weise hier zu tun sein sollte, komme aber nicht weiter, die Fehlermeldung des Autoenrollment-Systems kommt daher täglich bei jedem Server.

Wir haben ein Domänennetzwerk mit 2 Domänencontrollern und mehreren Servern. Als Betriebssystem wird Windows 2008 R2 sowie Windows Server 2012 R2 eingesetzt. Die Hauptzertifikatsstelle ist auf dem PDC und eine weitere als Unterzertifikatsstelle auf dem BDC installiert. Außerdem ist noch eine weitere, welche früher die Hauptzertifikatsstelle war, auf einem Windows-Server als Unterzertifikatsstelle installiert.Das Enrollment der Kerberos-Zertifikate funktioniert leider von keinem der drei Zertifikatsstellen.

Wird überhaupt eine Zertifikatsstelle in einer Domäne zwingend benötigt oder können wir diese auch komplett deinstallieren und das Autoenrollment-System abschalten? Gibt dadurch irgendwelche Nachfolgeprobleme, zB mit dem Exchange-Server oder anderen Servern/Arbeitsstationen? Wir selbst nutzen aktive keine Zertifikate.

Beste Grüße,
INTERKULTUR

↧

Authentication Failure sperrt User nicht

January 13, 2016, 8:51 am

≫ Next: DNS Server nach Active Directory Installation nicht automatisch konfiguriert

≪ Previous: CertEnroll-Fehler 13 und 28

Hallo zusammen,

auf Domain Controllern werden teilweise innerhalb von einem Tag mehrere tausend Authentication Failures (Event 4771, Kerberos pre-authentication failed) für einen User gelogt. Ein Beispiel Event dafür ist:

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/><EventID>4771</EventID><Version>0</Version><Level>Information</Level><Task>Kerberos Authentication Service</Task><Opcode>Info</Opcode><Keywords>Audit Failure</Keywords><TimeCreated SystemTime='2016-01-13T16:27:05.107307600Z'/><EventRecordID>247779999</EventRecordID><Correlation/><Execution ProcessID='544' ThreadID='1188'/><Channel>Security</Channel><Computer>domain controller </Computer><Security/></System><EventData>Kerberos pre-authentication failed.

Account Information:
	Security ID:		domain\user
	Account Name:		user

Service Information:
	Service Name:		krbtgt/domain

Network Information:
	Client Address:		::ffff:1.1.1.1
	Client Port:		61116

Additional Information:
	Ticket Options:		0x40810010
	Failure Code:		0x18
	Pre-Authentication Type:	2

Certificate Information:
	Certificate Issuer Name:
	Certificate Serial Number:
	Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.</EventData></Event>

Das passiert zum Beispiel wenn ein Passwort abgelaufen ist, der User jedoch noch eine RDP Sitzung offen hat. Dennoch wird der User nicht gesperrt, obwohl dies per GPO so konfiguriert ist und prinzipiell auch funktioniert (n mal falsch interaktiv einloggen und der User wird gesperrt).

Kann mir jemand erklären, was bei dem Pre-Auth anders ist, dass der User nicht gesperrt wird?

Besten Dank,
Michael

↧

DNS Server nach Active Directory Installation nicht automatisch konfiguriert

January 13, 2016, 6:35 am

≫ Next: AD Feld "Verwaltet von" automatisiert füllen

≪ Previous: Authentication Failure sperrt User nicht

Nach der Installation des Active Directory (mit DNS) über den Server Manager fehlen die AD-spezifischen SRV Einträge im DNS.

Zum System:

Strato v-Server (Virtualisierungshost: Hyper-V)

Windows Server 2012 R2 Standard

1 Ethernetanschluss mit Public IP (Subnet Maske 255.255.255.255; Standardgateway ausserhab des Subnets)

↧

AD Feld "Verwaltet von" automatisiert füllen

January 14, 2016, 1:58 am

≫ Next: Login Hintergrundbild über AD GPO festlegen

≪ Previous: DNS Server nach Active Directory Installation nicht automatisch konfiguriert

Hallo,
ist es möglich in einem Computerobjekt in der Karteikarte "Verwaltet von" unter Name diesen automatisiert anhand einer xls oder csv füllen zu lassen?

Gruß

Dennis

↧

Login Hintergrundbild über AD GPO festlegen

January 14, 2016, 10:15 am

≫ Next: 3 Server aber nur einer soll die Benutzer Daten verwalten.

≪ Previous: AD Feld "Verwaltet von" automatisiert füllen

Hallo zusammen,

ist es möglich das Hintergrundbild beim Login über das Active Directory per GPO zu verändern? z.B. ein firmeneigenes Hintergrundbild

Wenn ja, wie ist dies möglich? Habe schon einige Artikel bei google gelesen, aber leider nichts brauchbares gefunden.

Danke im Voraus für die Mithilfe

↧

3 Server aber nur einer soll die Benutzer Daten verwalten.

January 15, 2016, 1:58 am

≫ Next: ADAMSync AD DS AD LDS

≪ Previous: Login Hintergrundbild über AD GPO festlegen

Hallo, ich habe aktuell folgende Situation:

1x Windows Server 2008 Standard
Domäne: NT4-SVR.local
Computername: Server

1x Windows Server 2012 R2 Standard
Domäne: tsrv.kunde
Computername: Server2012

1x Windows Server 2012 R2 Standard
Domäne: tsrv.kunde
Computername: ServerBDE

Bisher sind auf jedem Server alle Benutzer und Gruppen händisch angelegt worden. Wie kann ich alles so umstellen, das z.B. nur der Server2012 die Benutzerkonten verwaltet? Bisher ist es sehr umständlich sollte ein neuer Benutzer dazukommen muss ich an allen Servern den Benutzer anlegen und überall natürlich dann auch das gleiche Passwort angeben.

Die beiden Server 2012 sind Terminal Server.
Auf dem Server2012 sind nur Benutzer die Office benötigen.
Auf dem ServerBDE sind Benutzer die kein Office benötigen.

Ich hoffe ich habe mein Problem/Frage ausführlich beschrieben. Irgendwie finde ich im Internet nichts oder ich Suche einfach falsch.

Gruß Markus

↧

ADAMSync AD DS AD LDS

March 21, 2011, 6:45 am

≫ Next: Dubioser Standort Rest ( wrong site)

≪ Previous: 3 Server aber nur einer soll die Benutzer Daten verwalten.

Hallo,

ich habe folgendes Problem:

Neuer Server (Win2008R2Std.) aufgesetzt, Server in Domain, nur die AD LDS-Rolle installiert, Instanz1 angelegt.

Möchte nun über ADAMSync AD LDS mit AD DS synchronisieren. Die Schemaerweiterungen der AD LDS für Win2008 und Metadaten wurden eingespielt.

2. Die MS-AdamSyncConf.xml hab ich kopiert angepaßt und installiert. Soweit hat alles funktioniert.

Wenn ich jetzt den Befehl: "adamsync.exe /sync localhost:389 CN=instanz1,DC=Domain,DC=local" ausführe, erscheint eine Fehlermeldung:

C:\Windows\ADAM>adamsync.exe /sync localhost:389 CN=instanz1,DC=domain,DC=local
Ein LDAP-Fehler ist aufgetreten. ldap_add_sW: Benennungsverletzung.
Erweiterte Informationen: 00002099: NameErr: DSID-0305109C, problem 2005 (NAMING_VIOLATION), data 0,
best match of:
'CN=instanz1,DC=domain,DC=local'.

im Logprotokoll erscheinen als letztes folgende Einträge:

Eintrag wird verarbeitet: Seite 1, Rahmen 1, Eintrag 49, Anzahl 1, USN 0

Quelleintrag <GUID=d8bb8b550512364bafc551b6516df694> wird verarbeitet

Der im Bereich liegende Eintrag d8bb8b550512364bafc551b6516df694 wird verarbeitet.

Zielobjekte CN=Builtin,CN=instanz1,DC=domain,DC=local werden hinzugefgt.

Attribute werden hinzugefgt: sourceobjectguid, objectClass, description, instanceType, showInAdvancedViewOnly, creationTime, forceLogoff, lockoutDuration, lockOutObservationWindow, lockoutThreshold, maxPwdAge, minPwdAge, minPwdLength, modifiedCountAtLastProm, nextRid, pwdProperties, pwdHistoryLength, uASCompat, lastagedchange,

Ein LDAP-Fehler ist aufgetreten. ldap_add_sW: Benennungsverletzung.

Erweiterte Informationen: 00002099: NameErr: DSID-0305109C, problem 2005 (NAMING_VIOLATION), data 0, best match of:
'CN=instanz1,DC=domain,DC=local'
.

Ein LDAP-Fehler ist aufgetreten. ldap_add_sW: Benennungsverletzung.

Erweiterte Informationen: 00002099: NameErr: DSID-0305109C, problem 2005 (NAMING_VIOLATION), data 0, best match of:
'CN=instanz1,DC=domain,DC=local'
.

Hat jemand eine Idee, wie man das hinbekommt?
Sollte ein Server, der mal TMG werden soll überhaupt Mitglied der Domäne sein, oder bringt das Sicherheitsrisiken?

Danke

↧

Dubioser Standort Rest ( wrong site)

January 20, 2016, 5:21 pm

≫ Next: SYSVOL unvollständig (NETLOGON-Share und Staging-Ordner fehlen) - GPM Fehler Sysvol Inaccessible

≪ Previous: ADAMSync AD DS AD LDS

Ich finde im DNS unter _sites einen falschen Eintrag, den ich im Active Directory nicht finden kann.

Die Domain Controller laufen auf Windows 2012 R2.

Wir haben 3 Standorte, einer davon heißt Stadthausstrasse. Soweit ist alles in Ordnung. Im DNS erscheint aber ein 4. Standort mit dem Namen "stadthausstraße". Wenn ich den im DNS lösche, wird er regelmäßig wieder eingefügt. Diesen Standort finde ich weder in "Active Directory Standorte und Dienste" noch mit dem Powershell Befehl "get-ADObject -Filter 'ObjectClass -eq "site" -IncludeDeletedObjects -SearchBase ...".

Ich kann den Standort auch nicht neu anlegen. Dann bekomme ich eine Fehlermeldung, dass der Name schon vergeben ist.

Habt ihr eine Idee, wie ich das reparieren kann?

↧

SYSVOL unvollständig (NETLOGON-Share und Staging-Ordner fehlen) - GPM Fehler Sysvol Inaccessible

January 20, 2016, 1:56 am

≫ Next: DC demoten

≪ Previous: Dubioser Standort Rest ( wrong site)

Hallo,

ich hab ein Problem wo ich nicht wirklich weiterkomme bzw. einige Fragen dazu habe und hoffe, dass mir jemand helfen kann.

Wir haben einen PDC (Server 2012) und einen DC (Server 2012) in der Zentrale und drei DCs (2x Server 2012R2, 2x Server 2008R2) in Aussenstellen.

Domain functional level ist auf Windows Server 2008 R2.

Die SYSVOL-Replikation läuft über DFSR. Hab das vor ca. einem Jahr umgestellt.

Die Replikation der GPOs scheint zu laufen. Zumindest ist mir bisher nichts gegenteiliges aufgefallen und auch in den Ereignisprotokollen hab ich nichts bemerkt was darauf hindeuten könnte. In letzter Zeit gab es jedoch immer wieder einige seltsame Phänomene im Zusammenhang mit den GPOs, wo GPOs nicht gezogen haben und dergleichen.

Bei den gründlichen Tests ist mir aufgefallen, dass der SYSVOL-Ordner des PDCs wie auch der DCs unvollständig ist. Woran das liegt oder wie das entstanden ist kann ich leider nicht sagen. Es fehlt der Scripts-Ordner (der jedoch bei uns eh leer ist) und auch die Staging-Ordner.

Die Auswertungen sagen folgendes.

Grouppolicy-Manangement-Status:
Baseline-Domain-Controller auf dem PCD:
3 Server bei SYSVOL auf Inaccessible (alle Server per Namensauflösung jedoch erreichbar)
1 Server bei SYSVOL auf GPO-Version (scheinbar unterschiedliche GPO-Versionen)
Baseline-Domain-Controller auf dem DC in der Zenrale:
4 Server bei SYSVOL auf GPO-Version
Die Änderungen an GPOs werden aber definitiv vom PDC an alle DCs übertagen.

DCDIAG:
1) Netlogon-Share nicht vorhanden (auf allen DCs)
2) DFSREVENTS: Warnungen oder Fehler in den letzten 24 Stunden

REPADMIN: keine Fehler, alles funktionsfähig.

DFS-Replication-Health-Report: keine Fehler

Eventlogs DFSR:
PDC: 5014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established").
DC in Zentrale: 2213 (stopped replication-Lösung: ResumeReplicationWMI-Method
DC Aussenstelle: 014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established"). Ab und zu 5002-Fehler (error communication mit PDC)

Explorer-Dateidatum von den SYSVOL-Ordnern:
PDC und zwei Aussenstellen-DCs gleiches Datum (aktuell)
DC in Zentrale und ein Aussenstellen-DC gleiches Datum (nicht aktuell)

Bisher habe ich nur den Scripts-Ordner auf dem PDC angelegt, damit das NETLOGON-Share wieder eingerichtet wird. Die Änderung wurde an zwei DCs übertragen. Bei zwei anderen musste ich sie manuell anlegen.

1) Die Lösung scheint ein Authoritative auf dem PDC und ein Non-Authoritative-Restore des DFSR Sysvols zu sein. ((https://support.microsoft.com/en-us/kb/2218556) Ist das richtig? Wenn ja, wie gehe ich da am besten vor, wenn der SYSVOL-Ordner am PDC schon unvollständig ist? Ich brauch ja irgendwie die fehlenden Ordner zurück.
2) Von den GPOs habe ich mal ein Backup erstellt. Werden die GPOs beim Authoritative-Restore gelöscht und wieder automatisch angelegt? Oder muss ich den Inhalt des Policies-Ordner manuell zurückkopieren?
3) Stellt der Authoritative-Restore die fehlenden Ordner im SYSVOL wieder her oder muss man die manuell anlegen? Wenn ja, was ist da zu beachten?
4) Wozu werden die staging-Ordner benötigt? Hab leider keine Info dazu gefunden?

Würde mich freuen, wenn mir jemand diese Fragen beantworten könnte.

↧

DC demoten

January 28, 2016, 5:22 am

≫ Next: Migrationsprojekt mit einem WIN 2003 SP2 DC auf WIN 2012 R2 DC

≪ Previous: SYSVOL unvollständig (NETLOGON-Share und Staging-Ordner fehlen) - GPM Fehler Sysvol Inaccessible

Hallo Leute

wir haben folgende AD STrukture:

Single forest mit mehreren Bäumen mit meinefirma.de als root domäne daneben exetieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.

Nun wird ein Standort geschlossen und ich wollte die beiden DC's 2008er aus meine Forest-Domäne demoten ohne Domäne oder ähnliches zu löschen. Jetzt kriege ich aber diese Meldung beim demoten:

Dieser active directory-domänencontroller scheint der letzte letzte DNS Server für die folgenden in Active Directory inegrierte Zone zu sein
meinefirma.xy

Wobei an dem Standort wo meinefirma.xy exestiert zwei DC normal laufen.

Bin jetzt etwas verunsichert ob ich beim demoten weiter gehen kann.

PS übrigens der zwei DC an dem Standort den ich demoten will sagt genau das gleiche an der Stelle, alle DC's scheinen das gleiche zu sagen sobald ich dcpromo starte.

repadmin / showrepl zeigt keine Fehler an und dcdiag sieht auch sauber aus

Habt ihr eine Idee?

↧

Migrationsprojekt mit einem WIN 2003 SP2 DC auf WIN 2012 R2 DC

January 28, 2016, 2:49 pm

≫ Next: Active Directory Domain Services stoppen

≪ Previous: DC demoten

Hallo Zusammen,

ich habe ein Migrationsprojekt mit einem WIN 2003 SP2 DC (ZENTRUM1) auf WIN 2012 R2 DC und noch einigen Mitgliedsservern.

Der WIN 2003 ist in der Gesamtstrukturfunktionsebene noch auf WIN 2000. Beim Versuch der Hochstufung bekomme ich die Meldung "Die Funktionsebene konnte nicht heraufgestuft werden. Fehler: Der Verzeichnisdienst ist ausgelastet."

Der Grund scheint ein alter nicht mehr vorhandener DC ZENTRUM2 zu sein.

Der aktuelle DC hat alle Serverrollen.

netdom query fsmo ergibt:

Schema owner zentrum1.carzentrum.de

Domain role owner zentrum1.carzentrum.de

PDC role zentrum1.carzentrum.de

RID pool manager zentrum1.carzentrum.de

Infrastructure owner zentrum1.carzentrum.de

The command completed successfully.

DCDIAG gibt folgende Meldungen:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

   Testing server: Standardname-des-ersten-Standorts\ZENTRUM1
      Starting test: Connectivity
         ......................... ZENTRUM1 passed test Connectivity

Doing primary tests

   Testing server: Standardname-des-ersten-Standorts\ZENTRUM1
      Starting test: Replications
         [Replications Check,ZENTRUM1] A recent replication attempt failed:
            From ZENTRUM2 to ZENTRUM1
            Naming Context: DC=ForestDnsZones,DC=carzentrum,DC=de
            The replication generated an error (1256):
            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
            The failure occurred at 2016-01-26 15:52:39.
            The last success occurred at 2010-04-21 09:55:13.
            50616 failures have occurred since the last success.
         [ZENTRUM2] DsBindWithSpnEx() failed with error 1722,
         Der RPC-Server ist nicht verfgbar..
         [Replications Check,ZENTRUM1] A recent replication attempt failed:
            From ZENTRUM2 to ZENTRUM1
            Naming Context: DC=DomainDnsZones,DC=carzentrum,DC=de
            The replication generated an error (1256):
            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
            The failure occurred at 2016-01-26 15:52:39.
            The last success occurred at 2010-04-21 09:55:16.
            50788 failures have occurred since the last success.
         [Replications Check,ZENTRUM1] A recent replication attempt failed:
            From ZENTRUM2 to ZENTRUM1
            Naming Context: CN=Schema,CN=Configuration,DC=carzentrum,DC=de
            The replication generated an error (8524):
            Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
            The failure occurred at 2016-01-26 15:52:43.
            The last success occurred at 2010-04-21 09:55:09.
            50618 failures have occurred since the last success.
            The guid-based DNS name de4edf6b-a250-43c3-9330-1f96b0fdd64f._msdcs.carzentrum.de
            is not registered on one or more DNS servers.
         [Replications Check,ZENTRUM1] A recent replication attempt failed:
            From ZENTRUM2 to ZENTRUM1
            Naming Context: CN=Configuration,DC=carzentrum,DC=de
            The replication generated an error (8524):
            Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
            The failure occurred at 2016-01-26 15:52:41.
            The last success occurred at 2010-04-21 10:14:38.
            52449 failures have occurred since the last success.
            The guid-based DNS name de4edf6b-a250-43c3-9330-1f96b0fdd64f._msdcs.carzentrum.de
            is not registered on one or more DNS servers.
         [Replications Check,ZENTRUM1] A recent replication attempt failed:
            From ZENTRUM2 to ZENTRUM1
            Naming Context: DC=carzentrum,DC=de
            The replication generated an error (8524):
            Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
            The failure occurred at 2016-01-26 15:52:39.
            The last success occurred at 2010-04-21 10:14:31.
            51679 failures have occurred since the last success.
            The guid-based DNS name de4edf6b-a250-43c3-9330-1f96b0fdd64f._msdcs.carzentrum.de
            is not registered on one or more DNS servers.
         REPLICATION-RECEIVED LATENCY WARNING
         ZENTRUM1: Current time is 2016-01-26 16:48:04.
            DC=ForestDnsZones,DC=carzentrum,DC=de
               Last replication recieved from ZENTRUM2 at 2010-04-21 09:55:13.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!
            DC=DomainDnsZones,DC=carzentrum,DC=de
               Last replication recieved from ZENTRUM2 at 2010-04-21 09:55:16.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!
            CN=Schema,CN=Configuration,DC=carzentrum,DC=de
               Last replication recieved from ZENTRUM2 at 2010-04-21 09:55:09.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!
            CN=Configuration,DC=carzentrum,DC=de
               Last replication recieved from ZENTRUM2 at 2010-04-21 10:14:38.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!
            DC=carzentrum,DC=de
               Last replication recieved from ZENTRUM2 at 2010-04-21 10:14:31.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!
         ......................... ZENTRUM1 passed test Replications
      Starting test: NCSecDesc
         ......................... ZENTRUM1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... ZENTRUM1 passed test NetLogons
      Starting test: Advertising
         ......................... ZENTRUM1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... ZENTRUM1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... ZENTRUM1 passed test RidManager
      Starting test: MachineAccount
         ......................... ZENTRUM1 passed test MachineAccount
      Starting test: Services
         ......................... ZENTRUM1 passed test Services
      Starting test: ObjectsReplicated
         ......................... ZENTRUM1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... ZENTRUM1 passed test frssysvol
      Starting test: frsevent
         ......................... ZENTRUM1 passed test frsevent
      Starting test: kccevent
         ......................... ZENTRUM1 passed test kccevent
      Starting test: systemlog
         ......................... ZENTRUM1 passed test systemlog
      Starting test: VerifyReferences
         ......................... ZENTRUM1 passed test VerifyReferences

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : carzentrum
      Starting test: CrossRefValidation
         ......................... carzentrum passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... carzentrum passed test CheckSDRefDom

   Running enterprise tests on : carzentrum.de
      Starting test: Intersite
         ......................... carzentrum.de passed test Intersite
      Starting test: FsmoCheck
         ......................... carzentrum.de passed test FsmoCheck

repadmin /showrepl gibt folgende Meldungen:

repadmin running command /showrepl against server localhost

Standardname-des-ersten-Standorts\ZENTRUM1

DC Options: IS_GC

Site Options: (none)

DC object GUID: e418d702-3c2f-4f03-8939-0c2c2bdf5117

DC invocationID: 902eaea8-4bba-4492-a010-a54d55bdae8e

==== INBOUND NEIGHBORS ======================================

DC=carzentrum,DC=de

Standardname-des-ersten-Standorts\ZENTRUM2 via RPC

DC object GUID: de4edf6b-a250-43c3-9330-1f96b0fdd64f

Last attempt @ 2016-01-28 22:52:45 failed, result 8524 (0x214c):

Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

51734 consecutive failure(s).

Last success @ 2010-04-21 10:14:31.

CN=Configuration,DC=carzentrum,DC=de

Standardname-des-ersten-Standorts\ZENTRUM2 via RPC

DC object GUID: de4edf6b-a250-43c3-9330-1f96b0fdd64f

Last attempt @ 2016-01-28 22:52:47 failed, result 8524 (0x214c):

Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

52504 consecutive failure(s).

Last success @ 2010-04-21 10:14:38.

CN=Schema,CN=Configuration,DC=carzentrum,DC=de

Standardname-des-ersten-Standorts\ZENTRUM2 via RPC

DC object GUID: de4edf6b-a250-43c3-9330-1f96b0fdd64f

Last attempt @ 2016-01-28 22:52:50 failed, result 8524 (0x214c):

Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

50673 consecutive failure(s).

Last success @ 2010-04-21 09:55:09.

DC=DomainDnsZones,DC=carzentrum,DC=de

Standardname-des-ersten-Standorts\ZENTRUM2 via RPC

DC object GUID: de4edf6b-a250-43c3-9330-1f96b0fdd64f

Last attempt @ 2016-01-28 22:52:45 failed, result 1256 (0x4e8):

Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

50843 consecutive failure(s).

Last success @ 2010-04-21 09:55:16.

DC=ForestDnsZones,DC=carzentrum,DC=de

Standardname-des-ersten-Standorts\ZENTRUM2 via RPC

DC object GUID: de4edf6b-a250-43c3-9330-1f96b0fdd64f

Last attempt @ 2016-01-28 22:52:45 failed, result 1256 (0x4e8):

Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

50671 consecutive failure(s).

Last success @ 2010-04-21 09:55:13.

Source: Standardname-des-ersten-Standorts\ZENTRUM2

******* 52504 CONSECUTIVE FAILURES since 2010-04-21 10:14:38

Last error: 1256 (0x4e8):

Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Der ZENTRUM2 ist auch noch unter Standorte und Dienste vorhanden.

Nach langen lesen in den Foren habe ich jetzt vor, den alten DC ZENTRUM2 nach KB216498 aus den AD zu entfernen.

Ist das der richtige Weg? Kann mir jemand evtl. sagen, was noch beachtet werden sollte, oder ob es Alternativen gibt?

Vielen Dank.

Wilhelm

↧

Active Directory Domain Services stoppen

January 29, 2016, 12:15 am

≫ Next: Komisch Sperrungen im DC-Server

≪ Previous: Migrationsprojekt mit einem WIN 2003 SP2 DC auf WIN 2012 R2 DC

Hallo zusammen

Seit, ich glaube 2008 DC hat man die Möglichkeit den AD Service (Active Directory Domain Services, NTDS Service) zu stoppen.
Services wie File Replication, KDC, DFS etc. werden ebenfalls gestoppt. Die Auswirkung ist, dass sich z.B. keine User mehr an diesem DC anmelden können. Funktion soweit klar.

Nur zur Frage. Wie sieht das Ganze im Betrieb aus? Was passiert z.B. mit User-Sessions, merken die User was (Outlook etc.)?
Wie reagiert z.B Exchange falls der DC ein GC ist? Etc etc. Hat jemand "Betriebserfahrung" mit dem Stoppen des AD Services?

Gruss Dani

↧

Komisch Sperrungen im DC-Server

January 31, 2016, 9:52 pm

≫ Next: Verfügbarkeit / Anmeldung Domäne - Domain Controller bei zwei DC (Ausfall DC1) DNS

≪ Previous: Active Directory Domain Services stoppen

Hallo zusammen,

ich hoffe jemand von euch kann mir helfen....

In unserer Windows Umgebung sperren sich immer mal wieder diverse (immer die gleichen, jedoch in unregelmäßigen Abständen (auch untereinander)) diverse Accounts. Ich habe bereits versucht herauszufinden woher die Sperrung kommt (von welchem Client oder ähnliches) komme hier jedoch nicht mehr weiter. Ich habe bereits über den Richtlinienmanager das Überwachen der Ameldeereignisse und Anmeldeversuche bei Erfolgreich und Gescheitert aktiviert. Wenn ich nun in die Ereignislog schaue und die Sperrung im Reiter "Sicherheit" heraussuche so finde ich folgendes:

Ereignis ID: 4776

Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen.

Authentifizierungspaket:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto:    <Benutzername>
Arbeitsstation:   SRVHTDC005
Fehlercode:   0xc000006a

UND ALS ZWEITE LOGDATEI FINDE ICH:

Ereignis ID: 4625

Fehler beim Anmelden eines Kontos.

Antragsteller:
   Sicherheits-ID:       SYSTEM
   Kontoname:       SRVHTDC005$
   Kontodomäne:        <Domänenname>
   Anmelde-ID:       0x3e7

Anmeldetyp:           3

Konto, für das die Anmeldung fehlgeschlagen ist:
   Sicherheits-ID:       NULL SID
   Kontoname:        <Benutzername>
   Kontodomäne:        <Domänenname>

Fehlerinformationen:
   Fehlerursache:       Unbekannter Benutzername oder ungültiges Kennwort.
   Status:           0xc000006d
   Unterstatus::       0xc000006a

Prozessinformationen:
   Aufrufprozess-ID:   0x2bc
   Aufrufprozessname:   C:\Windows\System32\lsass.exe

Netzwerkinformationen:
   Arbeitsstationsname:   SRVHTDC005
   Quellnetzwerkadresse:   10.100.49.7
   Quellport:       13911

Detaillierte Authentifizierungsinformationen:
   Anmeldeprozess:       Advapi
   Authentifizierungspaket:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Übertragene Dienste:   -
   Paketname (nur NTLM):   -
   Schlüssellänge:       0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
   - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
   - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
   - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

____________________________________________________________

Ich hoffe mir kann jemand weiterhelfen oder sagen wie ich weiter verfahren kann.

Herzlichen Dank

↧

Verfügbarkeit / Anmeldung Domäne - Domain Controller bei zwei DC (Ausfall DC1) DNS

February 3, 2016, 3:58 am

≫ Next: User Anzahl vs. Lizenz

≪ Previous: Komisch Sperrungen im DC-Server

Hi, wir haben zwei Domain Controller für unsere Domain (wegen der Ausfallsicherheit)
DC1 192.168.1.1
DC2 192.168.1.2

Beide sind auch DNS Server und alles repliziert sich.

Nun haben wir folgende IP Einstellungen an unserem Client:

IP 192.168.1.100
Gateway 192.168.1.254 (Router)

DNS1 192.168.1.1
DNS2 192.168.1.254 (Router)

Fällt jetzt unser DC1 aus, sollte ja DC2 die Anmeldung in der Domain übernehmen.
Nun frage ich mich woher der Client die Info nimmt.

↧

User Anzahl vs. Lizenz

February 3, 2016, 7:11 am

≫ Next: import-module activedirectory per new-pssession

≪ Previous: Verfügbarkeit / Anmeldung Domäne - Domain Controller bei zwei DC (Ausfall DC1) DNS

Guten Tag,

ich hätte gleich mehrere Fragen die zusammen gehören. Erstmal zum rahmen: wir wollen mit Office 365 und Windows 10, Single Sign-on einrichten für insgesamt 20 User . Jetzt stellt sich die frage ist dies mit Azure AD Free möglich? entspricht 1 User einem Verzeichnisobjekt (wovon man ja mehr als genug hat) ? die damit verbundene zweite Frage wäre, wir möchten auch lokale Administratoren über die Azure AD verwalten was mit Azure AD Premium möglich ist, brauchen wir 1 Lizenz pro lokalen Admin oder 1 Lizenz und wir können mehrere lokale Administratoren mit verschiedenen Rechnern bestimmen?

im Idealfall würden wir ja wenn ich es richtig verstanden habe 1 Premium Lizenz holen und könnten dort die 20 User einrichten und davon dann 10 lokale Administratoren bestimmen.

Ich hoffe ihr könnt mir da weiterhelfen

danke schon mal im vorraus

↧