9
DC war über 60 Tage offline - jetzt Probleme Event ID 4 Kerberos
Hallo, wir haben das Problem, dass eine Niederlassung umgezogen ist. Telefongesellschaft hatte Probleme mit der INternetleitung und jetzt war der Server über 60 Tage offline.
Der Server hat jetzt Probleme mit dem Active Directory. Er synchronisiert nicht mehr.
Beim Booten des Servers kommt immer Event ID 4.
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/SERVER.FIRMA.com" empfangen. Der verwendete Zielname war cifs/SERVER.FIRMA.com. Dies deutet darauf hin, dass das Kennwort, das zum Verschlsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Hufige Ursache hierfr sind identische Computerkontonamen im Zielbereich (FIRMA.com) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie
Ich vermute ich müsste das Computerkonto zurücksetzen. Aber das lässt er mich nicht machen - da es ein DC als Global Catalog Server ist.
Wer kann mir da ein Tipp geben?
Der Server hat jetzt Probleme mit dem Active Directory. Er synchronisiert nicht mehr.
Beim Booten des Servers kommt immer Event ID 4.
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/SERVER.FIRMA.com" empfangen. Der verwendete Zielname war cifs/SERVER.FIRMA.com. Dies deutet darauf hin, dass das Kennwort, das zum Verschlsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Hufige Ursache hierfr sind identische Computerkontonamen im Zielbereich (FIRMA.com) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie
Ich vermute ich müsste das Computerkonto zurücksetzen. Aber das lässt er mich nicht machen - da es ein DC als Global Catalog Server ist.
Wer kann mir da ein Tipp geben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83142
Url: https://administrator.de/contentid/83142
Printed on: April 19, 2024 at 09:04 o'clock
9 Comments
Latest comment
Hi,
ganz dumme Gegenfragen:
Stimmen die Uhrzeiten der DCs noch untereinander?
Hast du verschiedene Standorte im AD eingerichtet?
Nslookup von einem Standort zum nächsten ist ok?
ganz dumme Gegenfragen:
Stimmen die Uhrzeiten der DCs noch untereinander?
Hast du verschiedene Standorte im AD eingerichtet?
Nslookup von einem Standort zum nächsten ist ok?
Japp. Uhrzeiten stimmen.
Verschiedene Standorte waren und sind immer noch eingetragen.
DNS läuft absolut richtig.
Irgendwas mit diesem Kerberos. Ich vermute irgendwie dass das Computerkonto nicht mehr stimmt. Ebenso wenn ich auf andere Server von diesem DC will - auf Freigaben kommt:
Zielkontoname ist ungültig.
Ich kann den DC nicht mal mit DCPROMO runterstufe - auch hier kommt dann die Meldung: Zielkontoname ist ungültig.
Verschiedene Standorte waren und sind immer noch eingetragen.
DNS läuft absolut richtig.
Irgendwas mit diesem Kerberos. Ich vermute irgendwie dass das Computerkonto nicht mehr stimmt. Ebenso wenn ich auf andere Server von diesem DC will - auf Freigaben kommt:
Zielkontoname ist ungültig.
Ich kann den DC nicht mal mit DCPROMO runterstufe - auch hier kommt dann die Meldung: Zielkontoname ist ungültig.
wieviele DCs hast Du in der Domäne?
Welche Rolle spielt der betroffene DC ausser Global Catalog?
ich würde wie folgt vorgehen:
führe auf einem funktionierenden DC auf der Konsole einen dcdiag durch.
Interessant sind hier FSMO-Fehler. Behebe alle Fehler, die Dir angezeigt werden und stelle sicher, dass der dcdiag keinen Fehler mehr meldet, bevor Du fortfährst.
Ordne den anderen DCs in der Domäne die entsprechenden Rollen zu, damit der betroffene DC keine Rolle mehr in der Domäne hat.
Behebe alle Fehler, die Dir im dcdiag angezeigt werden und stelle sicher, dass der dcdiag keinen Fehler mehr meldet, bevor Du fortfährst.
Anschließend kannst Du versuchen den DC herunterszustufen. Wenn es nicht geht, dann schau mal ins Ereignisprotokoll, was das Problem ist. GGf musst Du den Server mit einem forced removal herunterstufen, anschließend mit ADSIEDIT die Domäne von den Leichenteilen befreien.
Anschließend solltest Du einen DCDiag machen, um zu sehen, ob die Domäne konsistent ist. Wenn ja wart einen Tag und versuche dann den Server wieder mit DCPROMO hochzustufen.
ggf ist es auch sinnvoll diesbezüglich einen Call bei MS aufzumachen, wenn Du Dich an die Sache nicht ganz rantraust.
Welche Rolle spielt der betroffene DC ausser Global Catalog?
ich würde wie folgt vorgehen:
führe auf einem funktionierenden DC auf der Konsole einen dcdiag durch.
Interessant sind hier FSMO-Fehler. Behebe alle Fehler, die Dir angezeigt werden und stelle sicher, dass der dcdiag keinen Fehler mehr meldet, bevor Du fortfährst.
Ordne den anderen DCs in der Domäne die entsprechenden Rollen zu, damit der betroffene DC keine Rolle mehr in der Domäne hat.
Behebe alle Fehler, die Dir im dcdiag angezeigt werden und stelle sicher, dass der dcdiag keinen Fehler mehr meldet, bevor Du fortfährst.
Anschließend kannst Du versuchen den DC herunterszustufen. Wenn es nicht geht, dann schau mal ins Ereignisprotokoll, was das Problem ist. GGf musst Du den Server mit einem forced removal herunterstufen, anschließend mit ADSIEDIT die Domäne von den Leichenteilen befreien.
Anschließend solltest Du einen DCDiag machen, um zu sehen, ob die Domäne konsistent ist. Wenn ja wart einen Tag und versuche dann den Server wieder mit DCPROMO hochzustufen.
ggf ist es auch sinnvoll diesbezüglich einen Call bei MS aufzumachen, wenn Du Dich an die Sache nicht ganz rantraust.
Der Server ist nur Fileserver und Global Catalog Server in der Niederlassung.
Ja das mit dem forced removal wäre meine letzte Möglichkeit - würde es aber noch gerne noch irgendwie hinbekommen. Schon paar mal gemacht - ist ja nicht so schwer - aber ist halt doch aufwendig
Ja das mit dem forced removal wäre meine letzte Möglichkeit - würde es aber noch gerne noch irgendwie hinbekommen. Schon paar mal gemacht - ist ja nicht so schwer - aber ist halt doch aufwendig
Hallo,
ich vermute, das hängt mit dem Computerkennwort zusammen, welches nach 60 Tagen abgelaufen ist.
Setz das mal mit netdom zurück.
Guckst du:
http://support.microsoft.com/kb/325850/de
ich vermute, das hängt mit dem Computerkennwort zusammen, welches nach 60 Tagen abgelaufen ist.
Setz das mal mit netdom zurück.
Guckst du:
http://support.microsoft.com/kb/325850/de
Das mit netdom hab ich auch gemacht. Hat nichts gebracht
Hab jetzt über das Wochenende den dcpromo /forceremoval trick angewendet.... Naja. Jetzt tuts ja wieder.
Hab jetzt über das Wochenende den dcpromo /forceremoval trick angewendet.... Naja. Jetzt tuts ja wieder.
Bitte aber jetzt unbedingt nochmal die Domäne auf Konsistenz prüfen. dcdiag...
Alles im grünen bereich 
na dann is ja alles in Budder
