Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fehlermeldungen nach AD-Migration - 2003 R2 zu 2008 R2

Mitglied: Andy1987

Andy1987 (Level 1) - Jetzt verbinden

07.03.2012 um 17:53 Uhr, 7736 Aufrufe, 3 Kommentare

Guten Tag,

am Wochenende fand eine AD-Migration von Win2003 R2 zu Win2008 R2 statt.

Soweit scheint auch alles ganz gut geklappt zu haben. Durchgeführte Aktualisierungen (z.B. Neuanlagen von Benutzern) sind auch auf alles 4 DCs (zwei Win2003 R2 und zwei Win2008 R2).

Im Eventviewer sowie im BestPA von der AD sowie des DNS-Servers habe ich allerdings noch einige Fehlermeldungen aus denen ich nicht Schlau werde. Mein Freund Google hat mir zwar einige ERgebnisse gelierfert aber ich stehe glaub ich gerade auf dem Schlauch.


Die Fehler und Warnungen in der Ereignisanzeige:

1. Warnung - Windows Remote Management - ID 10154

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/DC01.DOMAIN.lan; WSMAN/DC.
Zusätzliche Daten
Empfangener Fehler: 8344: %%8344.

Benutzeraktion
Die SPNs können von einem Administrator mithilfe des Dienstprogramms "setspn.exe" erstellt werden.

Ich habe schon versucht die SPN neu zu registieren:

SETSPN -A WSMAN/DC01.DOMAIN.lan DC01
SETSPN -A WSMAN/DC01 DC01

Hierbei erhalte ich auch die Rückmeldung das der Befehl erfolgreich ausgeführt wurde. Jedoch ist die Warnung nach dem nächsten Neustart wieder da.

2. Warnung - Kerberos-Key-Distribution-Center - 29
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.

Hierbei habe ich gelesen, dass diese Warnung ignoriert werden kann. Da eine solche Meldung allerdings z.B. DCDIAG angemeckert wird, wurde ich die Warnung gerne aus der Welt schaffen.

3. Fehler - DNS-Server-Service - ID 4010
Der DNS-Server konnte den Ressourceneintrag für f9a8c965-5994-476e-8762-327c80f8bba5._msdcs.DOMAIN.lan. in Zone DOMAIN.lan nicht erstellen. Die Active Directory-Definition dieses Ressourceneintrags ist beschädigt oder enthält einen ungültigen DNS-Namen. Die Ereignisdaten enthalten den Fehlercode.

Diese Meldung erhalte ich bei jedem Neustart des Servers 4 Mal (Anzahl der DCs). Angeblich soll der Fehler durch den Befehl dicdiag /fix behoben sein. Alternativ sollte durch löschen der Einträge in der DNS-Zone der Fehler verschwinden. Leider hat beides nicht zum Erfolg geführt.
Hierzu muss ich allerdings noch anmerken, dass die Zone _msdcs per Hand neu angelegt werden musste. Warum und Wer diesen Eintrag mal gelöscht hat, kann ich leider nicht sagen.

Fehler und Warnungen im BestPa des DNS-Servers:

1. Fehler: DNS: Sekundäre Server der Zone TrustAnchors müssen auf Abfragen für die Zone reagieren.

Hierbei bin ich leider absolut Ahnungslos was ich machen könnte.

2. Warnung: DNS: Der sekujndäre Server 192.168.0.2 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.

3. Warnung: DNS: Der sekujndäre Server 192.168.0.1 von Zone TrustAnchors sollte Abfragen für die Zone reagieren.

Bei 2 und 3 vermute ich einen Zusammenhang mit der 1. Meldung


Fehler und Warnungen im BestPa des DNS-Servers:

1. Fehler: Titel: Mit dem Best Practices Analyzer für die Active Directory-Domänendienste (Active Directory Domain Services Best Practices Analyzer, AD DS BPA) sollte das Sammeln von Daten über Gruppenrichtlinienergebnis-Einstellung "Auf diesen Computer vom Netzwerk aus zugreifen" von der Domänencontroller DC01 möglich sein.

Über den Befehl "$doc = C:\Windows\System32\BestPractices\v1.0\Models\Microsoft\Windows\DirectoryServices\DirectoryServices_model.ps1" habe ich auch einen Account (Cannot translate account name S-1.......) gefunden der dafür Schuld sein könnte. Aber wir bekomme raus welches Object das ist? Habe schon User und Computer durchsucht, aber dabei nicht die SID gefunden.



Ich hoffe wirklich sehr das ihr mir weiterhelfen könnt.

Vielen Vielen Dank im Voraus.
Mitglied: 60730
07.03.2012 um 19:25 Uhr
moin,

also ohne groß nachzusehen...

  • 1 öffne adsiedit und erlaube dem Netzwerk Dienst den Validated Write to Service Principal Name ändern zu dürfen.
  • 2 eh klar - entweder ein selbstgezimmertes cert oder ein "echtes" dranbappschen.
  • 3 tja da bin ich auch ahnungslos - du hast 4 Dcs und nur du weißt, welche Ip die haben und was das überhaupt für zonen sind...
So kann man das nicht adhock "lösen"

Gruß

edit

ich kriech n Hals

/edit

Bitte warten ..
Mitglied: Andy1987
07.03.2012 um 20:16 Uhr
Moin,

danke für die Antwort.

1. Ich werde das nachher nochmal probieren und dann bescheid geben ob es erfolg hatte.

2. Bevor ich hierbei etwas falsch mache, wie erstelle ich ein zertifikat und binde es sauber ein?

3. Also ich habe derzeit noch 4 DCs. die zwei DCs die noch auf Server 2003 laufen möchte ich aber runterstufen zum memberserver. Allerdings habe ich Aufgrund der Meldungen dabei noch etwas Magenschmerzen, obwohl es doch so aussieht als ob nichts beeinträchtigt ist.
Die Zone TrustAnchors sehe ich in der DNS-Verwaltung leider nicht. mit adsiedit kann ich sie sehen. Ich verstehe noch nicht so wirklich was es hiermit aufsich hat.


Sorry wegen der doppelten Frage. Die erste Frage konnte ich hier nicht sehen und auch nicht editieren. Da dachte ich es ist etwas schief gelaufen.
Bitte warten ..
Mitglied: Andy1987
07.03.2012 um 21:20 Uhr
Zitat von 60730:
  • 1 öffne adsiedit und erlaube dem Netzwerk Dienst den Validated Write to Service Principal Name
ändern zu dürfen.

So die ersten Fehlermeldungen sind jetzt weg. Schon mal vielen dank für die Hilfe....
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Migration 2008-2012R2
Frage von NikoghosyanWindows Server5 Kommentare

Hallo Gemeinde, ich brauche einen Rat bei der Migration der AD. Sitze gerade bei einem Kunden, bei dem in ...

Microsoft

AD Server 2008 R2 Migration zu Server 2012 R2 der serverseitigen Profile

gelöst Frage von icegetMicrosoft3 Kommentare

Hallo liebe Community, habe eine AD Migration von Server 2008R2 Server 2012R2 am laufen. Habe ungefähr 300 Benutzer mit ...

Windows Server

Migration von 2003 zu 2012 R2

gelöst Frage von mt11341Windows Server8 Kommentare

Hallo zusammen, ich habe eine Domäne mit 2 DC´s und eine Subdomäne mit einem DC. Auf den Servern läuft ...

Windows Server

Migration 2008 R2 Foundation zu 2012 R2 Std

Frage von corpse2001Windows Server5 Kommentare

Hallo, ich möchte eine Migration von 2008 R2 Foundation zu 2012 R2 Std. durchführen. Also AD, FSMO's übertragen etc. ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 6 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 10 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...