10
Windows 2008 AD Replizierung der zielprizipialname ist falsch
Hallo,
ich habe hier 2 Windows 2008 Server. Beide laufen als DC.
Heute morgen mußten wir den 1. Server herunterfahren und ausschalten. Nach dem Neustart stand Datum auf das Jahr 2008.
Datum habe ich dann geändert auf 2012 und neu gestartet. Aber seit dem habe ich Probleme mit der AD-Replizierung.
Wenn ich die Replizierung vom Server1 (der ausgeschaltet wurde) auf Server2 anstoße bekomme ich die Info Erfolgreich.
Vom Server2 zu Server1 die Fehlermeldung, daß der Vorgang nicht fortgesetzt werden kann, da der Zielprizipialname falsch ist.
DCDIAG auf dem Server1 läuft ohne Fehler.
Auf dem Server1 sind auch die ganzen FSMO Rollen die ich auch nicht umgezogen bekomme.
Was könnte ich denn hier machen?
ich habe hier 2 Windows 2008 Server. Beide laufen als DC.
Heute morgen mußten wir den 1. Server herunterfahren und ausschalten. Nach dem Neustart stand Datum auf das Jahr 2008.
Datum habe ich dann geändert auf 2012 und neu gestartet. Aber seit dem habe ich Probleme mit der AD-Replizierung.
Wenn ich die Replizierung vom Server1 (der ausgeschaltet wurde) auf Server2 anstoße bekomme ich die Info Erfolgreich.
Vom Server2 zu Server1 die Fehlermeldung, daß der Vorgang nicht fortgesetzt werden kann, da der Zielprizipialname falsch ist.
DCDIAG auf dem Server1 läuft ohne Fehler.
Auf dem Server1 sind auch die ganzen FSMO Rollen die ich auch nicht umgezogen bekomme.
Was könnte ich denn hier machen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190627
Url: https://administrator.de/contentid/190627
Printed on: April 24, 2024 at 05:04 o'clock
10 Comments
Latest comment
Kurze zusatzinfo:
DCDIAG auf dem Server1 läuft ohne Fehler
DCDIAG auf dem Server2 bringt diesen Meldungen
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
Homeserver = Server2
DCDIAG auf dem Server1 läuft ohne Fehler
DCDIAG auf dem Server2 bringt diesen Meldungen
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
Homeserver = Server2
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: MeinStandort\SERVER2
Starting test: Connectivity
......................... SERVER2 hat den Test Connectivity bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: MeinStandort\SERVER2
Starting test: Advertising
......................... SERVER2 hat den Test Advertising bestanden.
Starting test: FrsEvent
Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge
haben.
......................... SERVER2 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... SERVER2 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... SERVER2 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... SERVER2 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
[SERVER1] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Achtung: SERVER1 ist Schema Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
[SERVER1] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: SERVER1 ist Schema Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SERVER1 ist Domain Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SERVER1 ist Domain Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SERVER1 ist PDC Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SERVER1 ist PDC Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SERVER1 ist Rid Owner, reagiert jedoch nicht auf die
DS-RPC-Bindung.
Achtung: SERVER1 ist Rid Owner, reagiert jedoch nicht auf die
LDAP-Bindung.
Achtung: SERVER1 ist Infrastructure Update Owner, reagiert jedoch nicht
auf die DS-RPC-Bindung.
Achtung: SERVER1 ist Infrastructure Update Owner, reagiert jedoch nicht
auf die LDAP-Bindung.
......................... SERVER2 hat den Test KnowsOfRoleHolders
nicht bestanden.
Starting test: MachineAccount
......................... SERVER2 hat den Test MachineAccount
bestanden.
Starting test: NCSecDesc
Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte fr den Namenskontext:
DC=ForestDnsZones,DC=MeineDomaene,DC=de
Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte fr den Namenskontext:
DC=DomainDnsZones,DC=MeineDomaene,DC=de
......................... SERVER2 hat den Test NCSecDesc nicht
bestanden.
Starting test: NetLogons
......................... SERVER2 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... SERVER2 hat den Test ObjectsReplicated
bestanden.
Starting test: Replications
[Replications Check,SERVER2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SERVER1 nach SERVER2
Namenskontext: DC=ForestDnsZones,DC=MeineDomaene,DC=de
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2012-09-03 14:50:28.
Letzter erfolgreicher Vorgang: 2012-09-03 06:50:27.
Seit dem letzten erfolgreichen Vorgang sind 8 Fehler aufgetreten.
[Replications Check,SERVER2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SERVER1 nach SERVER2
Namenskontext: DC=DomainDnsZones,DC=MeineDomäne,DC=de
Beim Replizieren ist ein Fehler aufgetreten (1256):
Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.
Auftreten des Fehlers: 2012-09-03 14:50:28.
Letzter erfolgreicher Vorgang: 2012-09-03 06:50:27.
Seit dem letzten erfolgreichen Vorgang sind 8 Fehler aufgetreten.
[Replications Check,SERVER2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SERVER1 nach SERVER2
Namenskontext: CN=Schema,CN=Configuration,DC=MeineDomaene,DC=de
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2012-09-03 14:50:28.
Letzter erfolgreicher Vorgang: 2012-09-03 06:50:27.
Seit dem letzten erfolgreichen Vorgang sind 8 Fehler aufgetreten.
[Replications Check,SERVER2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SERVER1 nach SERVER2
Namenskontext: CN=Configuration,DC=MeineDomaene,DC=de
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2012-09-03 14:50:28.
Letzter erfolgreicher Vorgang: 2012-09-03 06:56:25.
Seit dem letzten erfolgreichen Vorgang sind 20 Fehler aufgetreten.
[Replications Check,SERVER2] Bei einer krzlich ausgefhrten
Replikation ist ein Fehler aufgetreten:
Von SERVER1 nach SERVER2
Namenskontext: DC=MeineDomaene,DC=de
Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
Der Zielprinzipalname ist falsch.
Auftreten des Fehlers: 2012-09-03 15:19:18.
Letzter erfolgreicher Vorgang: 2012-09-03 07:24:19.
Seit dem letzten erfolgreichen Vorgang sind 161 Fehler aufgetreten.
......................... SERVER2 hat den Test Replications nicht
bestanden.
Starting test: RidManager
......................... SERVER2 hat den Test RidManager nicht
bestanden.
Starting test: Services
......................... SERVER2 hat den Test Services bestanden.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 09/03/2012 14:39:24
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von SERVER1 "SERVER1$" empfangen. Der verwendete Zielname war MeineDomäne\SERVER1$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (MeineDomaene.de) von der Clientdom„ne (MeineDomaene.de) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 09/03/2012 14:44:52
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von SERVER1 "SERVER1$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/55dbda07-8f7d-4288-b024-c235c999129f/MeineDomaene.de@MeineDomaene.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (MeineDomaene.de) von der Clientdom„ne (MeineDomaene.de) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 09/03/2012 15:06:25
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von SERVER1 "SERVER1$" empfangen. Der verwendete Zielname war LDAP/55dbda07-8f7d-4288-b024-c235c999129f._msdcs.MeineDomaene.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (MeineDomaene.de) von der Clientdom„ne (MeineDomaene.de) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Fehler. Ereignis-ID: 0x40000004
Erstellungszeitpunkt: 09/03/2012 15:21:50
Ereigniszeichenfolge:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von SERVER1 "SERVER1$" empfangen. Der verwendete Zielname war ldap/SERVER1.MeineDomaene.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (MeineDomaene.de) von der Clientdom„ne (MeineDomaene.de) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
......................... SERVER2 hat den Test SystemLog nicht
bestanden.
Starting test: VerifyReferences
......................... SERVER2 hat den Test VerifyReferences
bestanden.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgefhrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: MeineDomaene
Starting test: CheckSDRefDom
......................... MeineDomaene hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... MeineDomaene hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgefhrt auf: MeineDomaene.de
Starting test: LocatorCheck
......................... MeineDomaene.de hat den Test LocatorCheck
bestanden.
Starting test: Intersite
......................... MeineDomaene.de hat den Test Intersite
bestanden.
Hi,
also der Server war nur für ein paar Stunden aus und in der Zwischenzeit
habt Ihr nichts weiter gemacht? Kann ich mir ehrlich gesagt nich vorstellen...
Poste die Ausgabe von dcdiag.exe bitte nochmal in Code Tags.
Gruß Daniel
also der Server war nur für ein paar Stunden aus und in der Zwischenzeit
habt Ihr nichts weiter gemacht? Kann ich mir ehrlich gesagt nich vorstellen...
Poste die Ausgabe von dcdiag.exe bitte nochmal in Code Tags.
Gruß Daniel
ist leider wirklich so.
Was genau meinst Du mit Code Tags?
Was genau meinst Du mit Code Tags?
Schaust du hier: Formatting instructions in the posts unter Quellcode.
Also durch runterfahren geht kein Win 2k8 DC kaputt, würde ich drauf wetten.
Egal...
Ich habe mal recherchiert und das hier gefunden (http://social.technet.microsoft.com/Forums/de/active_directoryde/thread ..) was so ziemlich dein Problem beschreibt.
Ich würde dir jetzt empfehlen den 6. Post durchzuarbeiten um rauszufinden ob die DC´s unterschiedliche Kennwörter haben.
Gruß Daniel
Egal...
Ich habe mal recherchiert und das hier gefunden (http://social.technet.microsoft.com/Forums/de/active_directoryde/thread ..) was so ziemlich dein Problem beschreibt.
Ich würde dir jetzt empfehlen den 6. Post durchzuarbeiten um rauszufinden ob die DC´s unterschiedliche Kennwörter haben.
Gruß Daniel
Macht schon Sinn dass DC2 die Kommunikation mit DC1 verweigert. Schließlich hat es sich DC1 via Kerberos mit DC2 dank seines 2008er Datums so was von vermießt (Ließ: Vertrauensbasis zwischen beiden DC inexistent).
Ich bezweifel dass du den DC1 wieder richtig sauber hinbekommst. Imo hast du jetzt 2 Möglichkeiten:
1) Du verzichtest du die Änderungen am AD seit dem Ausfall von DC1, und setzt die AD-Rolle von DC2 neu auf. Aber: Aufpassen wenn du im AD schreibende Anwendungen hast, etwa Exchange. Dann kann das gut in die Hose gehen.
2) Du erzwingst auf DC2 die vollständige Übernahme aller relevanten Rollen. (Sollte via "seize role" [idF auf jeden Fall mal "seize schema master"] machbar sein) Danach wirfst du DC1 komplett raus, und bindest ihn wieder neu ein, sprich Rolle AD raus, rein und mit dcpromo wieder in die Domäne lassen.
Auf die Art verlierst du zumindest mal keine Daten. Dazu sollte DC2 aber zumindest die Rolle GC inne haben.
Selbst wurde ich zum Glück noch nie mit so einem Fall konfrontiert... Bevor du irgendwas tust, fahr ein Backup sowohl vom kaputten DC1 alsauch eines vom DC2.
Ich hoffe mal das hier der eine oder andere User etwas mehr Informationen liefern kann als ich.
Grüße,
Philip
Ich bezweifel dass du den DC1 wieder richtig sauber hinbekommst. Imo hast du jetzt 2 Möglichkeiten:
1) Du verzichtest du die Änderungen am AD seit dem Ausfall von DC1, und setzt die AD-Rolle von DC2 neu auf. Aber: Aufpassen wenn du im AD schreibende Anwendungen hast, etwa Exchange. Dann kann das gut in die Hose gehen.
2) Du erzwingst auf DC2 die vollständige Übernahme aller relevanten Rollen. (Sollte via "seize role" [idF auf jeden Fall mal "seize schema master"] machbar sein) Danach wirfst du DC1 komplett raus, und bindest ihn wieder neu ein, sprich Rolle AD raus, rein und mit dcpromo wieder in die Domäne lassen.
Auf die Art verlierst du zumindest mal keine Daten. Dazu sollte DC2 aber zumindest die Rolle GC inne haben.
Selbst wurde ich zum Glück noch nie mit so einem Fall konfrontiert... Bevor du irgendwas tust, fahr ein Backup sowohl vom kaputten DC1 alsauch eines vom DC2.
Ich hoffe mal das hier der eine oder andere User etwas mehr Informationen liefern kann als ich.
Grüße,
Philip
Hi Philip,
ich denke auch, daß das ganze durch das blöde Datum 2001 (nicht 2008) zu stande kommt.
Morgen kommt ein HP Techniker und tauscht das ganze Mainboard, da auch beim vorletzten Ausschalten das Datum nicht mehr stimmt. Der Server ist nun 6 Jahre alt (ich weiß .... sooo alt)
Wenn das gemacht wurde, verschiebe ich mal mit NTDSUTIL die FSMO Rollen
Danke schon mal für die Info.
Gruß, Herry
ich denke auch, daß das ganze durch das blöde Datum 2001 (nicht 2008) zu stande kommt.
Morgen kommt ein HP Techniker und tauscht das ganze Mainboard, da auch beim vorletzten Ausschalten das Datum nicht mehr stimmt. Der Server ist nun 6 Jahre alt (ich weiß .... sooo alt)
Wenn das gemacht wurde, verschiebe ich mal mit NTDSUTIL die FSMO Rollen
Danke schon mal für die Info.
Gruß, Herry
Ein Batteriewechsel reicht da nicht? Oder habt ihr noch nen aktiven Wartungsvertrag der sich da ganz angenehm ausnutzen lässt? ^^
6 Jahre... naja, kommt schon hin.
Und ob 2001 oder 2008, Fakt ist es waren mehr als 5 Minuten Unterschied oder was auch immer du eingestellt hast (5min sind default), und das reicht um Kerberos zu stören.
Ein gutes Gelingen wünsch ich dir,
Grüße,
Philip
6 Jahre... naja, kommt schon hin.
Und ob 2001 oder 2008, Fakt ist es waren mehr als 5 Minuten Unterschied oder was auch immer du eingestellt hast (5min sind default), und das reicht um Kerberos zu stören.
Ein gutes Gelingen wünsch ich dir,
Grüße,
Philip
ist noch ein Care-Pack inkl. VOS drauf 
Habe eben mal alle FSMO Rollen umgezogen. DC per dcpromo /forceremoval entfernt und als Mitgliedsserver eingefügt. Server1 läuft nun als Mitgliedserver und wenn das Board getauscht wurde, wird der Server1 wieder zum DC, damit ich für das AD einen 2. DC habe.
Danke nochmal
Habe eben mal alle FSMO Rollen umgezogen. DC per dcpromo /forceremoval entfernt und als Mitgliedsserver eingefügt. Server1 läuft nun als Mitgliedserver und wenn das Board getauscht wurde, wird der Server1 wieder zum DC, damit ich für das AD einen 2. DC habe.
Danke nochmal
Re,
wenn du den Server entfernt hast, solltest du noch einen Metadata cleanup durchführen,
damit alles aus dem AD entfernt wird.
Siehe http://technet.microsoft.com/en-us/library/cc816907%28v=ws.10%29.aspx
wenn du den Server entfernt hast, solltest du noch einen Metadata cleanup durchführen,
damit alles aus dem AD entfernt wird.
Siehe http://technet.microsoft.com/en-us/library/cc816907%28v=ws.10%29.aspx
