mfdoom 10 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 Hallo liebe Boardindianer, ich habe seit kurzem ein Problem mit meinem Windows 2000 Domänencontroller (alle 5 FSMO-Rollen): Insbesondere die Ausgabe von dcdiag -v macht mir Sorgen, der Server hat bei MachineCheck einen Fehler, ich habe schon den /fix Parameter benutzt jedoch ohne Erfolg. Das Computerkonto existiert aber in der Domäne, hier: ......................... PDC_BTM_KB passed test RidManager Starting test: MachineAccount * PDC_BTM_KB is not trusted for account delegation * SPN found :LDAP/pdc_btm_kb.btm.de/btm.de * SPN found :LDAP/pdc_btm_kb.btm.de * SPN found :LDAP/PDC_BTM_KB * SPN found :LDAP/pdc_btm_kb.btm.de/BTM * SPN found :LDAP/4a6de63b-bee7-4e45-b42a-2f4b24e1dbf9._msdcs.btm.de * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/4a6de63b-bee7-4e45-b42a-2f4b24e1dbf9/btm.de * SPN found :HOST/pdc_btm_kb.btm.de/btm.de * SPN found :HOST/pdc_btm_kb.btm.de * SPN found :HOST/PDC_BTM_KB * SPN found :HOST/pdc_btm_kb.btm.de/BTM * SPN found :GC/pdc_btm_kb.btm.de/btm.de ......................... PDC_BTM_KB failed test MachineAccount Dann gibt es noch ein weiteres Problem, ich habe dem Active Directory die Kontrolle über die Planung der Sites überlassen - dass Ergebnis sind jetzt 3 Standorte die keine automatisch erzeugte Verbindung mehr haben (was man über das Site-Snapin sehen kann) . Infolgedessen bekomme ich die Fehlermeldung wenn ich auf einem Standortserver auf das Snapin "Active Directory Benutzer und Computer" gehe - das der angegebene Zielkontoname ungültig ist. Ausserdem wird bei einem Klick auf Betriebsmaster...überall FEHLER angezeigt. Ich werde jetzt mal eine manuelle Verknüpfung erzeugen und die Server per Hand replizieren, das Ergebnis werde ich hier posten. Danke schonmal für die Hilfe. Simon Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 Bonjour, * PDC_BTM_KB is not trusted for account delegation kontrolliere im Snap-In "Active Directory-Standorte und -Dienste" in den Eigenschaften des DCs, welche Option im Reiter Delegierung aktiviert ist. Unter Windows Server 2003 ist es die Einstellung "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)". Mangels Zugriff auf einen 2000 DC kann ich nicht genau sagen, wie es da lautet. Dann gibt es noch ein weiteres Problem, ich habe dem Active Directory die Kontrolle über die Planung der Sites überlassen Du meinste eher die Kontrolle der Replikation. - dass Ergebnis sind jetzt 3 Standorte die keine automatisch erzeugte Verbindung mehr haben (was man über das Site-Snapin sehen kann) Gehe in das Snap-In "Active Directory-Standorte und -Dienste", erweitere einen DC und wähle in den Eigenschaften des NTDS SETTINGS Objekts die Option Alle Aufgaben - Replikationstopologie überprüfen. Den AD-Standorten sollte natürlich das jeweilige Subnetz verknüpft sein. das der angegebene Zielkontoname ungültig ist. Überprüfe dazu das DNS. In den TCP/IP-Einstellungen - gerade unter Windows 2000 - sollten alle DCs einen zentralen DNS-Server eingetragen haben. Es sollte nicht die Localhost Adresse verwendet werden. Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ? Ausserdem wird bei einem Klick auf Betriebsmaster...überall FEHLER angezeigt. Ist der Träger der FSMO-Rollen denn erreichbar und existiert noch im Netz? Bestehen Netzwerk-/Verbindungsprobleme evtl.? Kontrolliere alle Verzeichnisdienst-Logs der DCs. Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 22. Januar 2008 Autor Melden Teilen Geschrieben 22. Januar 2008 Hallo daim, vielen Dank für Deine schnelle Hilfe, ich hatte auch schonmal auf Deinen Seiten nachgeschaut zu einer Reihe anderer Fragen - alles sehr gut. Zu meinem aktuellen Problem: kontrolliere im Snap-In "Active Directory-Standorte und -Dienste" in den Eigenschaften des DCs, welche Option im Reiter Delegierung aktiviert ist. Unter Windows Server 2003 ist es die Einstellung "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)". Mangels Zugriff auf einen 2000 DC kann ich nicht genau sagen, wie es da lautet. Ich kann im Snapin Sites and Services leider kein entsprechenden Eintrag finden - ich habe zwar 5 2003er DC - aber die Domäne läuft im nativen Windows 2000 Modus. Ich suche mal weiter - irgendwo muss es ja das Äquivalent geben. Die Sites sind alle auch entsprechend mit den korrekten Subnets verbunden. Du meinste eher die Kontrolle der Replikation. Genau - sorry das meinte ich. Ich habe schon vorsorglich in allen Standort NTDS-Settings überprüft mit "Alle Aufgaben -->Replikationstopologie überprüfen" Überprüfe dazu das DNS. In den TCP/IP-Einstellungen - gerade unter Windows 2000 - sollten alle DCs einen zentralen DNS-Server eingetragen haben.Es sollte nicht die Localhost Adresse verwendet werden. Genau daran habe ich mich gehalten, der Betriebsmaster hat den ersten DNS-Server eingetragen (nicht localhost oder 127.1) also der bevorzugte ist er selbst und der alternative ist der zweite DNS Server. Alle anderen DCs haben genau die gleichen DNS-Einstellungen nach diesem Schema: Der Betriebsmaster ist als erster DNS-Server angegeben, danach der Secondary DNS-Server. Ich checke mal die Logs der drei DCs die einen FEHLER haben - müssen sie eigentlich ja auch so anzeigen wenn es keine Verbindung zum anderen Standort gibt, oder? Wenn ich auf dem DC in dem nicht verbundenen Standort auf Replikationstopologie überprüfen klicken bekomme ich die Warnungsmeldung dass der Ziekontoname falsch sei. Liebe Grüße Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 ich hatte auch schonmal auf Deinen Seiten nachgeschaut zu einer Reihe anderer Fragen - alles sehr gut. Das freut mich zu hören :) . Ich kann im Snapin Sites and Services leider kein entsprechenden Eintrag finden Auhaa... Tippfehler vom Amt auf die schnelle. Es muss natürlich Snap-In "Active Directory-Benutzer und -Computer" heißen ;) . Ich checke mal die Logs der drei DCs die einen FEHLER haben - müssen sie eigentlich ja auch so anzeigen wenn es keine Verbindung zum anderen Standort gibt, oder? Ja, wenn die DCs den FSMO-Rollen Träger nicht erreichen können, erscheint in der GUI FEHLER. Wenn ich auf dem DC in dem nicht verbundenen Standort auf Replikationstopologie überprüfen klicken bekomme ich die Warnungsmeldung dass der Ziekontoname falsch sei. Resete auf dem Problem-DC das Computerkonto-Kennwort: Error Message "Target Principal Name is Incorrect" When Manually Replicating Data Between Domain Controllers How To Use Netdom.exe to Reset Machine Account Passwords of a Windows 2000 Domain Controller How to use Netdom.exe to reset machine account passwords of a Windows Server 2003 domain controller Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 22. Januar 2008 Autor Melden Teilen Geschrieben 22. Januar 2008 Hallo Yusuf, Resete auf dem Problem-DC das Computerkonto-Kennwort Genau das las ich auch gerade, ich wollte mich aber darum drücken weil ich die Server jetzt nicht neustarten kann (versuchen werde ich es trotzdem heheh). Ich melde mich an dieser Stelle (spätestens morgen) um das Ergebnis des Computerkontoresets zu posten. Ich habe noch etwas mehr oder weniger Interessantes beim Checken der problematischen DCs gefunden: wenn ich direkt auf den Betriebsmaster zugreifen will (\\rechnername) bekomme ich die Fehlermeldung "Zielkontoname ungültig" - wenn ich jedoch ein nslookup auf den Namen mache bekomme ich das korrekte Ergebnis (FQDN). Es geht über die IP Adresse ohne Probleme (\\10.0.0.100), hmmm... Vielen Dank nochmal, als nächstes mache ich mich an die Umstellung des alten Betriebsmasters (2K) auf 2003, damit habe ich dann die gesamte Domäne 20o3 nativ - dank Dir habe ich genug Lesestoff was dieses Thema anbelangt. hth Simon Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 You are welcome ;) Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 23. Januar 2008 Autor Melden Teilen Geschrieben 23. Januar 2008 Guten Morgen Daim, ich habe gestern den netdom Befehl auf dem kaputten Server ausgeführt, davor habe ich den KDC-Dienst gestoppt und auf Manuell gesetzt. Der Befehl verlief erfolgreich - trotzdem bleibt die Symptomatik dass ich nicht vom Problemserver auf alle anderen Objekte in der Domäne zugreifen kann (Fehlermeldung:"Anmeldung fehgeschlagen - Zielkontoname ungültig"). Andersrum geht das ohne Probleme (also z.B. vom Betriebsmaster zum Problemserver). In meiner Verzweiflung habe ich nochmal den Befehl ausgeführt. Diesmal kam auch die Fehlermeldung auf der Konsole "Zielkontoname ungültig". Die große Quizfrage ist auch wie sich die Server denn ohne Verbindung (in Standorte und Dienste) replizieren sollen? Wäre es möglich per DC-PROMO die Problemserver herabzustufen und dann wieder als Mitgliedserver heraufzustufen? LG Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. Januar 2008 Melden Teilen Geschrieben 23. Januar 2008 Wäre es möglich per DC-PROMO die Problemserver herabzustufen und dann wieder als Mitgliedserver heraufzustufen? Ja, dass kann man machen. Zur Not sogar "mit Gewalt". Aber vorher würde ich den Problem-DC erneut auf Herz und Niere prüfen. Gehe die folgenden Punkte, die in diesem Artikel erwähnt werden durch und kontrolliere ob sich das Verhalten des DCs verbessert: Domain controller is not functioning correctly Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 23. Januar 2008 Autor Melden Teilen Geschrieben 23. Januar 2008 Hallo Daim, ich habe erfolgreich bei 3 Problemservern per netdom mit 2003er Syntax also netdom resetpwd /s:server /ud:domain\User /pd:* zurücksetzen können. Fehlt noch einer der trotz deaktiviertem KDC-Dienst "Das Zielkonto ist ungültig" ausgibt. Ich weiss nicht genau warum das gestern abend fehlschlug, vielleicht weil ich die 2000er Syntax benutzt habe (ich war mir nicht ganz sicher da der Betriebsmaster auf 2000 läuft). Ich werde mal die Liste abarbeiten an was das liegen könnte. Die Standortverknüpfungen habe ich gelöscht da sie nicht funktioniert haben, die müssten ja automatisch neu gesetzt werden, oder muss ich nachhelfen? Danke und liebe Grüße Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. Januar 2008 Melden Teilen Geschrieben 23. Januar 2008 Die Standortverknüpfungen habe ich gelöscht da sie nicht funktioniert haben, die müssten ja automatisch neu gesetzt werden, oder muss ich nachhelfen? Yepp, der KCC prüft alle 15 Minuten die Struktur und justiert ggf. nach. Zitieren Link zu diesem Kommentar
mfdoom 10 Geschrieben 24. Januar 2008 Autor Melden Teilen Geschrieben 24. Januar 2008 Günaydin Daim, leider war ich wohl etwas vorschnell mit meinen Diagnosen - bis jetzt habe ich es immerhin auf einem DC geschafft dass ich auf die anderen zugreifen kann. Leider sind die Replikationen länger als 60 Tage her, d.h. tombstoned. Wie hoch sind meine Chancen das mit repadmin wieder geradezubiegen bevor ich dcpromo an der konsole ausführe? LG Simon Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 24. Januar 2008 Melden Teilen Geschrieben 24. Januar 2008 Günaydin Daim, Oohhh... sieh an, sieh an ;). Leider sind die Replikationen länger als 60 Tage her, d.h. tombstoned. Wie hoch sind meine Chancen das mit repadmin wieder geradezubiegen bevor ich dcpromo an der konsole ausführe? Die Chancen stehen bis zu 100%. Das wird jetzt eine "Bastel-Arbeit" - aber die kann man lösen. Dazu musst du auch immer wieder in Verzeichnisdienst-Logs der DC schauen und die entsprechenden Fehlermeldungen auswerten. Gehe dazu diesen Artikel durch: Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.