Problem Mitgliedsserver Verbindung zu DC

[AlexD1979 10]

Hallo,

Wir haben ein Problem seit ein paar Tagen, seid dem wir den DC neu gebootet haben. Der Mitgliedsserver kann die Domänenaccounts nicht finden bzw die Struktur browsen (z.B. Lokale Benutzer und Gruppen) und wenn wir netdiag ausführen sieht man, dass ein Problem mit dem DNS bestehen solle. Der Eintrag des Servers ist im DNS sowohl als PTR als auch reververse vorhanden, daher kann ich mir das nicht erklären.

 

Auszug netdiag.exe Tool:

Computer Name: XXX

DNS Host Name: XXX.zz.de

System info : Microsoft Windows Server 2003 R2 (Build 3790)

Processor : EM64T Family 15 Model 4 Stepping 10, GenuineIntel

 

 

DNS test . . . . . . . . . . . . . : Passed

[WARNING] Cannot find a primary authoritative DNS server for the name

'poseidon.Herrlich-Ramuschkat.de.'. [ERROR_TIMEOUT]

The name 'poseidon.Herrlich-Ramuschkat.de.' may not be registered in

DNS.

[WARNING] Cannot find a primary authoritative DNS server for the name

'poseidon.Herrlich-Ramuschkat.de.'. [ERROR_TIMEOUT]

The name 'poseidon.Herrlich-Ramuschkat.de.' may not be registered in

DNS.

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{813ED266-DB3D-47A4-BA08-B5E7096D342D}

NetBT_Tcpip_{A5C8A4B5-16ED-407C-BDF2-D180E4F3EBF2}

NetBT_Tcpip_{CC679669-0AF1-40B5-BAA3-CF6CE5384015}

The redir is bound to 3 NetBt transports.

 

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{CC679669-0AF1-40B5-BAA3-CF6CE5384015}

NetBT_Tcpip_{A5C8A4B5-16ED-407C-BDF2-D180E4F3EBF2}

NetBT_Tcpip_{813ED266-DB3D-47A4-BA08-B5E7096D342D}

The browser is bound to 3 NetBt transports.

 

 

DC discovery test. . . . . . . . . : Passed

 

 

DC list test . . . . . . . . . . . : Failed

[WARNING] Cannot call DsBind to mars.Herrlich-Ramuschkat.de (192.168.1.172).

[ERROR_OUTOFMEMORY]

 

 

Trust relationship test. . . . . . : Failed

[FATAL] Secure channel to domain 'HERA' is broken. [ERROR_NO_LOGON_SERVERS]

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'PICARD.Herrlich-Ramuschkat

.de'.

[FATAL] Cannot open an LDAP session to 'mars.Herrlich-Ramuschkat.de' at '192

.168.1.172'.

[WARNING] Failed to query SPN registration on DC 'mars.Herrlich-Ramuschkat.d

e'.

 

 

Bindings test. . . . . . . . . . . : Passed

 

 

WAN configuration test . . . . . . : Skipped

No active remote access connections.

 

 

Modem diagnostics test . . . . . . : Passed

 

IP Security test . . . . . . . . . : Skipped

 

Note: run "netsh ipsec dynamic show /?" for more detailed information

 

 

The command completed successfully

 

C:\Program Files\Support Tools>

[carsten.m 10]

Hallo,

 

wurde überprüft ob die Netzwerkkarten noch richtig Konfiguriert sind?

 

Wie lange dauert denn die Anmeldung am Server?

 

Nslookup und ping getestet?

Ipconfig überprüft?

 

Mfg

Carsten M.

[AlexD1979 10]

Hallo,

 

wurde überprüft ob die Netzwerkkarten noch richtig Konfiguriert sind?

 

Wie lange dauert denn die Anmeldung am Server?

 

Nslookup und ping getestet?

Ipconfig überprüft?

 

Mfg

Carsten M.

 

Ja die KArten sind manuell gesetzt. Die Anmeldung mit einem Dom-Account geht schnell, keine nennenswerte Verzögerung.

Ping DC <==> Server ok und nslookup auch.

Was ich aber immer wieder im System Event Log finde sind solche Sachen:

The system failed to register host (A) resource records (RRs) for network adapter

with settings:

 

Adapter Name : {813ED266-DB3D-47A4-BA08-B5E7096D342D}

Host Name : poseidon

Primary Domain Suffix : Herrlich-Ramuschkat.de

DNS server list :

192.168.1.172, 192.168.1.222

Sent update to server : 192.168.1.172

IP Address(es) :

192.168.1.208

 

The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.

 

You can manually retry DNS registration of the network adapter and its settings by typing "ipconfig /registerdns" at the command prompt. If problems still persist, contact your DNS server or network systems administrator. For specific error code, see the record data displayed below.

 

For more information, see Help and Support Center at

oder sowas :

This computer was not able to set up a secure session with a domain controller in domain HERA due to the following:

Not enough storage is available to process this command.

This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.

 

Aber das ist wohl die eindeutigste Aussage auf einem DC (ist nicht der Betriebsmaster) :

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/poseidon." empfangen. Der verwendete Zielname war RPCSS/poseidon.herrlich-ramuschkat.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (ARBEITSGRUPPE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

 

Irgendwo bin ich der Meinung öfters in dem Zusammenhang gelesen zu haben "Access Denied", immer wenn der Server versucht vom DC was zu erfragen oder zu registrieren. Irgendwo stand das PRoblem kann auftreten, wenn das Computerkennwort auf dem Server und auf dem DC unterschiedlich sind.

Aber wie man das wieder in Einklang bringt, keine Ahnung