svdata 15 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Hallo Forum, ich habe ein echtes Problem mit einer Kundenumgebung: Die Umgebung war eine 2003er Umgebung mit XP Clients, der WSUS ging ... Im Zuge der Aktualisierung gabe es einen Server mit Hyper-V und drei virtuellen 2008er Servern, zusätzlich einen 2003er Server zum Drucken und für ... WSUS. Der neue Server wurde nach der Aktualisierung vom AD hinzugefügt, die alten später rausgenommen ... also alles "normal". Ich habe den neuen WSUS Server installiert und alle Updates holen lassen. Dann wollte ich den Clients per GP den WSUS mit Einstellungen zuweisen. Nachdem das nicht ging, die Clients tauchten im WSUS nicht auf, habe ich die Einstellungen direkt in der Registry vorgenommen, der WSUS ging. Nachforschungen führten dazu, dass KEINE GPs ausgeführt werden und bei den Clients ein Kerberos-Fehler auftritt, bei den Servern ist davon NIX zu sehen. Gut wäre natürlich, wenn jemand genau dieses Problem kennt - keine GPs werden ausgeführt und ein Kerberos-Fehler tritt auf? Ansätze sind natürlich auch willkommen. Mein persönlicher Ansatz wäre jetzt einen Testclient neu hinzuzufügen (unnötiger Client erst raus dann wieder rein ins AD, bei Misserfolg einen neuen Client probieren) ... aber u.U. ist es nur ein schlauer "Klick" den jemand kennt ... sowas wie (alle) Kerberos (-Tickets) rücksetzen? Ich geb zu das ist gestochert, weil ich KEINEN Plan habe ... LG Martin Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Was für ein Kerberos Fehler kam denn? Lief auf dem abschalteten Server das AD bzw. wo läuft das AD? Zitieren Link zu diesem Kommentar
svdata 15 Geschrieben 3. Juni 2013 Autor Melden Teilen Geschrieben 3. Juni 2013 Hallo Dukel, die Kerberos-Fehlermeldungen beschaffe ich gerade vom Kunden, ich komme remote nur auf den Server, der bekommt davon nix mit. Natürlich lief das AD auf den 2003er Servern. Habe die neuen Server ins (upgedatete) AD integriert und später die alten Server aus dem AD (ja, mit dcpromo) entfernt ... alles normal und wochenlang ohne Probleme, bis ich mit den GPs angefangen habe und irgenwann voll entnervt auf die Kerberos-Fehler gekommen bin. Gibt es eine einmalig statische Konfiguration, die man zurücksetzen kann ... wäre aber "albern" und kam (hier) noch nie vor? LG Martin Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Welche Kerberos Server treten auf? Fehlermeldungen aus dem Eventlog? Sind die Uhrzeiten auf Clients/Server identisch? Zitieren Link zu diesem Kommentar
svdata 15 Geschrieben 4. Juni 2013 Autor Melden Teilen Geschrieben 4. Juni 2013 (bearbeitet) Hallo Forum, der Fehler hat die ID 7 und tritt beim Anmelden (wenn die GPs gezogen werden sollten) und dann alle 2 Stunden auf. Die Beschreibung wäre z.B.: *** The kerberos subsystem encountered a PAC verification failure. This indicates that the PAC from the client NB-0016D4B86930$ in realm INT.XYZ.DE had a PAC which failed to verify or was modified. Contact your system administrator.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. *** Nachdem nicht alle Clients betroffen sind, kann es kein grundsätzliches Problem sein. Die Umgebung !WAR! eine 2003er Domain mit einem DC und ist jetzt eine 2008R2er mit zwei DCs. Vor der Umstellung traten immer wieder !kurzzeitig! Zugriffsprobleme auf (Timeouts in Applikationen), GPs wurden damals nicht verwendet. Wir hatten auf schlechte Kabel (100MBit, teilweise fliegend) getippt und bei der Umstellung Switches und kritische (alte) Kabel getauscht. U.U. ist das aber dann das ursprüngliche Problem. Früher gab es diese Probleme nicht, dann hat einer unklar gebastelt, nein der weiß nicht was er gemacht hat ... Wir hatten eher auf "alt und unklar" getippt und die eh nötige Umstellung gemacht, die Timeouts sind aber auch mit neuer Switch-Technik weiterhin da, dann ging WSUS per GP nicht, dann die GPs und jetzt das ... Danke fürs Denken und weitere Hilfe! Ich werde parallel nochmal Google bemühen ... Martin Blick ich auf "die Schnelle" nicht http://blogs.msdn.com/b/spatdsg/archive/2007/03/07/pac-validation.aspx Das lange Login habe ich eigentlich auf die servergestützten Profile geschoben http://www.administrator.de/forum/fehlermeldung-kerberos-id-7-beim-xp-client-53831.html LG + Danke! Martin bearbeitet 4. Juni 2013 von svdata Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 4. Juni 2013 Melden Teilen Geschrieben 4. Juni 2013 (bearbeitet) Hast Du das Password vom Konto krbtgt geändert oder hat das der Kunde gemacht ? Dann sind alle bereits ausgestellten Tickets ungültig. Mal auf allen DC's dcdiag /v /c ausführen und u.a. speziell nach Kerberos-Fehlern Ausschau halten. Schau mal auch hier http://blogs.technet.com/b/instan/archive/2011/11/14/the-return-of-pac-mania-aka-some-reasons-why-pac-verification-can-fail.aspx http://blogs.msdn.com/b/spatdsg/archive/2007/03/07/pac-validation.aspx bearbeitet 4. Juni 2013 von zahni Zitieren Link zu diesem Kommentar
svdata 15 Geschrieben 5. Juni 2013 Autor Melden Teilen Geschrieben 5. Juni 2013 Hallo zahni, kann man ein neu Ausstellen erzwingen? Von der Änderung weiß leider keiner was ... LG Martin Zitieren Link zu diesem Kommentar
svdata 15 Geschrieben 7. Juni 2013 Autor Melden Teilen Geschrieben 7. Juni 2013 Schad ... hatte gehofft jemand weiß da mehr? Martin Viele Aufrufe, keiner sagt was ... Martin Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 7. Juni 2013 Melden Teilen Geschrieben 7. Juni 2013 Hast du dcdiag einmal ausgeführt? Kannst du evtl. die Fehler hier posten? Zitieren Link zu diesem Kommentar
svdata 15 Geschrieben 12. Juni 2013 Autor Melden Teilen Geschrieben 12. Juni 2013 Hallo Dukel, ist dcdiag nicht ein Tool für den AD-Server ... da habe ich laut Ereignisprotokol keine Fehler, die Clients haben die Fehler und die Probleme. Ich bin nächste Woche beim Kunden und liefere Infos! LG Martin Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 12. Juni 2013 Melden Teilen Geschrieben 12. Juni 2013 ist dcdiag nicht ein Tool für den AD-Server ... Doch, ist es. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.