warbird001 10 Geschrieben 27. März 2017 Melden Teilen Geschrieben 27. März 2017 Hallo AlleBei einem Hardware Ausfalls an unserem ersten DC (server1) sind die beiden DCs unserer alt umgebung aus dem Tritt gekommen.Es handelt sich um zwei w2k3 DCs auf denen eine w2k3 Domaene Laeuft. In der Domaene melden sich keine normalen Anwender mehr an sie muss aber wegen einer sehr speziellen Software bis auf weiteres weiterlaufen.Auf dem ersten DC(server1) der alle AD Rollen innehat taucht seit dem vorfall die gleiche Fehlermeldung (Ereignisskennung: 13508) auf wie auf dem Server7. Ansonsten ist auf server1 nichts weiter zu sehen.Auf den anderen server(server7, server4) taucht unter anderem noch Ereignisskennung: 4 KRB_AP_ERR_MODIEFIED auf.Mir sind fuer so eine Situation 2 Moeglichkeiten Bekannt:1. Den server1 non-Authoritiv aus einem Backup wiederherstellen, -> server1 vom Netz trennen, mittels ntbackup non-authoritiv wieder einspielen, neu starten, netzwerk anschliessen und hoffen das die zwei sich wieder syncronisieren. Ich bin mir aber unsicher ob das beim Inhaber aller AD Rollen so einfach machbar ist.2. Den Server1 komplett entfernen und server7 mittels ntdsutil (SEIZE) zum Inhaber aller Rollen zu machen.Ist das so richtig oder gibt es bei Ereignisskennung 4 - KRB_AP_ERR_MODIFIED noch einen anderen Loesungsweg?Die Kompletten Ferhlermeldungen habe ich unten angehaengt.Danke.ciaoStefan:wqDer zweite DC (server7) bringt seit dem Vorfall folgende Meldungen im Ereignissprotokoll:Bereich Verzeichnissdienst:---Ereignistyp: WarnungEreignisquelle: NtFrsEreigniskategorie: KeineEreigniskennung: 13508Datum: 26.03.2017Zeit: 16:27:12Benutzer: Nicht zutreffendComputer: SERVER7Beschreibung:Der Dateireplikationsdienst konnte die Replikation von SERVER1 nach SERVER7 für c:\windows\sysvol\domain mit DNS-Namen server1.ausbildung.XXX.de nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name server1.ausbildung.xxx.de von diesem Computer konnte nicht ausgewertet werden.[2] Der Dateireplikationsdienst wird auf server1.ausbildung.xxx.de nicht ausgeführt.[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten:0000: 21 07 00 00 !... Bereich System:Ereignistyp: FehlerEreignisquelle: KerberosEreigniskategorie: KeineEreigniskennung: 4Datum: 27.03.2017Zeit: 10:24:36Benutzer: Nicht zutreffendComputer: SERVER7Beschreibung:Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war . Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ---Auf den 2 Mitgliesservern der Domaene tauchen folgende Fehlermeldungen immer wieder auf:Im Bereich System:---Ereignistyp: FehlerEreignisquelle: KerberosEreigniskategorie: KeineEreigniskennung: 4Datum: 27.03.2017Zeit: 12:13:57Benutzer: Nicht zutreffendComputer: SERVER4Beschreibung:Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war DNS/server1.ausbildung.xxx.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Im Bereich Anwendung:Ereignistyp: FehlerEreignisquelle: UserenvEreigniskategorie: KeineEreigniskennung: 1030Datum: 27.03.2017Zeit: 11:41:33Benutzer: AUSBILDUNG\admComputer: SERVER4Beschreibung:Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: FehlerEreignisquelle: UserenvEreigniskategorie: KeineEreigniskennung: 1058Datum: 27.03.2017Zeit: 04:40:01Benutzer: AUSBILDUNG\AdministratorComputer: SERVER4Beschreibung:Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={2DB7F410-FBBF-4A0F-91F8-E4358F91C537},CN=Policies,CN=System,DC=ausbildung,DC=xxx,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ausbildung.xxx.de\SysVol\ausbildung.xxx.de\Policies\{2DB7F410-FBBF-4A0F-91F8-E4358F91C537}\gpt.ini> vorhanden sein. (Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. --- Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 27. März 2017 Melden Teilen Geschrieben 27. März 2017 Moin, sind die DCs nur DC oder führen sie noch andere Software aus? Was ist nach dem Hardwareausfall passiert? Wurden die Server nur wieder eingeschaltet? Oder habt ihr was anderes gemacht, z.B. ein Image zurückgespielt? Sofern die DCs nur DC sind, ist es normalerweise am besten, den defekten DC abzuschalten und aus dem AD zu löschen. Da es sich um Windows 2003 handelt, muss man dazu ntdsutil nutzen, der Vorgang ist aber dokumentiert. Könnte allerdings sein, dass man die zugehörigen KB-Artikel nicht mehr ohne Weiteres findet. Die FSMO-Rollen kann man auf einen der anderen DCs übertragen, dabei im GUI bestätigen, dass der alte Server nicht mehr erreichbar ist. Oder mit ntdsutil und seize arbeiten. Der alte Rolleninhaber darf dann nicht mehr online gehen (Netzwerkkabel entfernen und nicht wieder anstecken). Gruß, Nils 1 Zitieren Link zu diesem Kommentar
warbird001 10 Geschrieben 27. März 2017 Autor Melden Teilen Geschrieben 27. März 2017 Moin, sind die DCs nur DC oder führen sie noch andere Software aus? Was ist nach dem Hardwareausfall passiert? Wurden die Server nur wieder eingeschaltet? Oder habt ihr was anderes gemacht, z.B. ein Image zurückgespielt? Sofern die DCs nur DC sind, ist es normalerweise am besten, den defekten DC abzuschalten und aus dem AD zu löschen. Da es sich um Windows 2003 handelt, muss man dazu ntdsutil nutzen, der Vorgang ist aber dokumentiert. Könnte allerdings sein, dass man die zugehörigen KB-Artikel nicht mehr ohne Weiteres findet. Die FSMO-Rollen kann man auf einen der anderen DCs übertragen, dabei im GUI bestätigen, dass der alte Server nicht mehr erreichbar ist. Oder mit ntdsutil und seize arbeiten. Der alte Rolleninhaber darf dann nicht mehr online gehen (Netzwerkkabel entfernen und nicht wieder anstecken). Gruß, Nils Der DC nacht zusaetzlich noch DHCP. Der DC wurde nach dem Crash nur eingeschaltet. Bisher wurde kein Backup/Image irgendeiner Art zurueckgeschrieben. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 28. März 2017 Melden Teilen Geschrieben 28. März 2017 Moin, OK. Dann siehe meine Handlungsempfehlung. Wenn es um eine spezielle Software geht, die Windows 2003 braucht, könnten die DCs ja trotzdem mit einem supporteten Betriebssystem laufen. Würde die Fehlerbehebung - gerade bei einer wichtigen Applikation - dann doch erleichtern. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.