Groupolicy Fehlermeldungen

[vohinh134 10]

Hallo Zusammen,

 

ich habe leider seit gestern ein ganz böses Problem:

 

Auf unserem Fileserver (physikalisch) wurde das Cache-Modul von HP ausgetauscht und darauf hin wurden gleich RAID Controller und Festplatten Firmware  durchgeführt und das iLO PW für Administrator geändert

Server fährt ganz normal hoch -> Hardware nach Austausch in Ordnung.
 

Unser Fileserver ist gleichzeitig auch DNS Server. Ich habe noch ein anderen DNS Server, der als Betriebsmaster fungiert.

 

Allerdings habe festgestellt, dass der Server nicht mehr über \\fileserver erreichbar war sonder nur über IP-Adresse. Beim Zugriff mit \\servername habe ich die Fehlermeldung, dass ich keine Berechtigung dafür habe.

Klingt irgendwie nach DNS Problem

Auf dem Fileserver wurden folgende Events gemeldet:

 

Ereignis ID-4

 

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "filserver$" empfangen. Der verwendete Zielname war LDAP/servername.domain. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain) von der Clientdomäne (domain) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

 

Ereignis ID 4000

Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für das Abrufen und Verwenden von Informationen aus dem Verzeichnis für diese Zone konfiguriert und kann die Zone ohne die Informationen nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.

 

Ereignis ID-1006

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".

 

Ereignis ID: 5002

Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "filserver" für Replikationsgruppe "Domain System Volume". 

  

Partner-DNS-Adresse: fileserver.domain

  

Optionale Daten, falls verfügbar: 

Partner-WINS-Adresse: fileserver 

Partner-IP-Adresse: ip-adresse des fileservers 

  

Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen. 

 

Weitere Informationen: 

Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.) 

Verbindungs-ID: C15121CF-5FFF-4DEB-990B-B6A2E63A54FE 

Replikationsgruppen-ID: 3CEF5A9D-B126-4322-81B9-ADBFF5148CE3

 

 

Ereignis-ID: 1058

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domain\SysVol\domainPolicies\{965417EF-88BB-47BB-8D9F-6660242EEA68}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann: 

a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller. 

b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert). 

c) Der DFS-Client (Distributed File System) wurde deaktiviert.

 

Den Filesever wurden 2 mal neugestartet mit deaktiviertem KDC Dienst-> Problem besteht weiterhin.

Nachdem ich Acive Directory und DNS Dienste auf dem Fileserver neugestartet habe, funktionieren die Logon Scripte und ich kann alle Netzlaufwerke mit \\fileservername zugreifen.

 

Ich habe diverse Lösungsansätze probiert und habe dabei keine Erfolg gehabt. Vielleicht hat jemand eine Idee?

Ich bin für schnelle Antworte sehrrrrrr dankbar.


 

[daabm 1.184]

2 verschiedene Probleme...

 

1. Du hast mehrere Domain Controller, und das krbtgt-Kennwort ist auf mindestens einem davon nicht mehr synchron...

Deaktiviere auf allen DCs mit Ausnahme des PDC den Dienst "KDC" und boote sie dann neu. Damit werden sie gewzungen, sich ein TGT/TGS vom PDC zu holen, können das AD dann wieder synchronisieren und das Kennwort sollte wieder synchron sein.

 

2. Dein Sysvol repliziert nicht mehr. Entweder auch wegen dem krbtgt-Problem (ziemlich sicher sogar) oder wegen USN Journal Wrap. Das siehst Du im DFSR- bzw. FRS-Eventlog auf den Domain Controllern. Lösung im zweiten Fall: D2-Restore auf allen, die NICHT der PDC sind.

 

Mit DNS hat das nix zu tun :)

[vohinh134 10]

Hallo daabm,

ich habe 3 GC und 1 DC.

Der PDC war auf einem der Domaincontroller, dieser ist Betriebmaster. Komischerweise zeigt mir jetzt Active Directory der DHCP Server als PDC und Infrastruktur an.

lt. Lösung 1 sollte ich auf allen DC den Keberos Dienst (außer der DHCP Server) deaktivieren und neustarten. Muss ich nach dem Neustart den Dienst wieder starten oder warte ich erstmal ab, ob weitere Fehlermeldung aufgetreten sind?

 

Vielen Dank

[daabm 1.184]

"dsquery server -hasfsmo pdc" und die anderen 4 auch prüfen: -hasfsmo {schema | name | infr | pdc | rid}

Die sollten in einem Single Domain Single Forest Design alle auf dem gleichen DC liegen. Auf dem machst Du nix. Auf allen anderen:

net stop kdc

sc config kdc start= disabled

shutdown -r

Dann warten bis alle wieder da sind, Eventlog Verzeichnisdienst und DFSR/FRS prüfen.

Edit: Wenn alles in den Eventlogs grün ist:

sc config kdc start= auto

net start kdc

 

Was hat DHCP oder GC mit dem ganzen zu tun?

bearbeitet 6. Mai 2017 von daabm

[vohinh134 10]

das Problem ist, dass schema | name | infr | pdc | rid alle auf einem Server waren. (DC01).

Wenn ich jetzt die Rollen auslese, liegen schema,name,rid auf dem DC01, infr und pdc auf dem DHCP Server. Was für mich ungeklärlich ist.

Über Active Directory-> Betriebsmaster auf dem DC01 zeigt pdc und infr der DC01 an.

Auf dem DHCP Server über Active Directory-> Betriebmaster wird unter RID Betriebmaster:Fehler angezeigt und pdc,infr der DHCP Server

bearbeitet 6. Mai 2017 von vohinh134

[daabm 1.184]

Jetzt lass mal DNS und DHCP weg - wir reden nur über Domain Controller:

dsquery server

Das sind alle Deine DCs.

Auf jedem lokal fragst Du jetzt mal bitte alle Betriebsmaster ab - aber nicht per GUI, sondern per dsquery:

@for %f in (schema name infr pdc rid) do @dsquery server -hasfsmo %f -server %computername%

Kannst auch lokal vom Arbeitsplatz aus machen, dann ersetze hinten %computername% nacheinander durch die Namen Deiner DCs. Dann kannst Du weiter überlegen.

[vohinh134 10]

Bei Abfragen von:

@for %f in (schema name infr pdc rid) do @dsquery server -hasf

smo %f -server servername

bekomme ich die Fehlermeldung:

dsquery Fehler:Der Zielprinzipalname ist falsch.

[daabm 1.184]

Vom AP aus? Dann machs lokal auf dem jeweiligen Server - Ursache dafür ist das oben geschilderte krbtgt-Problem :-)

[vohinh134 10]

Es scheint, dass die GUI mir falsche Informationen anzeigt. Mit der Abfrage auf dem Betriebmaster, zeigt er richtig alle Rollen an und zwar nur auf ihm.

Ich bekomme sonst auf anderen DCs die fehlermeldung Der Zielprinzipalname ist falsch.

 

Ich werde heute Abend den KDC Dienst deaktivieren und die 3 Server neustarten.

Danke dir schon mal für die großartige und schnelle Hilfe. Ich melde mich
 

[vohinh134 10]

Hallo daabm,

ich wollte heute Abend die 3 GC neustarten, allerdings habe ich ein Problem festgestellt:
bei Abfragen @for %f in (schema name infr pdc rid) do @dsquery server -hasfsmo %f -server %computername% auf dem DC01 werden alle Rollen nur auf diesem Server angezeigt

Wenn ich die gleiche Abfrage auf anderen DC mache, dann werden schema,name,rid auf dem DC01 angezeigt und infr,pdc auf einem anderen Server.

Da der PDC nicht neugestartet werden soll, bin ich mir nicht sicher, welche Server ich nicht neustarten soll.

Hast du vielleicht eine Idee?

Vielen Dank
 

[vohinh134 10]

Hat jemand noch eine Idee?

Ich muss heute das Problem lösen und komme da nicht weiter.

 

[daabm 1.184]

Naja, steht doch oben eigentlich schon alles...

Deaktiviere den KDC auf allen DCs außer dem PDC. Und die startest Du dann neu.

[vohinh134 10]

Ich habe aber davor noch ein Problem:

ich wollte heute Abend die 3 GC neustarten, allerdings habe ich ein Problem festgestellt:
bei Abfragen @for %f in (schema name infr pdc rid) do @dsquery server -hasfsmo %f -server %computername% auf dem DC01 werden alle Rollen nur auf diesem Server angezeigt

Wenn ich die gleiche Abfrage auf anderen DC mache, dann werden schema,name,rid auf dem DC01 angezeigt und infr,pdc auf einem anderen Server.

Da der PDC nicht neugestartet werden soll, bin ich mir nicht sicher, welche Server ich nicht neustarten soll.

 

Der DC01 ist virtuell auf anderem DC (unglückliche Konstellation)
Ich muss den DC01 (PDC) herunterfahren damit den anderen DC (physikalisch) neustarten kann.
Ist es wahrscheinlich das Problem?
Soll ich die FSMO Rollen auf den physikalischen DC umziehen?