Jump to content

Empfohlene Beiträge

Moin,

 

die SPN-Ausgabe ist unauffällig.

 

Den Funktionslevel kannst du gefahrlos hochstellen, der betrifft nur die DCs untereinander. Einzige Ausnahme ist möglicherweise Exchange (je nach Version), aber das Problem, das du damit haben könntest, hättest du jetzt auch schon aufgrund des 2016er-DCs.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "marsrv9$" empfangen. Der verwendete Zielname war LDAP/MARSRV9. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschl\'fcsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort f\'fcr das Zieldienstkonto nicht mit dem Kennwort \'fcbereinstimmt, das im Kerberos-KDC (Key Distribution Center) f\'fcr den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide f\'fcr die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom\'e4ne (Domain Name ersetzt) von der Clientdom\'e4ne (Domain Name ersetzt) unterscheidet, pr\'fcfen Sie, ob sich in diesen beiden Dom\'e4nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.\par

 

Event Source Name: Kerberos

Event ID: 16384

 

Hi, hast Du bei der 2. Abfrage denn "LDAP/MARSRV9" diesen Eintrag auch angezeigt bekommen?

So wie ich das ganze verstehe ist der SPN nicht oder doppelt registriert, wenn es zu der Fehlermeldung kommt.

https://community.spiceworks.com/topic/277369-security-kerberos-system-event-id-4

Greez

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi, hast Du bei der 2. Abfrage denn "LDAP/MARSRV9" diesen Eintrag auch angezeigt bekommen?

Hier mal die gesamte Ausgabe. Der Server ist registriert.

 

Die Gesamtstruktur "DC=domäne,DC=mbh" wird überprüft.

CN=MARSRV9,OU=Domain Controllers,DC=domäne,DC=mbh

        HOST/marsrv9.domäne.mbh/DOMÄNE

        RPC/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh

        GC/marsrv9.domäne.mbh/domäne.mbh

        HOST/marsrv9.domäne.mbh/domäne.mbh

        HOST/MARSRV9/DOMÄNE

        ldap/MARSRV9/DOMÄNE

        ldap/14a8ea97-1b85-4d2f-afc7-a2071757799d._msdcs.domäne.mbh

        ldap/marsrv9.domäne.mbh/DOMÄNE

        ldap/MARSRV9

        ldap/marsrv9.domäne.mbh

        ldap/marsrv9.domäne.mbh/ForestDnsZones.domäne.mbh

        ldap/marsrv9.domäne.mbh/DomainDnsZones.domäne.mbh

        ldap/marsrv9.domäne.mbh/domäne.mbh

        DNS/marsrv9.domäne.mbh

        NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/marsrv9.domäne.mbh

        E3514235-4B06-11D1-AB04-00C04FC2DCD2/14a8ea97-1b85-4d2f-afc7-a2071757799d/domäne.mbh

        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/marsrv9.domäne.mbh

        TERMSRV/marsrv9.domäne.mbh

        TERMSRV/MARSRV9

        WSMAN/marsrv9.domäne.mbh

        WSMAN/marsrv9

        RestrictedKrbHost/MARSRV9

        HOST/MARSRV9

        RestrictedKrbHost/marsrv9.domäne.mbh

        HOST/marsrv9.domäne.mbh

Bestehender SPN wurde gefunden.

bearbeitet von Küstennebel

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

die Einträge sehen OK aus. Hatte der alte DC zufällig denselben Namen wie der neue?

 

Ansonsten gilt weiter: Beobachten. Erst wenn neue Symptome auftreten, kann man dem sinnvoll nachgehen.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin Nils,

 

nein, der Alte hatte einen anderen Namen.

 

 

Heute morgen haben wir ein anderes Phänomen. Einige Rechner können die neuen Windows Updates, die seit gestern verfügbar sind, nicht einspielen.

Jeder Rechner updatet sich hier selber. Installation ist immer automatisch abends beim Runterfahren. Einen WSUS gibt es nicht.

Wir haben nun gestern mitbekommen, dass sich einige Rechner updaten und andere nicht. Ein manuelles Anstoßen über "Nach Updates suchen" bringt nur die Meldung: "Mit Windows Updates kann derzeit nicht nach Updates gesucht werden, da der Dienst nicht ausgeführt wird. Möglicherweise müssen Sie den Computer neu starten."

Die beiden Dienste (Intelligenter Hintergrundübertragungsdienst und Windows Update) laufen aber.

 

Muss nichts mit dem Kerberos Fehler zu tun haben. Nervt aber genauso .... :cry:

 

Gruß

Jörg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du solltest dir einen WSUS aufsetzen, damit ist vieles einfacher. Aber das ist ein anderes Thema = neuer Thread.

bearbeitet von Sunny61

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

die SPN Ausgabe sieht super aus.

Da weiss ich grad auch nix mehr.

Wie Nils schon sagte, im Auge behalten.;-)

Der Kryptografiedienst läuft auch auf den Windows 10 Clients.

Im Zweifelsfall mal Kontentstore überprüfen.

Dism /online /cleanup-image /scanhealth
Dism /online /cleanup-image /restorehealth

Ich hatte gestern auch Spass mit einem Server 2016 nach Update träge und seltsam.

Kontentstore repariert und alles wieder ok.

Greez

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×