AD mit 3 Servern, Problem mit Verbindungen...

[Butterfly 10]

Hallo!

 

Folgendes Problem:

Eine Dömäne mit drei Servern - Srv1, Srv2 und Srv3

Srv3 ist als letzter hinzugekommen, wurde installiert usw., alles im grünen Bereich (Zugriffe untereineinander, AD-Replikation, DNS usw.)

 

Srv3 war ca. 10 Wochen ausgeschaltet. Jetzt habe ich natürlich entsprechende Probleme.

 

1. Srv3 konnte nicht auf Srv1 oder Srv2 zugreifen, jedoch Srv1 und Srv2 auf Srv3. Ich habe mit NETDOM die Kerberos Kennwörter/Verschlüsselungskennwörter (?) zurückgesetzt. Seit dem kann Srv3 auf Srv1 zugreifen, aber nicht auf Srv2 (edit: Plötzlich kann Srv3 auf Srv2 zugreifen). Srv2 kann nicht auf Srv3 zugreifen.

Fehlermeldung: [...] Sie haben evtl. keine Berechtigung [...] Anmeldung felgeschlagen: Der Zielkontoname ist ungültig.

 

Frage:

Um dieses Kerberos-Kennwort mit Netdom zurückzusetzen, muß der Rechner laut MS gebootet werden. Mit dem Start des Anmeldedienstes wird dann ein neues Ticket mit dem PDC erzwungen. Wie ist das bei drei Servern? Muß man dass dann auf zwei Servern gleichzeitig machen? Oder auf allen drei? Oder....?

 

Zu diesem Kerberos-Kennwort: Gilt das Domänenweit oder nur zwischen zwei Srv???

[bribru 10]

Hallo

 

Du hast das Problem das du tompstonezeit zurückstzen musst ( immer nach 90 Tagen ohne Kontakt zur Domäne.

 

Setze dies in der Registry das sollte alles sein.

 

Gruss Bribru

 

Gehen Sie folgendermaßen auf dem Domäne-Controller, der die Fehlermeldungen ausgibt, die in dem Abschnitt "Symptome" dieses Artikels beschrieben werden, vor, um Loose Replication Consistency zu aktivieren:1. Suchen Sie und klicken Sie auf den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

2. Klicken Sie in dem Menü Bearbeiten auf Wert hinzufügen.

3. Fügen Sie den folgenden Wert hinzu:

Wertname: Strict Replication Consistency

Typ: Daten REG_DWORD

Wert: ändert es in 0, wenn der Wert auf 1 setzt.

[grizzly999 11]

Sind die drei Server denn DCs (alle3)? Das hast du nicht geschrieben, man kann es nur mutmaßen.

 

Grund war wirklich, ob DC oder Member, dass der Rechner länger als die 60 tage TombStone LifeTime weg war.

 

Falls DC, hast du den netdom do wie hier beschrieben verwendet?

http://support.microsoft.com/kb/260575/EN-US/

 

Was steht in den Logs?

 

grizzly999

[Butterfly 10]

Sorry: Alle drei sind DCs

 

Ich bekomme nach wie vor keine Zugriffsrechte von Srv2 auf Srv3. Weder auf Dateiebene noch mit der Verwaltungskonsole.

Werde jetzt noch einmal mit netdom das Password/Ticket zurücksetzen....

 

Die Sache mit der Tompstonezeit ist klar, dies dürfte eine Folge der nicht vorhandenen Verbindung sein.

[Butterfly 10]

Nach dem netdom-do:

Nach wie vor kein Zugriff von Srv2 auf Srv3 möglich.

Fehlermeldung in AD: "....Zugriff verweigert"

Fehlermeldung beim Zugriff via Explorer: "....Anmeldung fehlgeschlagen. Der Zielkontoname ist ungültig."

 

[Butterfly 10]

Wenn man Windows rebootet und den Servern ein wenig Zeit gibt, dann geht es auf einmal :rolleyes: :)

 

Mit anderen Worten: Zugriffe sind wieder von jedem zu jedem möglich, die Replizierung funktioniert grundsätzlich. Nachher kommen noch diverse Tests.

 

Jetzt noch eine Frage zu der Tompstonezeit: Ich habe die Reg-Einträge wie oben beschrieben angelegt, diese sind offensichtlich auch synchronisiert worden.

 

Ist die Tompstonezeit dieser User/Konten wieder gültig?

Kann ich den Reg-Eintrag deaktivieren?

Oder müssen diese User neu angelegt werden?

 

 

Übrigens: Vielen Dank Euch beiden :top: