none
Anmeldung an Domänencontroller nicht mehr möglich ...

    Frage

  • Ich habe einen zusätzlichen Domänencontroller, auf dem irgendwas passiert sein muss.

    Ich kann mich jedenfalls weder mit einem Domänen-Administrator-Account noch mit dem lokalen Administrator anmelden.

    Das lokale Administratorkennwort ist definitiv richtig. Eskommt aber immer - egal bei welchem Account die Meldung das Passwort sei falsch.

    Kurz gesagt, ich komme an die Kiste nicht mehr ran - weder lokal noch über Netzwerk

    In der Ereignis-Anzeige des anderen DC finde ich nach dem Starten der Maschine mehrfach Einträge 'Security-Kerberos' ID 4 mit einem ellenlangen Sermon zu genau dem Konto des durchgeknallten DC!

    Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "exchange$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bc5ee64-aeed-47e3-96a7-272ac275d155/xxx.yyy@xxx.yyy. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (THOMAE.NICKISCH) von der Clientdomäne (THOMAE.NICKISCH) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

    Dann kommt noch eine meldung 'NETLOGON' ID 5722, das die Sitzung an der AUthetifizierung gescheitert ist.

    Was tun um den Exchange-DC wieder reinzulassen ?

    Die Verzeichnis-Weiderherstellung beimm Systemstart ist durchgelaufen, hat aber nicht gebracht. Ebenso CHKDSK

    Montag, 20. Februar 2012 12:53

Antworten

Alle Antworten

  • Hello,

    nur zur Sicherheit, das ist kein Cluster http://blogs.technet.com/b/deds/archive/2008/06/20/kerberos-event-4-mit-fehler-code-krb-ap-err-modified-auf-windows-server-2003-sp2-cluster.aspx ?

    Welches Betriebssystem mit SP/Patch Stand benutzt Du denn und welche Exchange Version-SP-Patch Stand?

    Hast Du irgendwas an den IP-Adressen geändert, bitte poste mal ein original ipconfig -all von dem Exchange und auch den anderen DCs. Falls Du öffentliche IPs benutzt lasse die ersten Oktets aus und bei dem Domänennamen kannst Du auch einfach DOMÄNE.DE schreiben, Hauptsache das Format stimmt.

    Häufig kann man das Problem bei nicht DCs mit einfachen neuaufnehmen in die Domäne lösen, ist hier allerdings nicht möglich da da Server DC ist und auch nicht sinnvoll da Exchange läuft und ich nicht weiß wei Exchange reagiert, denke mit Totalausfall.

    Ebenfalls eine Option ist mit "netdom resetpwd" das Passwort zurückzusetzen http://technet.microsoft.com/de-de/library/cc785478(v=ws.10).aspx oder http://support.microsoft.com/kb/325850 aber auch hier weiß ich nicht ob-wie Exchange darauf reagiert.

    Hast Du eine aktuelle Datensicherung vor allem vom Exchange Server, so dass Du diesen Wiederherstellen kannst?

    Exchange Forums findest Du hier: http://social.technet.microsoft.com/Forums/de-de/exchange_serverde/threads und http://portal.msxforum.de/index.php oder auch http://www.msxfaq.de/

    Btw: Das Exchange nicht auf einem DC installiert werden sollte ist Dir bekannt, oder? http://technet.microsoft.com/de-de/library/aa997407.aspx


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Dienstag, 21. Februar 2012 08:58
  • Der Server ist W2008 SP1 (nicht R2).

    Mein brennendstes Problem ist, dass ich mich ÜBERHAUPT NICHT an der Maschine anmelden kann. Egal mit welchem Kennwort/Account es kommt "Benutzername oder Passwort falsch".

    Dementsprechend sind alle Optionen wie zurückstufen von der DC-Funktion , netdom resetpwd etc. wohl icht durchführbar.

    Ich kann noch nicht einmal die Event-Logs von einer anderen Maschine aus anschauen - gleiches Problem.

    Die Geschichte mit der Sicherung habe ich schon probiert - keine Änderung. Also plattmachen ?

    Dienstag, 21. Februar 2012 15:45
  • Hallo,

    welche Art von Sicherung hast Du denn genau von dem Server?

    Auch im DSRM Restore Mode kommst Du nicht mehr rein?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.


    Dienstag, 21. Februar 2012 15:53
  • Das Backup stammt von BackupExec und ist augenscheinlich erfolgreich gewesen.

    Ich komme GAR nicht mehr rein. Das ist das drängende Problem. Insofern sind auch die Tips für andere Domänenmitglieder wie Domäne raus und weider rein; Computerkonto rücksetzen . momentan für mich nicht umsetzbar.

    Mittwoch, 22. Februar 2012 10:13
  • Hallo,

    "Das Backup stammt von BackupExec und ist augenscheinlich erfolgreich gewesen."

    Und das beinhaltet den ganzen Server als Dateisicherung oder SystemState und Exchange Datenbanken oder Exchange Mailboxen?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Mittwoch, 22. Februar 2012 12:06
  • Ja, es beinhaltet den Server, separat SystemState, Exchange Datenbanken.

    Wenn ich die ganze Sache Revue passieren lasse, dann glaube ich , daß einmal mehr das Commputerproblem vor der Tastatur sitzt :-(

    Bevor die Katastrophe mit dem zweiten DC begann, stellte ich fest, dass auf dem ersten DC auf einmal 2 zusätzliche IP-Adressen für den jetzt fehlerhaften DC registriert waren. Die habe ich manuell gelöscht und zusätzlichn och einige andere EInträge mit diesen IP-Adressen. Das war möglicherweise keine gute Idee und hat den ganzen Mist ausgelöst. Wie gesagt, dass fand auf dem ERSTEN DC statt.

    Besteht eine AUssicht, mit dem ebenfalls vorhandenen Backup von SystemState des ERSTEN DC die ganze Sache wieder gerade zu biegen ? Oder ist das arg riskant ?

    Mittwoch, 22. Februar 2012 17:44
  • Hallo,

    grundsätzlich sollte ein DC nur eine IP-Adresse benutzen und nicht mehrere, das kann zu sehr vielen Problemen führen(Multihoming). Ist die Frage warum hatte der Exchange mehrere?

    "Besteht eine AUssicht, mit dem ebenfalls vorhandenen Backup von SystemState des ERSTEN DC die ganze Sache wieder gerade zu biegen ? Oder ist das arg riskant "

    Die Aussicht besteht vielleicht, allerdings weiß ich nicht ob es hilft. Und jetzt den einzigen funktionierenden DC noch zu riskieren, auch wenn man den nochmals aktuell sichert, würde ich glaube ich nicht machen. Da würde ich wahrscheinlich den Schritt wählen Exchange neu zu installieren, allerdings auf einem Mitgliedsserver und eine Wiederherstellung davon durchzuführen. Genaue Wege bitte im Exchange Forum absprechen.

    Der noch laufende ist ja DNS und GC wenn ich richtig verstanden habe und hat alle FSMO Rollen, somit ist alles wichtige vorhanden.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Mittwoch, 22. Februar 2012 19:55
  • Freitag, 24. Februar 2012 07:24