Björn
2007-12-14 09:39:37 UTC
Hallo Zusammen,
ich habe folgendes Problem:
Nach einem Neustart unseres DCs (SchemaMaster) dauert es ca 30min bis
man sich am Server (Console) anmelden kann. Vorher kommt immer die
Fehlermeldung, das die Domäne zur Zeit nicht zur Verfügung steht.
(Die Anmeldung wurde zurückgewiesen für DOMAIN\Administrator. Die
Terminalserverkonfiguration kann nicht ermittelt werden. Fehler: Die
angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung
hergestellt werden.)
Im Ereignisprotokoll habe ich folgende Fehler gefunden:
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 2087
Datum: 13.12.2007
Zeit: 16:49:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory konnte den folgenden DNS-Hostnamen des
Quelldomänencontrollers nicht zu einer IP-Adresse auflösen. Dieser
Fehler verhindert die Replizierung von von Hinzufüge- bzw.
Löschvorgängen oder Änderungen im Active Directory zwischen einen oder
mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen,
die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden
dadurch inkonsistent zwischen den Domänencontrollern, solange dieser
Fehler nicht behoben wird. Eventuell wird auch die
Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen,
beeinflusst.
Quelldomänencontroller:
mimas
Fehlgeschlagener DNS-Hostname:
269a3b73-4461-4219-b4e3-2e7839f4a794._msdcs.domain.local
Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb
eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler
aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um
alle individuellen Fehlerereignisse zu protokollieren:
Registrierungspfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Benutzeraktion:
1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen
Betriebssystem unter einem anderen Computernamen oder
NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten
des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend
der im MSKB-Artikel 216498 dargelegten Schritte.
2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active
Directory ausgeführt wird, und dass auf diesen über das Netzwerk
zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder
"PING <Quell-DC-Name>" eingeben.
3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen
DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw.
CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem
Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter
http://www.microsoft.com/dns, ausführen.
dcdiag /test:dns
4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen
gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den
DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der
Konsole ausführen:
dcdiag /test:dns
5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie
unter KB 824449:
http://support.microsoft.com/?kbid=824449
Zusätzliche Daten
Fehlerwert:
11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten
des angeforderten Typs gefunden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.
--------------
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1645
Datum: 13.12.2007
Zeit: 17:14:18
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory hat den authentifizierten Remoteprozeduraufruf (RPC) zu
einer anderen Domäne nicht ausgeführt, weil der gewünschte
Dienstprinzipalname (SPN) für den Zieldomänencontroller im
Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört,
nicht registriert ist.
Zieldomänencontroller:
9081ed0b-4ee8-418d-9dc5-c9e25329ed44._msdcs.domain.local
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/9081ed0b-4ee8-418d-9dc5-c9e25329ed44/***@itc.local
Benutzeraktion
Stellen Sie sicher, dass die Namen des Zieldomänencontrollers und der
Domäne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem
KDC-Domänencontroller registriert ist. Wenn der Zieldomänencontroller
vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen
Domänencontroller-Computerkontodaten auf den KDC zu replizieren, bevor
dieser Computer authentifiziert werden kann.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.
----
Nach den besagten 30 Minuten funktioniert alles aber normal. Auch dcdiag
bringt keine Fehler.
Das Netzwek ist von ANfang an verfügbar, mit ping und RDP getestet).
Hat jemand eine IDee, woran das liegen könnte?
Vielen Dank!
ich habe folgendes Problem:
Nach einem Neustart unseres DCs (SchemaMaster) dauert es ca 30min bis
man sich am Server (Console) anmelden kann. Vorher kommt immer die
Fehlermeldung, das die Domäne zur Zeit nicht zur Verfügung steht.
(Die Anmeldung wurde zurückgewiesen für DOMAIN\Administrator. Die
Terminalserverkonfiguration kann nicht ermittelt werden. Fehler: Die
angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung
hergestellt werden.)
Im Ereignisprotokoll habe ich folgende Fehler gefunden:
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 2087
Datum: 13.12.2007
Zeit: 16:49:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory konnte den folgenden DNS-Hostnamen des
Quelldomänencontrollers nicht zu einer IP-Adresse auflösen. Dieser
Fehler verhindert die Replizierung von von Hinzufüge- bzw.
Löschvorgängen oder Änderungen im Active Directory zwischen einen oder
mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen,
die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden
dadurch inkonsistent zwischen den Domänencontrollern, solange dieser
Fehler nicht behoben wird. Eventuell wird auch die
Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen,
beeinflusst.
Quelldomänencontroller:
mimas
Fehlgeschlagener DNS-Hostname:
269a3b73-4461-4219-b4e3-2e7839f4a794._msdcs.domain.local
Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb
eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler
aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um
alle individuellen Fehlerereignisse zu protokollieren:
Registrierungspfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Benutzeraktion:
1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen
Betriebssystem unter einem anderen Computernamen oder
NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten
des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend
der im MSKB-Artikel 216498 dargelegten Schritte.
2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active
Directory ausgeführt wird, und dass auf diesen über das Netzwerk
zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder
"PING <Quell-DC-Name>" eingeben.
3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen
DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw.
CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem
Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter
http://www.microsoft.com/dns, ausführen.
dcdiag /test:dns
4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen
gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den
DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der
Konsole ausführen:
dcdiag /test:dns
5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie
unter KB 824449:
http://support.microsoft.com/?kbid=824449
Zusätzliche Daten
Fehlerwert:
11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten
des angeforderten Typs gefunden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.
--------------
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1645
Datum: 13.12.2007
Zeit: 17:14:18
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory hat den authentifizierten Remoteprozeduraufruf (RPC) zu
einer anderen Domäne nicht ausgeführt, weil der gewünschte
Dienstprinzipalname (SPN) für den Zieldomänencontroller im
Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört,
nicht registriert ist.
Zieldomänencontroller:
9081ed0b-4ee8-418d-9dc5-c9e25329ed44._msdcs.domain.local
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/9081ed0b-4ee8-418d-9dc5-c9e25329ed44/***@itc.local
Benutzeraktion
Stellen Sie sicher, dass die Namen des Zieldomänencontrollers und der
Domäne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem
KDC-Domänencontroller registriert ist. Wenn der Zieldomänencontroller
vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen
Domänencontroller-Computerkontodaten auf den KDC zu replizieren, bevor
dieser Computer authentifiziert werden kann.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.
----
Nach den besagten 30 Minuten funktioniert alles aber normal. Auch dcdiag
bringt keine Fehler.
Das Netzwek ist von ANfang an verfügbar, mit ping und RDP getestet).
Hat jemand eine IDee, woran das liegen könnte?
Vielen Dank!