Hallo Frank Hallo Kollegen,
ich habe DC01 und DC02 in der Firma, beide haben letzte MS Update und beide haben (windows10.0-kb5021655-x64_b3a1b7a804396f73ca22c0cddea466b7b8260617) Patch.
beim DC02 gibt paar Problemen:
1) Active Directory Sites and Services: Replcate Now -> This following error occurred during the attempt to contact the Domain Controller DC02: Access is denied (From Server DC01 zu DC02 am DC02)
2) Group Policy Error: Failed to open the Group Policy Object. You might not have the appropiate rights.Details: Network access is denied
3) Event ID 16: While processing a TGS request for the target server krbtgt/DOMÄNE, the account PC$@DOMÄNE did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 9). The requested etypes were 18 17 23 3 1. The accounts available etypes were 23. Changing or resetting the password of krbtgt will generate a proper key.
4) Event ID 14: While processing an AS request for target service krbtgt/DOMÄNE, the account PC02$ did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 5). The requested etypes : 18 17 23 3 1. The accounts available etypes : 23. Changing or resetting the password of krbtgt will generate a proper key.
5) Manche Mitarbeiter können sich nicht am PC anmelden. Wenn ich DC02 ausschalte, alles funktioniert normal.
Ich bitte um HILFE :)
Vielen Dank im Voraus.
Hi! dc1 + 2 auf unterschiedlicher Hardware oder weswegen 2 DCs?
Ich nehme an, Dc1+2 sind beides globale Katalogserver?
Die Fehler-Meldungen sind mir neu, aber sehr ich hab sogut wie keine 2 GCs in einer Organisation. Wenns "hochverfügbar" sein soll, wirds auf einen anderen Hyper-V Host repliziert. Damit wäre zwar nur 1 DC vorhanden, aber fällt der aus, starte ich den am Replikatserver. Probleme mit DCs hätte ich bisher nur gehabt in Verbindung mit DNS und Netzwerk. Passt DNS und das Netzwerk, gibts immer AD-Funktionen.
Hast du beim DC02 bei Delegierung alle Dienste vertrauen angehaklt? Vielleicht Defender-Firewall vom DC02 ausschalten? sollts aber eigentlich nicht sein. Beide DCs sind Mitglied von Domänencomputer und in derselben Domänencomputer-OU?
Servus Roman,
vielen Dank für die Antwort, beide Server DC01, DC02 sind virtuelle Maschine und laufen auf dem Host. Das Problem begonnen ab letzte Windows Server Update von Dezember. Vor Update, alles hat einwandfrei funktioniert. Ereignisse von DNS bei beiden keine Fehlermeldungen. Replika anfrage mit im CMD mit (repadmin) alle erfolgreich ohne Fehlern. Wenn ich unter (Standorte und Dienste) am DC01 in beiden Seiten repliziere, funktioniert Replika ohne Fehler. Wenn ich am DC02 unter (Standorte und Dienste) vom Server DC02 zu DC01 repliziere, Replika funktioniert, aber vom DC01 zu DC02 schlägt Fehlermeldung (Access denied).
DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL
LG
DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL
Stuf doch mal einen dritten DC hoch um zu sehen, ob das Problem auf dem auch besteht. Falls nicht, dann DC02 wegwerfen. ;)
Servus Roman,
vielen Dank für die Antwort, beide Server DC01, DC02 sind virtuelle Maschine und laufen auf dem Host. Das Problem begonnen ab letzte Windows Server Update von Dezember. Vor Update, alles hat einwandfrei funktioniert. Ereignisse von DNS bei beiden keine Fehlermeldungen. Replika anfrage mit im CMD mit (repadmin) alle erfolgreich ohne Fehlern. Wenn ich unter (Standorte und Dienste) am DC01 in beiden Seiten repliziere, funktioniert Replika ohne Fehler. Wenn ich am DC02 unter (Standorte und Dienste) vom Server DC02 zu DC01 repliziere, Replika funktioniert, aber vom DC01 zu DC02 schlägt Fehlermeldung (Access denied).
DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL
LG
Hi,
gut dass du schreibst, seit dem Dezember-Update. Ich würde das Update deinstallieren und keinen dritten DC installieren, auch wenn es eine gute Testmöglichkeit in einer Teststellung wäre. Ein dritter DC würde aber nur das Active Directory mit einem dritten DC "verseuchen" den du dann später wieder aus der AD löschen bzw. deinstallieren musst.
Falls eine Deinstallation vom Update am DC2 möglich ist, weg mit dem Dreck.
Falls du eine virtuelle Teststellung aufbauen kannst mit DC1+DC2, dann auf DC1 das Update auch installieren und schauen, ob es dann geht oder ob es dann komplett ruiniert ist.
Auch interessant, dass du sysvol gecheckt hast und DC2 darf nicht aufs sysvol zugreifen - das wird vermutlich wohl der Grund dann sein. Nur wie das möglich sein sollte, wüsst ich nicht - klingt fast so als wäre der DC2 aus dem Active Directory geflogen. Aber sowas wäre mir neu.
Lass mich bitte wissen, ob du den Schritt mit Deinstallation durchgeführt hast. Falls nicht in der Echt-Umgebung, dann mal alles in eine Teststellung mit Klons und ausprobieren ob nach Deinstallation noch/wieder alles geht.
Lg
Ein dritter DC würde aber nur das Active Directory mit einem dritten DC "verseuchen"
Ja schlimm die ganzen dcs die das ad verseuchen. ;)
evtl. Ist auch nur Kerberos out of sync. Das wäre noch relativ einfach zu beheben.
Hallo Kollege,
vielen Dank für eure Mühe.
Ich habe letztes Update aus DC02 deinstalliert, aber immer dieselbe Fehlermeldungen. Ich habe bemerkt, dass Ereignisse ID 14 (im Anhang) an beiden Servern habe. Darüber hinaus habe ich diese Artikel gelesen https://dirteam.com/sander/2022/11/11/knowledgebase-you-experience-errors-with-event-id-14-and-source-kerberos-key-distribution-center-on-domain-controllers/ .
Ich möchte probieren krbtgt Passwort ändern und schauen, was Ereignisse sagen..
Kann ich einfach das Kennwort schnell 2x hintereinander? Oder verlieren alle gerade aktive Server-Verbindungen ihre Gültigkeit, Shares, RDP-Sitzungen, Clients und alle Benutzer müssen sich neu anzumelden?
LG
GELÖST!!! ? ?
Hi liebe Kollegen,
ich habe bemerkt, dass "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" Registry auf DC02 gibt und am DC01 fehlt "\kerberos\parameters".Das bedeutet, dass das Letzte Update von Windows ist am DC01 schief gegangen.
Ich hebe mich entscheiden für folgende Schritte:
1) am DC01 habe mit CMD (reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" /v "supportedencryptiontypes" /f /t "REG_DWORD" /d "0x7fffffff") in der Registry Änderung durchgeführt. Mit dem Regkey werden alle Verschlüsselungsmethoden aktiviert. Wo vorher z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt. Wenn ihr das wieder Rückgäng machen wollt einfach: 0x7ffffff0
2) gpupdate /force durchgeführt und Netlogon Dienst neu gestartet.
3) das Kennwort von Kerberos Benutzer (krbtgt) geändert.
4) Ereignisse am DC02 und DC01kontrolliert -> keine mehr Fehlermeldungen und habe wieder DC02 unter Kontrolle.
5) Replika zwischen DC01 und DC02 kontrolliert -> alles passt.
Und das Problem gelöst. Jetzt warten wir, was nächstes Windows Server 2019 von Update bringt.
Vielen Dank für eure Mühe und ich bin euch sehr dankbar.
LG ?
z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt.
was sicherlich keine besonders gute Idee ist. ;)
GELÖST!!! ? ?
Hi liebe Kollegen,
ich habe bemerkt, dass "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" Registry auf DC02 gibt und am DC01 fehlt "\kerberos\parameters".Das bedeutet, dass das Letzte Update von Windows ist am DC01 schief gegangen.
Ich hebe mich entscheiden für folgende Schritte:
1) am DC01 habe mit CMD (reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" /v "supportedencryptiontypes" /f /t "REG_DWORD" /d "0x7fffffff") in der Registry Änderung durchgeführt. Mit dem Regkey werden alle Verschlüsselungsmethoden aktiviert. Wo vorher z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt. Wenn ihr das wieder Rückgäng machen wollt einfach: 0x7ffffff0
2) gpupdate /force durchgeführt und Netlogon Dienst neu gestartet.
3) das Kennwort von Kerberos Benutzer (krbtgt) geändert.
4) Ereignisse am DC02 und DC01kontrolliert -> keine mehr Fehlermeldungen und habe wieder DC02 unter Kontrolle.
5) Replika zwischen DC01 und DC02 kontrolliert -> alles passt.
Und das Problem gelöst. Jetzt warten wir, was nächstes Windows Server 2019 von Update bringt.
Vielen Dank für eure Mühe und ich bin euch sehr dankbar.
LG ?
Top! Lösung ist Lösung. Würde ich vermutlich auch so machen und aufs nächste Windows-Update hoffen. Vermutlich wird ein Update an dem Reg-Key aber nix mehr ändern und die Lösung bleibt dauerhaft solange, bis die DC-Struktur geändert wird.
Hierfür meine Empfehlung: Weg mit einem der beiden DCs und nur noch einen DC betreiben, wenn es um Ausfallsicherheit geht, dann Hyper-V Replikation (mit Zertifikaten) betreiben; geht es um ein Performance-Thema, dann neue Serverhardware bereitstellen (Xeon-2386 + SSDs = high end und erschwinglich)
Hallo Kolegen,
ja, hast du recht, aber bist nächstes Update wird es wieder zurückgesetzt. Aus Sicherheitsgründen habe ich auch Kerberos Benutzer Kennwort geändert. Außerdem die Mitarbeiter können nicht normal arbeiten, also ich habe so am besten gelöst und ich warte auf nächsten Update. ? ?
LG