DC02 Win Server 201...
 
Benachrichtigungen
Alles löschen

DC02 Win Server 2019

12 Beiträge
3 Benutzer
0 Reactions
1,848 Ansichten
Allan
(@allan)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 5
Themenstarter  

Hallo Frank Hallo Kollegen,

ich habe DC01 und DC02 in der Firma, beide haben letzte MS Update und beide haben (windows10.0-kb5021655-x64_b3a1b7a804396f73ca22c0cddea466b7b8260617) Patch.

beim DC02 gibt paar Problemen:

1) Active Directory Sites and Services: Replcate Now -> This following error occurred during the attempt to contact the Domain Controller DC02: Access is denied (From Server DC01 zu DC02 am DC02)

2) Group Policy Error: Failed to open the Group Policy Object. You might not have the appropiate rights.Details: Network access is denied

3) Event ID 16: While processing a TGS request for the target server krbtgt/DOMÄNE, the account PC$@DOMÄNE did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 9). The requested etypes were 18 17 23 3 1. The accounts available etypes were 23. Changing or resetting the password of krbtgt will generate a proper key.

4) Event ID 14: While processing an AS request for target service krbtgt/DOMÄNE, the account PC02$ did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 5). The requested etypes : 18 17 23 3 1. The accounts available etypes : 23. Changing or resetting the password of krbtgt will generate a proper key.

5) Manche Mitarbeiter können sich nicht am PC anmelden. Wenn ich DC02 ausschalte, alles funktioniert normal.

Ich bitte um HILFE :)

 

Vielen Dank im Voraus.

 

 

 

 


   
Zitat
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 180
 

Hi! dc1 + 2 auf unterschiedlicher Hardware oder weswegen 2 DCs?

Ich nehme an, Dc1+2 sind beides globale Katalogserver?

Die Fehler-Meldungen sind mir neu, aber sehr ich hab sogut wie keine 2 GCs in einer Organisation. Wenns "hochverfügbar" sein soll, wirds auf einen anderen Hyper-V Host repliziert. Damit wäre zwar nur 1 DC vorhanden, aber fällt der aus, starte ich den am Replikatserver. Probleme mit DCs hätte ich bisher nur gehabt in Verbindung mit DNS und Netzwerk. Passt DNS und das Netzwerk, gibts immer AD-Funktionen. 

Hast du beim DC02 bei Delegierung alle Dienste vertrauen angehaklt? Vielleicht Defender-Firewall vom DC02 ausschalten? sollts aber eigentlich nicht sein. Beide DCs sind Mitglied von Domänencomputer und in derselben Domänencomputer-OU? 


   
AntwortZitat

Allan
(@allan)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 5
Themenstarter  

@werom-edv 

Servus Roman,

vielen Dank für die Antwort, beide Server DC01, DC02 sind virtuelle Maschine und laufen auf dem Host. Das Problem begonnen ab letzte Windows Server Update von Dezember. Vor Update, alles hat einwandfrei funktioniert. Ereignisse von DNS bei beiden keine Fehlermeldungen. Replika anfrage mit im CMD mit (repadmin) alle erfolgreich ohne Fehlern. Wenn ich unter (Standorte und Dienste) am DC01 in beiden Seiten repliziere, funktioniert Replika ohne Fehler. Wenn ich am DC02 unter (Standorte und Dienste) vom Server DC02 zu DC01 repliziere, Replika funktioniert, aber vom DC01 zu DC02 schlägt Fehlermeldung (Access denied).

DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL

LG


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1502
 

Veröffentlicht von: @allan

DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL

 

Stuf doch mal einen dritten DC hoch um zu sehen, ob das Problem auf dem auch besteht. Falls nicht, dann DC02 wegwerfen. ;)


   
AntwortZitat

Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 180
 

Veröffentlicht von: @allan

@werom-edv 

Servus Roman,

vielen Dank für die Antwort, beide Server DC01, DC02 sind virtuelle Maschine und laufen auf dem Host. Das Problem begonnen ab letzte Windows Server Update von Dezember. Vor Update, alles hat einwandfrei funktioniert. Ereignisse von DNS bei beiden keine Fehlermeldungen. Replika anfrage mit im CMD mit (repadmin) alle erfolgreich ohne Fehlern. Wenn ich unter (Standorte und Dienste) am DC01 in beiden Seiten repliziere, funktioniert Replika ohne Fehler. Wenn ich am DC02 unter (Standorte und Dienste) vom Server DC02 zu DC01 repliziere, Replika funktioniert, aber vom DC01 zu DC02 schlägt Fehlermeldung (Access denied).

DC1+2 sind beides GC und ich habe am DC01 zugriff auf Freigabe SYSVOL aber am DC02 habe keine Berechtigung zugreifen auf SYSVOL

LG

Hi,

gut dass du schreibst, seit dem Dezember-Update. Ich würde das Update deinstallieren und keinen dritten DC installieren, auch wenn es eine gute Testmöglichkeit in einer Teststellung wäre. Ein dritter DC würde aber nur das Active Directory mit einem dritten DC "verseuchen" den du dann später wieder aus der AD löschen bzw. deinstallieren musst.

Falls eine Deinstallation vom Update am DC2 möglich ist, weg mit dem Dreck. 

Falls du eine virtuelle Teststellung aufbauen kannst mit DC1+DC2, dann auf DC1 das Update auch installieren und schauen, ob es dann geht oder ob es dann komplett ruiniert ist.

Auch interessant, dass du sysvol gecheckt hast und DC2 darf nicht aufs sysvol zugreifen - das wird vermutlich wohl der Grund dann sein. Nur wie das möglich sein sollte, wüsst ich nicht - klingt fast so als wäre der DC2 aus dem Active Directory geflogen. Aber sowas wäre mir neu.

 

Lass mich bitte wissen, ob du den Schritt mit Deinstallation durchgeführt hast. Falls nicht in der Echt-Umgebung, dann mal alles in eine Teststellung mit Klons und ausprobieren ob nach Deinstallation noch/wieder alles geht.

 

Lg

 


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1502
 

Veröffentlicht von: @werom-edv

Ein dritter DC würde aber nur das Active Directory mit einem dritten DC "verseuchen"

 

Ja schlimm die ganzen dcs die das ad verseuchen. ;)

 

evtl. Ist auch nur Kerberos out of sync. Das wäre noch relativ einfach zu beheben. 

 


   
AntwortZitat

Allan
(@allan)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 5
Themenstarter  

Hallo Kollege,

vielen Dank für eure Mühe.

Ich habe letztes Update aus DC02 deinstalliert, aber immer dieselbe Fehlermeldungen. Ich habe bemerkt, dass Ereignisse ID 14 (im Anhang) an beiden Servern habe. Darüber hinaus habe ich diese Artikel gelesen https://dirteam.com/sander/2022/11/11/knowledgebase-you-experience-errors-with-event-id-14-and-source-kerberos-key-distribution-center-on-domain-controllers/ .

Ich möchte probieren krbtgt Passwort ändern und schauen, was Ereignisse sagen..

Kann ich einfach das Kennwort schnell 2x hintereinander? Oder verlieren alle gerade aktive Server-Verbindungen ihre Gültigkeit, Shares, RDP-Sitzungen, Clients und alle Benutzer müssen sich neu anzumelden?

LG


   
AntwortZitat
Allan
(@allan)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 5
Themenstarter  

GELÖST!!! ? ? 

Hi liebe Kollegen,

ich habe bemerkt, dass "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" Registry auf DC02 gibt und am DC01 fehlt "\kerberos\parameters".Das bedeutet, dass das Letzte Update von Windows ist am DC01 schief gegangen.

Ich hebe mich entscheiden für folgende Schritte:

1) am DC01 habe mit CMD (reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" /v "supportedencryptiontypes" /f /t "REG_DWORD" /d "0x7fffffff") in der Registry Änderung durchgeführt. Mit dem Regkey werden alle Verschlüsselungsmethoden aktiviert. Wo vorher z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt. Wenn ihr das wieder Rückgäng machen wollt einfach: 0x7ffffff0

2) gpupdate /force durchgeführt und Netlogon Dienst neu gestartet.

3) das Kennwort von Kerberos Benutzer (krbtgt) geändert.

4) Ereignisse am DC02 und DC01kontrolliert -> keine mehr Fehlermeldungen und habe wieder DC02 unter Kontrolle.

5) Replika zwischen DC01 und DC02 kontrolliert -> alles passt.

Und das Problem gelöst. Jetzt warten wir, was nächstes Windows Server 2019 von Update bringt.

 

Vielen Dank für eure Mühe und ich bin euch sehr dankbar.

LG ? 

Diese r Beitrag wurde geändert Vor 2 Jahren 2 mal von Allan

   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1502
 

Veröffentlicht von: @allan

z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt.

 

was sicherlich keine besonders gute Idee ist. ;)

 


   
AntwortZitat
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 180
 

Veröffentlicht von: @allan

GELÖST!!! ? ? 

Hi liebe Kollegen,

ich habe bemerkt, dass "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" Registry auf DC02 gibt und am DC01 fehlt "\kerberos\parameters".Das bedeutet, dass das Letzte Update von Windows ist am DC01 schief gegangen.

Ich hebe mich entscheiden für folgende Schritte:

1) am DC01 habe mit CMD (reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\kerberos\parameters" /v "supportedencryptiontypes" /f /t "REG_DWORD" /d "0x7fffffff") in der Registry Änderung durchgeführt. Mit dem Regkey werden alle Verschlüsselungsmethoden aktiviert. Wo vorher z.b. AES Only war ist mit dem Reg key nun auch DES und RC4 erlaubt. Wenn ihr das wieder Rückgäng machen wollt einfach: 0x7ffffff0

2) gpupdate /force durchgeführt und Netlogon Dienst neu gestartet.

3) das Kennwort von Kerberos Benutzer (krbtgt) geändert.

4) Ereignisse am DC02 und DC01kontrolliert -> keine mehr Fehlermeldungen und habe wieder DC02 unter Kontrolle.

5) Replika zwischen DC01 und DC02 kontrolliert -> alles passt.

Und das Problem gelöst. Jetzt warten wir, was nächstes Windows Server 2019 von Update bringt.

 

Vielen Dank für eure Mühe und ich bin euch sehr dankbar.

LG ? 

Top! Lösung ist Lösung. Würde ich vermutlich auch so machen und aufs nächste Windows-Update hoffen. Vermutlich wird ein Update an dem Reg-Key aber nix mehr ändern und die Lösung bleibt dauerhaft solange, bis die DC-Struktur geändert wird.

Hierfür meine Empfehlung: Weg mit einem der beiden DCs und nur noch einen DC betreiben, wenn es um Ausfallsicherheit geht, dann Hyper-V Replikation (mit Zertifikaten) betreiben; geht es um ein Performance-Thema, dann neue Serverhardware bereitstellen (Xeon-2386 + SSDs = high end und erschwinglich)

 


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1502
 

Veröffentlicht von: @werom-edv

Lösung ist Lösung.

Stimmt, Sicherheit ist Nebensache. ;)


   
AntwortZitat
Allan
(@allan)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 5
Themenstarter  

@norbertfe 

Hallo Kolegen,

ja, hast du recht, aber bist nächstes Update wird es wieder zurückgesetzt. Aus Sicherheitsgründen habe ich auch Kerberos Benutzer Kennwort geändert. Außerdem die Mitarbeiter können nicht normal arbeiten, also ich habe so am besten gelöst und ich warte auf nächsten Update. ? ? 

LG


   
AntwortZitat

Teilen: