ActiveDirectory: DC gleicht nicht mehr ab

Wenn ein DC länger nicht erreichbar war oder ein Restore von einem älteren Stand gemacht worden ist, funktioniert der AD-Abgleich nicht mehr.

Man bekommt Meldungen wie


“THE TARGET PRINCIPAL NAME IS INCORRECT”
oder
[Server2] DsBindWithSpnEx() failed with error -2146893022,

The target principal name is incorrect..

oder


(network error): -2146893022 (0x80090322):

    The target principal name is incorrect.

oder


Unable to verify the convergence of this machine account (CN=SERVERNAME,OU=Domain Controllers,DC=mydomain,DC=global)

         on this domain (DC=mydomain,DC=global).  Does the machine account password need resetting?

Hier der “schnelle” Fix:

Den “PDC” noch mal verifizieren:
netdom query fsmo

Dann auf dem „Problemserver“ unter Services den Kerberos Key Distribution Center Service (KDC) auf Manuell oder Deaktiviert setzen und anhalten.

Optional kann man noch den Dienst “Active Directory Domain Services” neu starten.

Jetzt Server Reboot, in einer Admin-CMD „KLIST purge“ eingeben (Alle Kerberos Tickets löschen).
Maschinenaccount vom Problemserver zurücksetzen:
netdom resetpwd /server:fsmo-domaincontroller /userd:DOMÄNE\Administrator /passwordd:* (<- wenn man hier den Stern eingibt, wird das Kennwort abgefragt.

Jetzt den KDC wieder auf „Automatisch“ stellen und Neustart.

Nach erfolgtem Neustart jetzt ‚repadmin /syncall /AdePq‘ und ‚repadmin /syncall /Adeq‘ (Groß- Kleinschreibung bei den Parametern beachten!)

Zusammenfassung mit repadmin /replsum

Print Friendly, PDF & Email

Last updated by at .

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Dürfen wir Ihre Nutzung unserer Website zur Verbesserung unseres Angebots und Erfassung Ihrer Interessen auswerten? Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie im Impressum. Ihre Einwilligung ist freiwillig. Sie können diese jederzeit für die Zukunft widerrufen. Hier klicken um dich auszutragen.