ActiveDirectory: DC gleicht nicht mehr ab

Wenn ein DC länger nicht erreichbar war oder ein Restore von einem älteren Stand gemacht worden ist, funktioniert der AD-Abgleich nicht mehr.

Man bekommt Meldungen wie

“THE TARGET PRINCIPAL NAME IS INCORRECT”
oder
[Server2] DsBindWithSpnEx() failed with error -2146893022,

The target principal name is incorrect..

oder

(network error): -2146893022 (0x80090322):

    The target principal name is incorrect.

oder

Unable to verify the convergence of this machine account (CN=SERVERNAME,OU=Domain Controllers,DC=mydomain,DC=global)

         on this domain (DC=mydomain,DC=global).  Does the machine account password need resetting?

Hier der “schnelle” Fix:

Den “PDC” noch mal verifizieren:
netdom query fsmo

Dann auf dem „Problemserver“ unter Services den Kerberos Key Distribution Center Service (KDC) auf Manuell oder Deaktiviert setzen und anhalten.

Optional kann man noch den Dienst “Active Directory Domain Services” neu starten.

Jetzt Server Reboot, in einer Admin-CMD „KLIST purge“ eingeben (Alle Kerberos Tickets löschen).
Maschinenaccount vom Problemserver zurücksetzen:
netdom resetpwd /server:fsmo-domaincontroller /userd:DOMÄNE\Administrator /passwordd:* (<- wenn man hier den Stern eingibt, wird das Kennwort abgefragt.

Jetzt den KDC wieder auf „Automatisch“ stellen und Neustart.

Nach erfolgtem Neustart jetzt ‚repadmin /syncall /AdePq‘ und ‚repadmin /syncall /Adeq‘ (Groß- Kleinschreibung bei den Parametern beachten!)

Zusammenfassung mit repadmin /replsum