Fehlerbehebung zu Replikationsfehler mit “The target principal name is incorrect” unter Windows Server 2008

Hallo, hier wieder einmal Rol mit einem Erfahrungsbericht. Zurück aus dem Urlaub habe ich nach der Wiederinbetriebnahme meine virtuellen Windows Server 2008 Domäne feststellen müssen, daß die AD Replikation nicht mehr funktioniert. DC RW08DC1 repliziert zwar problemlos von RW08DC2, umgekehrt aber nicht mehr.

REPADMIN /SHOWREPL zeigt dazu folgenden Fehler auf RW08DC2:

C:\Users\Administrator>repadmin /showrepl rw08dc2
Hub2\RW08DC2
DSA Options: (none)
Site Options: (none)
DSA object GUID: 500ac16c-8970-4b5f-8d15-f0f7c0ce219e
DSA invocationID: d2dcab05-f0e4-48fe-af8d-9c3913976b40

==== INBOUND NEIGHBORS ======================================

DC=RW08,DC=NET
Hub1\RW08DC1 via RPC
DSA object GUID: d0dab649-fe5b-4c50-9665-0a955b337c79
Last attempt @ 2009-04-01 13:04:33 failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
7 consecutive failure(s).
Last success @ 2009-04-01 12:16:11.

Der Hintergrund für diesen Fehler wird klar, wenn man die Metadaten für das DC Konto RW08DC1 auf beiden DCs vergleicht.

Metadaten auf DC RW08DC1:

C:\Users\Administrator>repadmin /showmeta "cn=rw08dc1,ou=domain controllers,dc=rw08,dc=net" rw08dc1

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute
======= =============== ========= ============= === =========
12290 Hub1\RW08DC1 12290 2008-09-04 16:50:28 1 objectClass
12290 Hub1\RW08DC1 12290 2008-09-04 16:50:28 1 cn
...
61516 Hub1\RW08DC1 61516 2009-04-01 11:30:08 8 dBCSPwd
61516 Hub1\RW08DC1 61516 2009-04-01 11:30:08 8 unicodePwd
61516 Hub1\RW08DC1 61516 2009-04-01 11:30:08 8 ntPwdHistory
61516 Hub1\RW08DC1 61516 2009-04-01 11:30:08 8 pwdLastSet

Metadaten auf DC RW08DC2:

C:\Users\Administrator>repadmin /showmeta "cn=rw08dc1,ou=domain controllers,dc=rw08,dc=net" rw08dc2

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute
======= =============== ========= ============= === =========
7629 Hub1\RW08DC1 12290 2008-09-04 16:50:28 1 objectClass
7629 Hub2\RW08DC2 7629 2008-09-05 14:10:24 1 cn
...
49154 Hub1\RW08DC1 61452 2009-04-01 12:13:51 6 dBCSPwd
49154 Hub1\RW08DC1 61452 2009-04-01 12:13:51 6 unicodePwd
49154 Hub1\RW08DC1 61452 2009-04-01 12:13:51 6 ntPwdHistory
49154 Hub1\RW08DC1 61452 2009-04-01 12:13:51 6 pwdLastSet

Die Version das Passwortes für RW08DC1 ist in der Datenbank von DC RW08DC2 zwei Versionen älter als auf RW08DC1. Der DC RW08DC2 hat sich als KDC selbst ein Ticket für den Replikations-Zugriff auf RW08DC1 ausgestellt, allerdings mit einem bereits ungültigen Password (auch für die (n-1) Version). RW08DC1 lehnt den Zugriff ab, das erzeugt den Fehler “The target principal name is incorrect.”.

Die Lösung ist unter Windows 2008 ist nun wesentlich eleganter als noch unter Windows Server 2003 oder 2000. Wie zuvor muß man den DC RW08DC2 nur dazu bringen nicht sich selbst, sondern RW08DC1 als KDC zu verwenden. Hierbei kann man jetzt aber ein essentielles Windows Server 2008 Feature nutzen.

1) Dazu stoppt man auf RW08DC2 über den Server Manager oder Services.msc den KDC Dienst “Kerberos Key Distribution Center” und setzt den Startup Type auf Disabled.

2) Auf RW08DC2 startet man nun auch noch den NTDS Dienst “Active Directory Domain Services” neu.
Dies ist erst mit Windows Server 2008 möglich, dadurch werden die im Dienst Kontext gecachten Tickets beim Stoppen verworfen. Beim Start wird nun der KDC nicht mit gestartet (steht auf Disabled) und RW08DC1 als KDC verwendet. Jetzt stimmen auch wieder die entsprechenden Kerberos Tickets für die Replikation von RW08DC1.

3) Nach der erfolgreichen Replikation von RW08DC1 stellt man den Startup Type des KDC Dienst “Kerberos Key Distribution Center” auf Automatc und startet den Dienst. Damit hat man wieder den Normalzustand erreicht.

Unter Windows Server 2003 und 2000 war der Ticket Cache mit dem System Prozess LSASS.EXE verknüpft und daher ein kompletter Reboot notwendig, um das gleiche zu erreichen. Das neue Windows Server 2008 Feature des NTDS Dienstes verringert hier die Downtime für den DC also erheblich.

Damit frohes Schaffen und viele Grüße aus München, Rol