Toon posts:

[W2KSRV/Exch2K3] Kerberos does not have a ticket for host *

Pagina: 1
Acties:

maandag 10 mei 2004 16:34

Acties:

Verwijderd

Topicstarter
Hallo,

Ik ben bezig met een migratie van Exchange 5.5 naar Exchange 2003. Zoals de Microsoft documentatie beschrijft heb ik voor de installatie van de Active Direcory Connector de netdiag utility gedraaid om de netwerk connectivity te testen. Echter krijg bij het draaien van netdiag de volgende fout:

Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for host/mijnexchangeserver.nl.

Ik heb de kerbtray utility, welke onderdeel is van de support tools, gebruikt om de controleren of de machine een kerberos ticket heeft gekregen. Dit was het geval. Ik heb in Google groups diverse posts gevonden waarin geschreven werd dat deze foutmelding gebegeerd kan worden. Om deze reden ben ik doorgegaan met de installatie van de Active Direcory Connector, en heb ik een Connection Agreement aangemaakt.

Nu blijkt de ADC niet alle objecten uit de Exchange 5.5 directory repliceert naar Active Directory. Ik heb zo'n vermoeden dat de kerberos foutmelding hier wel eens mee te maken kan hebben...

Hierbij wat info over onze situatie:

- 1 domein in mixed mode
- 2 Domain Controllers

Verder verschilt de NetBios naam (pre-Windows 2000)met FQDN van Active Directory. Wellicht dat dit ook een oorzaak kan zijn van de foutmelding?..

Wie o wie heeft ervaring met de foutmelding van netdiag en problemen met de ADC replicatie en/of kan mij aanwijzingen geven om dit op te lossen?

Alvast bedankt! :)

maandag 10 mei 2004 16:38

Acties:

Verwijderd

Topicstarter
Sorry voor de titel, die is niet helemaal duidelijk. Ik kon 'm na het posten niet meer aanpassen.... |:(

maandag 10 mei 2004 17:03

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
geef via Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/silver/images/icons/icon_hand.gif een nieuwe titel aan en ik pas het aan. Maar goed, ik ben in een creatieve bui :P

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 10 mei 2004 17:07

Acties:

Verwijderd

time sync met ad controller > 5 mins?
Nu blijkt de ADC niet alle objecten uit de Exchange 5.5 directory repliceert naar Active Directory.
sterker nog... geen 1

[ Voor 68% gewijzigd door Verwijderd op 10-05-2004 17:08 ]

maandag 10 mei 2004 22:38

Acties:

Verwijderd

Topicstarter
F_J_K : Thanks! Wist niet dat je de titel aan kon passen 8)7

iis5_rulez :

De ADC heeft wel degelijk iets gedaan. Alle AD accounts zijn namelijk voorzien van Exchange attributen, zoals e-mailadressen e.d. Ook zijn alle ditributielijsten van Exchange 5.5 in AD terug te vinden. Blijkbaar is er dus (deels?) wél replicatie.

Verder, ik zal morgen controleren of alle servers 'gesyncd' zijn met de DC's qua tijd. Ik moet zeggen dat ik in de eventviewer geen meldingen van W32Time ben tegengekomen, dus ik vermoed dat er geen tijdsverschil is. Ik zal het i.i.g. morgen even posten.

Alvast bedankt zover! Als jullie nog iedeeën hebben, ik hoor ze graag. :)

maandag 10 mei 2004 23:10

Acties:
  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

Draai eens een "netdiag /test:kerberos /v" en bekijk de uitkomst. Misschien dat je daaruit wat info kan halen.

http://www.hroling.nl

dinsdag 11 mei 2004 09:15

Acties:

Verwijderd

Topicstarter
bolke schreef op 10 mei 2004 @ 23:10:
Draai eens een "netdiag /test:kerberos /v" en bekijk de uitkomst. Misschien dat je daaruit wat info kan halen.
Ik heb "netdiag /test:kerberos /v" gedraaid, die behoorlijk wat output opleverde. Op een aantal punten na zie ik bij alle tests 'Passed'. Hieronder staan de punten die niet 'Passed' zijn. Tevens heb ik gecontroleerd of de tijd gesynchroniseerd is op de Exchange servers, en dat was het geval.

-----------
Gathering IPX configuration information.
Querying status of the Netcard drivers... Passed
Testing Domain membership... Passed
Gathering NetBT configuration information.
Testing Kerberos authentication... Failed <-- <--
-----------
Kerberos test. . . . . . . . . . . : Failed
-----------
C DNS_DOMAIN DNS_FOREST CLOSE_SITE 0x8
Cached Tickets:
Server: krbtgt/DOMEIN.NL
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: krbtgt/DOMEIN.NL
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: DC2$
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: ldap/DC2.DOMEIN.NL/DOMEIN.NL
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: LDAP/DC1.DOMEIN.NL/DOMEIN.NL
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: DC1$
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
Server: EXCHANGE_SRV$
End Time: 5/11/2004 18:54:22
Renew Time: 5/18/2004 8:54:22
[FATAL] Kerberos does not have a ticket for host/EXCHANGE_SRV.DOMEIN.NL.

Zoals je kunt zien gaat er dus blijkbaar iets fout met kerberos authenticatie. Iemand nog tips om dit probleem te troubleshooten? Tevens, als er behoefte is naar de volledige output van de "netdiag /test:kerberos /v", laat het even weten.

Thanks.

dinsdag 11 mei 2004 10:16

Acties:

Verwijderd

Topicstarter
Hierbij nog wat info. Ik heb aan de hand van artikel KB262177 kerberos logging aangezet. Ik krijg nu twee verschillende kerberos errors in de eventviewer van de server.

Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 3
Date: 11-5-2004
Time: 9:45:04
User: N/A
Computer: EXCHANGE_SRV
Description:
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 7:45:23.0000 5/11/2004 Z
Error Code: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Extended Error:
Client Realm:
Client Name:
Server Realm: DOMEIN.NL
Server Name: krbtgt/DOMEIN.NL
Target Name: SMTPSVC/EXCHANG2K3_CLUSTER.DOMEIN.NL@DOMEIN.NL
Error Text:
File: 9
Line: ab8
Error Data is in record data.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Event Type: Error
Event Source: Kerberos
Event Category: None
Event ID: 3
Date: 11-5-2004
Time: 9:44:05
User: N/A
Computer: EXCHANGE_SRV
Description:
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 7:44:28.0000 5/11/2004 Z
Error Code: 0xe KDC_ERR_ETYPE_NOTSUPP
Extended Error:
Client Realm:
Client Name:
Server Realm: DOMEIN.NL
Server Name: krbtgt/DOMEIN.NL
Target Name: host/EXCHANGE_SRV.DOMEIN.NL@DOMEIN.NL
Error Text:
File: 9
Line: ab8
Error Data is in record data.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

In een van de errros wordt de servernaam 'ECHANG2K3_CLUSTER' genoemd. Dit is de naam van Exchange 2003 cluster. Dit is misschien een beetje verwarrend, maar ik zal het even toelichten.
Omdat je de ADC niet kunt gebruiken/installeren op een Exchange (2003) cluster, heb ik een aparte (tijdelijke) machine ingericht die de Exchange 5.5 directory moet repliceren naar AD. Zodra de replicatie is voltooid, en alle Exchange data is gemigreerd naar de cluster-omgeving, zal de machine worden verwijderd.
Pagina: 1
Reageer