Dieser Fehler tritt unter anderem dann auf wenn das Domain Controller Passwort im Active Directory nicht auf allen Domain Controllern korrekt ist. Dies kann z.B. dadurch hervorgerufen werden wenn ein Domain Controller über einen längeren Zeitraum nicht am Netzwerk war und somit nicht mit seinen Partnern kommunizieren bzw. replizieren konnte. Da Passwörter von Computerkonten dynamisch geändert werden führt das unter Umständen zu einer Inkonsistenz der Computerkonten Passwörter der Domain Controller.
In folge dessen akzeptieren die betroffenen Domain Controller keine eingehenden Replikation von ihren Partnern. Es ist von einem „broken secure channel“ die Rede.
Auf den betroffenen Domain Controllern sind folgende Meldungen in der Ereignisanzeige zu finden:
Event Source: Netlogon Event Category: None Event ID: 3210 User: N/A Event Description: Failed to authenticate with DOMAINDC, a Windows NT domain controller for domain DOMAIN.
und
Event Source: Netlogon Event ID: 5722 Event Category: None User: N/A Event Description: The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3
Um die Domain Controller wieder funktionsfähig zu bekommen sind folgende Schritte durchzuführen.
- Command Line als Administrator öffnen
- PDC Rolleninhaber ermitteln
netdom query fsmo
- KDC Dienst auf dem betroffenen Domain Controller stoppen
net stop kdc
- Reset Password des PDC Domain Controller Computerkontos auf dem betroffenen Domain Controller
netdom resetpwd /server:<servername> /userd:<domain>administrator /passwordd:<password>
Hinweis:
Die command line muss auf dem betroffenen Domain Controller ausgeführt werden. Die Variable <servername> muss dem Computernamen des PDC Rolleninhabers entsprechen.
- KDC Dienst auf dem betroffenen Domain Controller wieder starten
net start kdc
Nach der Prozedur sollte der Domain Controller wieder in der Lage sein sich korrekt beim PDC zu melden. Überprüfen lässt sich das ganze in der Ereignisanzeige. Die oben aufgeführten Meldungen sollten nun nicht mehr auftauchen.
