Welche Active-Directory-Fehlercodes bedeuten was? LDAP-, Kerberos-, Replikations- und Vertrauensstellungsfehler korrekt einordnen

Von /

Active Directory Domain Services wird im Betrieb oft als „ein Dienst“ wahrgenommen, fällt in der Praxis jedoch als Verbund mehrerer Protokolle, Rollen und Abhängigkeiten aus. Schon kleine Abweichungen bei DNS-Auflösung, Zeit-Synchronisation, Netzwerkkonnektivität oder Replikationskonsistenz erzeugen Fehlerbilder, die sich in scheinbar unzusammenhängenden Meldungen äußern: LDAP-Resultcodes beim Binden, Kerberos-Statuswerte bei der Anmeldung, NTLM-Fehler bei Fallback-Szenarien, Replikationswarnungen in den Directory-Services-Ereignissen oder Vertrauensstellungsprobleme zwischen Domänen und Forests. Administratoren stehen dann vor der Aufgabe, Originalmeldungen, Hex-Codes und Event-IDs nicht nur zu „übersetzen“, sondern technisch richtig zu interpretieren: Welcher Mechanismus hat den Fehler ausgelöst, auf welcher Schicht tritt er auf, welche Abhängigkeit ist verletzt und welche Folgeprobleme entstehen in Anmeldung, Gruppenrichtlinienverarbeitung, Exchange, Zertifikatdiensten und anderen Microsoft-Komponenten? Eine belastbare Einordnung entscheidet darüber, ob man an den falschen Stellschrauben dreht oder die Ursache zielgerichtet behebt.

Fehlerquellen und Abhängigkeiten von AD DS: DNS, Zeitdienst, Netzwerk, PKI, Replikation und Namensauflösung

Active Directory Domain Services arbeitet nicht als „ein Dienst“, der isoliert korrekt oder fehlerhaft ist. AD DS ist ein Verbund aus LDAP-Verzeichnis, Kerberos-Key-Distribution, Replikations-Engine, RPC/SMB-Transporten, DNS-Service-Location sowie (je nach Einsatz) Zertifikats- und Smartcard-Ökosystem. Viele Störungen erscheinen zunächst als AD-Fehler, entstehen aber in Abhängigkeiten: Namensauflösung, Zeitbasis, Netzwerkpfade, Zertifikatsvertrauen und Replikationskonsistenz entscheiden direkt darüber, ob Anmeldungen, Gruppenrichtlinien und dienstübergreifende Systeme zuverlässig funktionieren.

Diese Abhängigkeiten erzeugen typische Fehlermuster: Ein DNS-Problem führt zu „DC nicht gefunden“, das sich als Kerberos-Fehler oder LDAP-Bind-Fehler manifestiert. Zeitabweichungen wirken wie falsche Kennwörter. Replikationslücken verursachen scheinbar „fehlende“ Benutzer, Gruppen oder GPOs. PKI-Fehler werden als Authentifizierungs- oder Kanalbindungsprobleme sichtbar. Eine strukturierte Einordnung beginnt daher immer mit den fundamentalen Bausteinen.

DNS als Locator und Namensautorität: SRV-Records, Sites und DC-Findung

AD DS nutzt DNS nicht nur zur Namensauflösung, sondern als Verzeichnis „für das Verzeichnis“. Clients und Server lokalisieren Domänencontroller über SRV-Records (z. B. _ldap._tcp.dc._msdcs.<Domäne>), ermitteln Standortnähe über Sites/Subnetze und leiten daraus die Auswahl von Logon-Servern und Replikationspartnern ab. Fehlende oder veraltete SRV-Records, falsche Client-DNS-Server oder inkonsistente Delegationen führen zu DC-Discovery-Fehlern, die anschließend Kerberos, LDAP und Gruppenrichtlinien gleichzeitig betreffen.

Typische Kaskaden: Wenn ein Client einen DC per DNS nicht korrekt findet, folgt oft The specified domain either does not exist or could not be contacted bzw. ERROR_NO_SUCH_DOMAIN (1355). In der Ereignisanzeige treten parallel Netlogon-/DNS-Registrierungsprobleme auf, etwa Event ID 5781 (dynamische DNS-Registrierung fehlgeschlagen). Auch Event ID 5719 (Netlogon: kein DC verfügbar) ist häufig eine Folge von DNS- oder Netzwerkpfadfehlern, nicht primär von „AD defekt“.

  • DNS-Client prüfen: ipconfig /all
    Get-DnsClientServerAddress
  • SRV-/A-Records verifizieren: nslookup -type=SRV _ldap._tcp.dc._msdcs.<Domäne>
    nslookup <dcname>.<Domäne>
  • DC-Discovery testen: nltest /dsgetdc:<Domäne>
    nltest /dclist:<Domäne>
  • DNS-Registrierung durch Netlogon erzwingen: ipconfig /registerdns
    net stop netlogon && net start netlogon

Zeitdienst (W32Time) als Kerberos-Voraussetzung: Drift, NTP und sichere Zeitquellen

Kerberos akzeptiert Tickets nur innerhalb enger Zeitfenster. Schon moderate Zeitdrifts zwischen Client und DC führen zu Authentifizierungsfehlern, die wie Kennwort- oder Vertrauensprobleme wirken. Der klassische Status ist KRB_AP_ERR_SKEW bzw. in Windows-Fehlermeldungen The time difference between the client and server is too great. In Domänen topologisiert sich die Zeit automatisch: Mitglieder synchronisieren von DCs, DCs vom PDC-Emulator, der idealerweise eine stabile externe Quelle nutzt. Bricht diese Kette, fällt Kerberos aus; NTLM kann in Teilbereichen scheinbar „noch funktionieren“, was die Diagnose erschwert.

W32Time-Probleme zeigen sich häufig in Event ID 36 (Zeitdienst kann nicht synchronisieren) oder Event ID 47 (Zeitquelle unzuverlässig). In virtualisierten Umgebungen entstehen Abweichungen zusätzlich durch Host-Zeit, Snapshot-Restore oder fehlerhafte Zeitsynchronisationseinstellungen. Zeitfehler wirken sich unmittelbar auf Anmeldung, LDAP-Signing/Sealing-Workflows mit Kerberos, GPO-Verarbeitung sowie Zertifikatsvalidierung (Gültigkeitszeiträume) aus.

  • Aktuellen Status prüfen: w32tm /query /status
    w32tm /query /source
  • Domänenhierarchie und Offset prüfen: w32tm /monitor
    w32tm /stripchart /computer:<PDC> /dataonly /samples:5
  • W32Time-Konfiguration anzeigen: w32tm /query /configuration

Netzwerkpfade, Ports und MTU: wenn „AD nicht erreichbar“ eigentlich Transport ist

AD DS benötigt mehrere Transportprotokolle: LDAP/LDAPS, Kerberos, RPC Endpoint Mapper und dynamische RPC-Ports, SMB für SYSVOL/NETLOGON, sowie DNS. Störungen sind selten „alles oder nichts“. Ein DC kann pingbar sein, während RPC oder SMB blockiert ist. Dann scheitert GPO-Verarbeitung (SYSVOL-Zugriff), Replikation (RPC) oder der sichere Kanal (Netlogon) selektiv. Häufige Indikatoren sind The RPC server is unavailable (1722), There are currently no logon servers available (1311) oder in Replikationsdiagnosen DsReplicaGetInfo() failed with status 1722.

MTU-/Fragmentierungsprobleme sowie asymmetrisches Routing können Kerberos/LDAP-Traffic punktuell beschädigen. Auch TLS-Inspection oder falsch konfigurierte Firewalls stören LDAPS und certificate-based Authentifizierung, ohne dass klassische „Port zu“-Meldungen entstehen. Eine saubere Port- und Pfadanalyse muss deshalb sowohl IP-Konnektivität als auch Applikationshandshakes prüfen.

Abhängigkeit / Pfad Typische AD-nahe Fehlermeldung Technischer Kern
RPC/DFSR/AD-Replikation The RPC server is unavailable (1722) RPC Endpoint Mapper erreichbar, aber dynamische RPC-Ports/Stateful Firewall/Netzpfad blockiert
SMB zu SYSVOL/NETLOGON The network path was not found (53) / GPO-Fehler 0x8007071A oder 0x8007054B SMB/DFS-Namespace/SYSVOL nicht lesbar; GPO kann nicht geladen werden
Kerberos zu DC KDC_ERR_S_PRINCIPAL_UNKNOWN / KRB_AP_ERR_SKEW SPN/Account-Objekt nicht gefunden oder Zeitfenster verletzt
DNS/DC-Locator ERROR_NO_SUCH_DOMAIN (1355) SRV-Records/Delegation/Suffix-Suche falsch; DC-Discovery scheitert
  • Erreichbarkeit auf Dienstebene testen: Test-NetConnection -ComputerName <DC> -Port 389
    Test-NetConnection -ComputerName <DC> -Port 445
    Test-NetConnection -ComputerName <DC> -Port 135
  • Domänenkanal und DC-Locator differenzieren: nltest /sc_verify:<Domäne>
    nltest /dsgetdc:<Domäne>

PKI, Zertifikatsketten und LDAPS: wenn Vertrauen und Kanalbindung brechen

Sobald LDAPS, Smartcard-Anmeldung, Zertifikatszuordnung oder TLS-gesicherte LDAP-Binds im Spiel sind, wird die Zertifikatsinfrastruktur zur AD-Kernabhängigkeit. Ein abgelaufenes DC-Zertifikat, fehlende Zwischenzertifikate, falsche EKU oder ein nicht vertrauenswürdiger Aussteller führen zu TLS-Abbrüchen, die in Anwendungen als LDAP-Bind-Fehler erscheinen. Typische Texte sind The LDAP server is unavailable in Kombination mit Schannel-Ereignissen wie Event ID 36882 oder Event ID 36888 (TLS-Handshake fehlgeschlagen).

Zusätzlich beeinflussen Hardening-Einstellungen die Interoperabilität: LDAP-Signing, Channel Binding und die Deaktivierung unsicherer TLS-Versionen machen Fehlkonfigurationen sichtbar, die zuvor latent waren. Besonders kritisch wird dies bei Systemen, die AD über LDAPS anbinden (z. B. Identity-Lösungen, Linux-SSSD, Appliances) oder bei Diensten, die Zertifikatsvorlagen und Autoenrollment aus AD beziehen. Bricht das Vertrauen, entstehen Kettenreaktionen von Authentifizierungsfehlern bis hin zu Ausfällen beim Zertifikatserhalt.

  • Zertifikats- und TLS-Fehler korrelieren: Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='Schannel']]]"
  • Zertifikatsstatus am DC prüfen: certutil -store my
    certutil -verify -urlfetch <Zertifikat.cer>

Replikation und Namensauflösung im Verbund: Konsistenz als Voraussetzung für „Wahrheit“

AD-Replikation stellt nicht nur Verfügbarkeit her, sondern Konsistenz. Ohne zeitnahe Replikation existieren Objektzustände nur „lokal“: Kennwortänderungen, Gruppenmitgliedschaften, SPNs, Zertifikatszuordnungen oder GPO-Änderungen kommen nicht überall an. Das äußert sich in scheinbar widersprüchlichem Verhalten: Anmeldung klappt an einem DC, scheitert an einem anderen; ein Dienstaccount „hat“ den SPN, aber Kerberos meldet dennoch KDC_ERR_S_PRINCIPAL_UNKNOWN oder KRB_ERR_RESPONSE_TOO_BIG wechselt plötzlich zu NTLM, weil ein DC einen anderen Stand hat.

Replikationsstörungen haben wiederum Abhängigkeiten: DNS-SRV-Records müssen korrekt sein, RPC muss passieren, Zeit muss stimmen, und die Site-Topologie muss zu den Subnetzen passen. Häufige Replikationsindikatoren sind Event ID 1311 (KCC kann keine Replikationstopologie bilden), Event ID 1566 (DSA-Operationen scheitern, oft DNS/Locator) oder im Diagnosewerkzeug die Fehler Repadmin /replsummary mit Last error: 1722, Last error: 1256 oder Last error: 8453. Solche Meldungen sind selten isoliert zu behandeln, weil sie auf Transport, Namensauflösung oder Authentifizierung zurückverweisen.

  • Replikationsgesundheit komprimiert prüfen: repadmin /replsummary
    repadmin /showrepl *
  • AD- und DNS-Diagnosen bündeln: dcdiag /test:DNS /v
    dcdiag /test:replications /v
  • SYSVOL/DFSR-Status ergänzen: dfsrdiag replicationstate
    dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:<Quelle> /rmem:<Ziel>

Authentifizierungs- und Verzeichniszugriffsfehler verstehen: LDAP-Resultcodes, Kerberos- und NTLM-Statuswerte, typische Originalmeldungen

Authentifizierung und Verzeichniszugriff werden in Active Directory Domain Services (AD DS) über mehrere Protokolle und Subsysteme abgewickelt. Das erklärt, warum Fehlerbilder oft „uneinheitlich“ wirken: Ein und dieselbe Ursache kann als LDAP-Resultcode im Client, als Kerberos-Fehler im Security-Log, als NTSTATUS im SMB-Stack oder als Win32-Fehler in der Anwendung erscheinen. Präzise Einordnung gelingt nur, wenn Code, Originaltext und die Stelle im Ablauf (Bind, Ticket-Anforderung, Zugriff auf ein Objekt, Gruppenmitgliedschaftsauflösung) zusammen betrachtet werden.

Im Kern gilt: LDAP liefert Resultcodes für Verzeichnisoperationen (Bind, Search, Modify). Kerberos bewertet die Identität und stellt Tickets bereit (AS-REQ/TGS-REQ). NTLM ist ein Fallback-Mechanismus, der vor allem bei Legacy-Kompatibilität oder bestimmten Netzwerkpfaden sichtbar wird. Viele „Logon failed“-Meldungen sind daher nicht primär AD-Fehler, sondern Ausdruck eines fehlgeschlagenen Zusammenspiels aus Namensauflösung, Zeitkonsistenz, SPN-Zuordnung, Kanalbindung oder Richtlinien (z. B. „LDAP signing“, „Channel Binding“, „Kerberos armoring“).

LDAP-Resultcodes und typische AD-Originalmeldungen

LDAP-Fehlercodes erscheinen in Anwendungen, in AD-Verwaltungstools und in Protokollen von Diensten, die gegen AD binden (z. B. Exchange, ADFS, Drittprodukte). AD DS verwendet LDAPv3-Resultcodes (numerisch) und ergänzt sie häufig um „data“-Untercodes, insbesondere beim Bind. Diese Untercodes stammen aus der Windows-Implementierung und sind entscheidend, um z. B. „falsches Kennwort“ von „Konto gesperrt“ zu trennen.

Code / Originaltext Technische Einordnung im AD-Ablauf
49 (invalidCredentials) / oft als AcceptSecurityContext error, data 52e Bind scheitert, weil die übergebenen Anmeldeinformationen nicht validiert werden. Bei AD sind „data“-Untercodes üblich, z. B. 52e (falsches Kennwort), 525 (Benutzer unbekannt), 530 (Anmeldung nicht erlaubt), 531 (Anmeldung nur zu bestimmten Zeiten), 532 (Kennwort abgelaufen), 533 (Konto deaktiviert), 701 (Konto abgelaufen), 773 (User must change password), 775 (Konto gesperrt).
32 (noSuchObject) DN verweist auf ein Objekt, das in dieser Partition nicht existiert oder nicht repliziert ist. In AD tritt das häufig bei falscher Suchbasis, veralteten Hardcodings oder Replikationslücken auf.
50 (insufficientAccessRights) Operation auf ein Objekt oder Attribut wird durch DACL/ACE, AdminSDHolder-Schutz oder fehlende Extended Rights blockiert. Betroffen sind häufig Reset Password-Rechte, Schreibrechte auf servicePrincipalName oder das Erstellen von Computerobjekten.
53 (unwillingToPerform) Der DC lehnt ab, weil Richtlinien oder Sicherheitsanforderungen verletzt werden, z. B. LDAP ohne Signierung/Bindung oder unzulässige Modifikationen an geschützten Objekten. Häufig begleitet von Hinweisen in Directory Service-Events.
19 (constraintViolation) Attributwert verletzt Schema-/Attributregeln, z. B. ungültiges Format, Mehrwertigkeit, oder Passwort-/Kontorichtlinien bei Passwortänderungen über LDAP (je nach Pfad und Policy).

Bei LDAP-Bind-Problemen ist die Kombination aus 49 plus „data“-Untercode die verlässlichste Differenzierung. Ein häufiges Missverständnis: 52e wirkt wie „AD ist kaputt“, ist aber in der Regel schlicht ein nicht passendes Kennwort oder ein Credential-Cache-Problem. Dagegen deuten 530/531 eher auf Anmelderestriktionen (Workstation-/Zeitfenster), und 775 auf Lockout-Policies oder auffällige Fehlversuche aus anderen Systemen.

  • LDAP invalidCredentials mit Untercode: Häufige Originalform AcceptSecurityContext error, data 52e, v2580; „data“ ist die entscheidende Präzisierung innerhalb des 49-Resultcodes.
  • UnwillingToPerform bei Hardening: Typische Ursache sind Vorgaben wie „LDAP signing required“ oder Channel-Binding-Anforderungen; sichtbar in Verbindungsfehlern von Clients, die weiterhin „simple bind“ oder unsignierte SASL-Binds nutzen.
  • InsufficientAccessRights bei Service-Konten: Schreibversuche auf sensitive Attribute wie servicePrincipalName oder msDS-KeyCredentialLink scheitern ohne passende Rechte; Folge sind oft indirekte Kerberos-/PKINIT-Probleme in nachgelagerten Systemen.

Kerberos-Fehler: KDC-Codes, Security-Eventtexte und ihre Ursachen

Kerberos-Fehler werden auf Clients, Mitgliedsservern und Domain Controllern protokolliert und sind häufig der „ehrlichere“ Indikator als eine generische Anmeldefehlermeldung. Typisch sind Fehler beim Anfordern eines Ticket Granting Ticket (TGT) oder eines Service-Tickets (TGS). Sichtbar wird das u. a. in Windows-Security-Events auf dem Client (z. B. Event ID 4771 für Pre-Authentication failed) oder auf dem DC, wenn der KDC die Anfrage ablehnt. Relevante Ursachen sind falsche Zeit, gesperrte/abgelaufene Konten, fehlende oder doppelte SPNs, falsche Verschlüsselungstypen sowie Kennwort-/Schlüsselinkonsistenzen nach Rollbacks oder fehlerhaften Wiederherstellungen.

Kerberos-Fehler Einordnung / typische Ursache in AD DS
KDC_ERR_PREAUTH_FAILED Pre-Auth-Daten passen nicht zum Kontoschlüssel; häufig falsches Kennwort, aber auch Clock-Skew-Effekte, falsche Schlüssel nach Kennwortreset ohne Replikationskonsistenz oder veraltete gespeicherte Credentials.
KDC_ERR_S_PRINCIPAL_UNKNOWN Service Principal Name nicht bekannt; typisch bei fehlendem SPN für einen Dienstaccount/Computer, falschem SPN (Hostname/Alias) oder Zugriff über einen Namen, der nicht im SPN abgebildet ist.
KRB_AP_ERR_SKEW Zeitabweichung über Toleranz; entsteht aus inkonsistenter Zeitquelle, VM-Zeitdrift oder falsch konfiguriertem Windows-Zeitdienst. Kerberos scheitert, obwohl LDAP oft noch „teilweise“ funktioniert.
KRB_AP_ERR_MODIFIED Ticket kann vom Ziel nicht entschlüsselt werden; klassisch bei doppelten SPNs, falschem Dienstkonto hinter einem SPN, oder wenn ein Dienst auf einen anderen Rechner/Account umgezogen ist, ohne SPN-/Kennwortabgleich.
KDC_ERR_CLIENT_REVOKED Clientkonto gesperrt/deaktiviert/abgelaufen; korrespondiert oft mit LDAP-„data 533/775/701“ und wird als Kerberos-Status sichtbar.

Kerberos-Fehler wirken selten isoliert. Ein fehlender SPN führt nicht nur zu Ticket-Problemen, sondern kippt häufig in NTLM-Fallback (sofern erlaubt) oder erzeugt in HTTP/SQL/SMB-Stacks sekundäre Fehler („Access denied“, „The target principal name is incorrect“). Bei KRB_AP_ERR_MODIFIED liegt der Schwerpunkt fast immer auf SPN-Duplikaten oder einem Kontowechsel des Dienstes; reine „Netzwerkprobleme“ sind hier die Ausnahme.

  • SPN-Prüfung bei KDC_ERR_S_PRINCIPAL_UNKNOWN oder KRB_AP_ERR_MODIFIED: setspn -Q HTTP/fqdn.example.tld
    setspn -X
  • Ticket- und Cache-Sicht auf dem Client: klist
    klist purge
  • Kerberos/Logon-Signale in Security-Logs: Event ID 4768 (TGT), Event ID 4769 (TGS), Event ID 4771 (Pre-Auth-Fehler) liefern Statuscodes, Kontonamen und den angefragten SPN als Korrelation zu DNS- und Dienstkonfiguration.

NTLM- und Logon-Statuswerte: NTSTATUS, Win32, typische Texte

NTLM-Fehler werden häufig als NTSTATUS-Codes (0xC000…) sichtbar, z. B. in Security-Events (Event ID 4625: „An account failed to log on“) oder in Applikationslogs, wenn ein Dienst NTLM nutzt oder Kerberos nicht zustande kommt. Diese Codes sind nicht „NTLM-exklusiv“; sie beschreiben den Status des Logon-Vorgangs in der LSA/Netlogon-Kette und treten auch bei Kerberos-gestützten Logons als Endzustand auf, wenn die Anmeldung insgesamt scheitert.

NTSTATUS / Win32 / Text Bedeutung und Abgrenzung
0xC000006D / „The attempted logon is invalid“ Generischer Logon-Fehler. Erst die Substatuswerte (z. B. 0xC000006A) oder korrelierende LDAP/Kerberos-Events präzisieren die Ursache.
0xC000006A / „The user name or password is incorrect“ Falsches Kennwort; korrespondiert oft mit LDAP 49 „data 52e“ oder Kerberos Pre-Auth-Fehlern. Bei Dienstkonten oft durch veraltete gespeicherte Secrets in geplanten Tasks/Services ausgelöst.
0xC0000234 / „Account locked out“ Konto gesperrt; korreliert mit Lockout-Events (z. B. Event ID 4740) und LDAP „data 775“.
0xC0000072 / „Account disabled“ Konto deaktiviert; passt zu LDAP „data 533“ und Kerberos KDC_ERR_CLIENT_REVOKED.
1326 (Win32) / „Logon failure: unknown user name or bad password“ Win32-Abbildung von Logon-Problemen, häufig in Applikationen sichtbar, die keine NTSTATUS-Werte ausgeben. Erfordert immer Korrelation mit DC/Client-Events für belastbare Ursachen.

Bei NTLM/Logon-Fehlern entscheidet der Kontext: Tritt der Status bei Zugriff auf \\server\share oder HTTP auf, kann ein Kerberos-Problem (SPN/DNS) im Hintergrund stehen, das in NTLM-Fallback kippt und dort an Richtlinien scheitert (z. B. NTLM eingeschränkt, „Restrict NTLM“). Tritt der Status dagegen direkt am interaktiven Logon auf, dominieren Konto-/Kennwortzustände, Gerätekonto-Probleme oder sichere Kanalbeziehungen. Die saubere Trennung gelingt über gleichzeitige Sicht auf Event ID 4625 (Status/Substatus), Kerberos-Events (4768/4769/4771) und LDAP-Bind-Fehler der beteiligten Anwendung.

  • Logon-Failure-Korrelation: Event ID 4625 liefert Status und Sub Status (NTSTATUS) sowie Logon Type; zusammen mit Workstation Name und Source Network Address entsteht die belastbare Zuordnung zu einem Clientpfad.
  • Gezielte Prüfung des verwendeten Authentifizierungsmechanismus: In vielen Serverrollen zeigt Event ID 4769 den angefragten SPN; fehlt ein passender 4769-Eintrag bei gleichzeitigem Fehlschlag, ist NTLM-Fallback oder ein früher Abbruch (DNS/Reachability) wahrscheinlich.
  • Häufiger Originaltext bei Kerberos→NTLM-Kaskaden: Anwendungen protokollieren statt eines Kerberos-Codes oft nur The target principal name is incorrect oder Cannot generate SSPI context; die Ursache liegt dann typischerweise bei SPN/DNS/Zeit und nicht bei „Rechten“ auf dem Zielobjekt.

Domänencontroller-Betrieb und Gesamtstrukturfehler einordnen: Replikationsmeldungen, FSMO-Probleme, Schema/Konfiguration, Berechtigungen, Trusts und Erreichbarkeit

Fehlerbilder im Domänencontroller-Betrieb entstehen selten „nur“ im Active Directory. Replikation, FSMO-Rollen, Schema und Konfiguration sind eng mit DNS-Namensauflösung, RPC-Endpunkten, Zeitquelle, Netzwerkpfaden und konsistenten Sicherheitsdeskriptoren verknüpft. Die Folge: Ein einzelner Ausfall kann als Replikationsstörung, als Trust-Fehler, als „Zugriff verweigert“-Meldung oder als scheinbar banale Ereignis-ID in unterschiedlichen Logs erscheinen. Für eine belastbare Einordnung hilft es, Fehlertexte und Codes strikt nach Funktionsbereich zuzuordnen und anschließend die zugrunde liegenden Mechanismen (KCC, USN/InvocationID, RPC/SMB, LDAP, Kerberos) gegenzuprüfen.

Replikationsmeldungen: KCC, RPC, USN und Namensauflösung

Die AD-Replikation nutzt Standorte/Standortlinks, den Knowledge Consistency Checker (KCC) und RPC über dynamische Ports; zusätzlich werden Partitionsdaten (Domäne, Konfiguration, Schema, ggf. Anwendungsverzeichnisse) getrennt behandelt. DNS spielt dabei eine Schlüsselrolle, weil Replikationspartner über SRV-Records (z. B. _ldap._tcp.dc._msdcs) und die Auflösung der Partnernamen gefunden werden. Fehler im Netzwerkpfad, in der RPC-Endpunktzuordnung oder in der Namensauflösung schlagen deshalb häufig als Replikationsfehler durch, obwohl die Ursache außerhalb von NTDS liegt.

Originalmeldung / Code Technische Einordnung und typische Ursache
Repadmin: DsReplicaGetInfo() failed with status 1722 (0x6ba): The RPC server is unavailable. RPC-Verbindung zum Partner scheitert. Häufig Firewall/ACL, defekte dynamische RPC-Ports, fehlerhafte Routen oder DNS, das auf eine nicht erreichbare IP auflöst. Prüfpunkte: Test-NetConnection -ComputerName <DC> -Port 135, dynamische RPC-Range, Endpoint Mapper.
Repadmin: ... failed with status 1753 (0x6d9): There are no more endpoints available from the endpoint mapper. Endpoint Mapper auf dem Ziel erreichbar, aber keine nutzbaren Endpunkte (Dienst hängt, Ressourcen erschöpft, Portfilterung). Kann auch auftreten, wenn RPC-Dienste nicht sauber registriert sind oder Security-Software RPC blockiert.
Repadmin: ... failed with status 8453 (0x2105): Replication access was denied. Authentifizierung/Autorisierung für Replikation fehlschlägt. Typisch bei Secure-Channel-Problemen, falschen SPNs/Schlüsseln, oder wenn der Computerkontozustand des DCs inkonsistent ist.
Repadmin: ... failed with status 8606 (0x219e): Insufficient attributes were given to create an object. Replikation scheitert an objekt-/schemaabhängigen Attributanforderungen; oft Hinweis auf Schema-Mismatch oder fehlerhafte Objektmetadaten nach unvollständigen Erweiterungen.
Repadmin: ... failed with status 8452 (0x2104): The naming context is in the process of being removed or is not replicated from the specified server. Partition wird nicht (mehr) repliziert oder ist im Abbau. Typisch nach DC-Demotion, bei falschen Partitionsverweisen oder wenn Anwendungsverzeichnisse (DNS) nicht überall vorhanden sind.
Event ID 2042, NTDS Replication: It has been too long since this machine last replicated... Replikationsstillstand über Tombstone-Lifetime hinaus oder kurz davor. Kritisch, weil veraltete USNs/Objekte zu Inkonsistenzen führen können; häufig Folge von dauerhaft isolierten DCs, VPN-Abbrüchen oder falschen Standorttopologien.

USN-Rollback- und Metadatenprobleme sind besonders gefährlich, weil sie nicht nur „Replikation langsam“ bedeuten, sondern die Änderungsverfolgung brechen. Hinweise liefern repadmin /showrepl, repadmin /replsummary und im Ernstfall die Kombination aus Ereignissen in Directory Service und replizierten Attribut-Metadaten. Ein häufiges Abgrenzungsmerkmal: DNS-/RPC-Probleme erzeugen Verbindungsfehler (z. B. 1722/1753), während USN-/Metadatenbrüche eher als „inkonsistente“ oder „zu alt“ klassifiziert werden (z. B. 2042).

FSMO-Rollen und Rolleninhaber: wenn „Single Master“ zum Single Point wird

FSMO-Rollen wirken punktuell, aber mit harter Wirkungskante: RID Master (SID/RID-Vergabe), PDC Emulator (Zeit, Kennwortänderungen, Kontosperren, viele Kompatibilitätsfunktionen), Infrastructure Master (Referenzobjekte), sowie Schema- und Domain Naming Master (Gesamtstruktur-Änderungen). In Störungslagen treten FSMO-Probleme selten als „FSMO defekt“ auf, sondern als Folgefehler: neue Benutzer/Computer lassen sich nicht erstellen (RID), Kennwortänderungen replizieren nicht (PDC), Domänenbeitritte scheitern, oder Schemaänderungen werden verweigert.

  • Rollenstatus prüfen: netdom query fsmo
    Get-ADForest | Select-Object SchemaMaster,DomainNamingMaster
    Get-ADDomain | Select-Object PDCEmulator,RIDMaster,InfrastructureMaster
  • Typische Rollenfehlertexte: The RPC server is unavailable. beim Rolleninhaberzugriff (Netz/RPC/DNS), Access is denied. bei fehlenden Rechten, sowie allgemeine LDAP/RPC-Status wie 0x000020AF (LDAP_UNWILLING_TO_PERFORM) bei Operationen, die vom Rolleninhaber abhängig sind.
  • Rollenübernahme als Störfallmaßnahme: Move-ADDirectoryServerOperationMasterRole -Identity <DC> -OperationMasterRole PDCEmulator,RIDMaster für kontrollierte Transfers; ntdsutil wird in der Praxis vor allem für Seize-Szenarien genutzt und setzt saubere Metadatenbereinigung sowie die dauerhafte Nichtrückkehr des alten Rolleninhabers voraus.

Viele „FSMO-Probleme“ sind in Wahrheit Zeit- oder Replikationsprobleme: Der PDC Emulator muss als zuverlässige Zeitquelle und als Kerberos-Referenz stabil erreichbar sein; ist er es nicht, zeigen sich Dominoeffekte bei Anmeldungen, bei Gruppenrichtlinienverarbeitung und bei Kennwortvalidierung über Standorte hinweg. Daher sollten FSMO-Störungen stets parallel als Erreichbarkeits- und Replikationsproblem betrachtet werden.

Schema- und Konfigurationsprobleme: wenn Forest-weite Metadaten brechen

Schema und Konfiguration replizieren forestweit. Fehler in diesen Partitionen wirken deshalb nicht lokal, sondern in der gesamten Gesamtstruktur: Setup-Routinen (Exchange, ADFS, AD CS-Erweiterungen), neue Funktionsobjekte oder Attribute werden unterschiedlich gesehen, und DCs verhalten sich widersprüchlich. Typische Symptome sind LDAP-Fehler beim Anlegen/Ändern von Objekten, nicht auflösbare Klassen/Attribute oder widersprüchliche Objektreferenzen in der Konfigurationspartition.

Originalmeldung / Code Mechanismus und Abgrenzung
0x0000208D (LDAP_NO_SUCH_OBJECT) bei Zugriff auf Konfigurationspfade Der angeforderte DN existiert aus Sicht des DC nicht. Häufiger Hinweis auf unvollständige Replikation der Konfigurationspartition oder auf veraltete/fehlerhafte Verweise nach unsauberer DC-Entfernung.
0x0000208E (LDAP_ALIAS_PROBLEM) / 0x0000208F (LDAP_INVALID_DN_SYNTAX) DN-/Alias-Fehler, oft ausgelöst durch fehlerhafte Skripte/Tools oder inkonsistente Daten in Anwendungen, die AD als Konfigurationsspeicher nutzen.
0x0000203A (LDAP_SERVER_DOWN) während Schema-Updates LDAP-Sitzung bricht ab; häufig nicht „LDAP down“, sondern Netzwerk/RPC/SSL-Interaktion, LDAPS-Fehler oder Neustarts von AD DS/LSASS im Updatefenster.
0x00002098 (LDAP_INSUFFICIENT_ACCESS_RIGHTS) bei Schemaänderungen Rechteproblem: Schema-Admins/Enterprise-Admins, geschützte Gruppen, AdminSDHolder-Effekte oder fehlende Elevated-Sitzung. Bei Schemaoperationen muss zusätzlich der Schema Master erreichbar sein.

Ein häufiger Stolperstein sind „phantomartige“ Fehler nach partiellen Rollbacks von Snapshots oder unsauberen Wiederherstellungen: AD DS toleriert keine Zeitreise auf DCs, weil USNs und InvocationIDs die Änderungsverfolgung absichern. Schema-/Konfigurationsauffälligkeiten sollten daher stets gegen Replikationsgesundheit und gegen die Historie von Virtualisierung/Restore-Prozessen geprüft werden.

Berechtigungen und Delegation: „Access Denied“ richtig lokalisieren

Berechtigungsfehler in AD DS werden in der Praxis oft mit „Authentifizierung“ verwechselt. Häufig liegt die Anmeldung korrekt vor, aber der Security Descriptor des Zielobjekts, vererbte ACLs, geschützte Adminobjekte (AdminSDHolder) oder fehlende Extended Rights verhindern die Operation. Relevant ist außerdem, auf welchem DC die Operation landet: Schreiboperationen laufen gegen beschreibbare DCs; bei RODCs greifen zusätzliche Einschränkungen.

  • Häufiger LDAP-Status bei Delegationsfehlern: 0x00002098 (LDAP_INSUFFICIENT_ACCESS_RIGHTS) – die Identität ist authentifiziert, aber nicht autorisiert; Abgrenzung zu „Server nicht erreichbar“ gelingt über parallele Erreichbarkeitsprüfungen und durch Auswertung des Security-Logs.
  • Typische Windows-Fehlertexte: Access is denied. und The requested operation was not performed because the user has not been authenticated. (zweiteres oft Folge von Bind-/Sign/Seal-Anforderungen oder Kanalbindungs-/LDAP-Signing-Konflikten, je nach Umgebungskonfiguration).
  • Rechte-/Objektprüfung: dsacls "CN=<Objekt>,<DN>"
    Get-ACL "AD:CN=<Objekt>,<DN>" (AD-Drive aus RSAT/AD-Modul) zur Sicht auf effektive ACLs; AdminSDHolder-Einflüsse prüfen über CN=AdminSDHolder,CN=System,<DN>.

Delegationsfehler wirken unmittelbar auf Folge-Systeme: fehlende Rechte auf Service-Accounts stören SPN-Registrierungen, Kerberos-Delegation und damit auch Anwendungen, die auf Kerberos constrained delegation angewiesen sind. In Exchange- oder Zertifikatsdienst-Szenarien führt das typischerweise zu Kaskaden aus Authentifizierungsfehlern, obwohl der Root Cause eine ACL- oder Extended-Right-Differenz im Verzeichnis ist.

Trusts und Erreichbarkeit: wenn Domänen sich „sehen“, aber nicht vertrauen

Vertrauensstellungen hängen von DNS, korrekter Zeit (Kerberos), funktionierendem Secure Channel und erreichbaren DCs in beiden Domänen ab. Fehler werden oft als Netlogon- oder LSA-Probleme sichtbar, obwohl die Ursache ein falscher SRV-Record, ein abgelaufener Kennwortschlüssel der Trust-Beziehung oder ein Routingproblem zwischen Standorten ist. Zusätzlich verschärfen strenge Kerberos-/PAC-Validierung und unvollständige Replikation die Lage, weil Tickets zwar ausgestellt, aber nicht mehr sauber verifiziert werden.

Originalmeldung / Code Worum es meist wirklich geht
ERROR_NO_LOGON_SERVERS (1311): There are currently no logon servers available to service the logon request. Client findet keinen erreichbaren DC für den angeforderten Vorgang. Häufig DNS/SRV-Auflösung, Standortzuordnung, Firewall oder DC-Ausfall; kann auch bei Trust-Anfragen auftreten, wenn nur der „falsche“ DC gefunden wird.
The trust relationship between this workstation and the primary domain failed. Secure Channel des Computerkontos defekt (Kennwort-/Schlüssel-Desync, Restore, lange Offline-Phasen). In Trust-Kontexten analog für Trust-Accounts/Interdomain-Keys.
KRB_AP_ERR_SKEW / Windows-Text: The clock skew is too great. Kerberos lehnt Tickets wegen Zeitabweichung ab. Das ist häufig der eigentliche Trigger für Trust-Fehler, wenn Ticketbeschaffung oder -validierung in der fremden Domäne scheitert.
0xC000018B (STATUS_TRUSTED_RELATIONSHIP_FAILURE) LSA meldet Vertrauensfehler; Ursache oft Secure-Channel/Trust-Password, aber auch fehlende Erreichbarkeit der Gegenstellen oder Kerberos-Validierungsfehler durch Zeit/DNS.

Die Einordnung von Erreichbarkeitsproblemen beginnt konsequent mit Namensauflösung und Pfadprüfung, bevor AD-spezifische Hypothesen dominieren. Für DC-zu-DC- und Client-zu-DC-Pfade sind SRV-Auflösung, TCP/UDP-Erreichbarkeit und konsistente Zeit die Grundbedingungen, damit LDAP, Kerberos und RPC überhaupt sinnvoll diagnostiziert werden können. Erst wenn diese Basis stabil ist, lassen sich Replikations-, Rollen- und Berechtigungsfehler belastbar voneinander trennen.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden

Kostenfreie Ersteinschätzung Ihres Anliegens?

❱ Nehmen Sie gerne Kontakt auf ❰

Werbung

UGREEN Nexode X USB C Ladegerät 100W Mini GaN Charger 3-Port PD Netzteil Kompaktes Schnellladegerät PPS 45W Kompatibel mit MacBook Pro, iPhone 17 Air, 16, Galaxy S25 Ultraℹ︎
Ersparnis 33%
UVP**: € 45,99
€ 30,67
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Apple MacBook Air (13", Apple M4 Chip mit 10‑Core CPU und 8‑Core GPU, 16GB Gemeinsamer Arbeitsspeicher, 256 GB) - Silberℹ︎
€ 878,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 876,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
Apple MacBook Air (15", Apple M4 Chip mit 10‑Core CPU und 10‑Core GPU, 16GB Gemeinsamer Arbeitsspeicher, 512 GB) - Mitternachtℹ︎
Ersparnis 19%
UVP**: € 1.649,00
€ 1.339,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 1.340,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
Crucial X9 Pro 1TB Externe SSD Festplatte, bis zu 1050MB/s Lesen/Schreiben, IP55 Wasser- und Staubgeschützt, Portable Solid State Drive, USB-C 3.2 - CT1000X9PROSSD902ℹ︎
€ 104,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Crucial X9 1TB Externe SSD Festplatte, bis zu 1050MB/s, kompatibel mit PC, Mac und Spielekonsolen, Portable Solid State Drive, USB-C 3.2 - CT1000X9SSD902ℹ︎
Ersparnis 20%
UVP**: € 99,99
€ 79,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
NETGEAR GS305 LAN Switch 5 Port Netzwerk Switch (Plug-and-Play Gigabit Switch LAN Splitter, LAN Verteiler, Ethernet Hub lüfterlos, robustes Metallgehäuse), Schwarzℹ︎
Ersparnis 10%
UVP**: € 19,99
€ 17,90
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
WD_BLACK SN850X NVMe SSD 2 TB interne SSD (Gaming Speicher, PCIe Gen4-Technologie, Lesen 7.300 MB/s, Schreiben 6.600 MB/s) Schwarzℹ︎
€ 210,44
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 239,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
€ 327,80
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
AVM FRITZ!Box 5690 Pro, (Wi-Fi 7) WLAN Mesh Glasfaser Router 18,49 Gbit/sℹ︎
€ 289,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei Media Markt ansehenℹ︎
€ 299,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
Anker Nano II 65W USB-C Ladegerät Netzteil mit Schnellladeleistung, GaN II Technologie, Kompatibel mit MacBook Pro/Air, Galaxy S20/S10, iPhone 17/Pro/iPhone Air/16/15, iPad, Pixel (Schwarz)ℹ︎
Ersparnis 45%
UVP**: € 39,99
€ 21,84
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Crucial X10 Pro 1TB Portable SSD Festplatte mit USB-A Adapter, bis zu 2100MB/s Lesen und 2000MB/s Schreiben, Externe SSD, PC und Mac, USB-C 3.2 - CT1000X10PROSSD902ℹ︎
Ersparnis 9%
UVP**: € 115,89
€ 105,89
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
WD Blue SN5100 NVMe SSD 500 GB (6.600 MB/s Lesegeschwindigkeit, M.2 2280, PCIe Gen 4.0, nCache 4.0, SanDisk 3D CBA NAND-Technologie, Acronis True Image)ℹ︎
€ 57,99
Gewöhnlich versandfertig in 1 bis 3 Monaten
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 102,39
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
Apple MacBook Air (13", Apple M4 Chip mit 10‑Core CPU und 8‑Core GPU, 16GB Gemeinsamer Arbeitsspeicher, 256 GB) - Polarsternℹ︎
€ 888,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 888,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
€ 929,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
Eve Thermo (Apple Home) - Smartes Heizkörperthermostat, spart Heizkosten, Moderne Heizungssteuerung (App/Zeitpläne/Anwesenheit), einfach installiert, für gängige Heizkörperventile, Bluetooth/Threadℹ︎
Ersparnis 16%
UVP**: € 79,95
€ 67,53
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 108,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
FRITZ!Box 7690 (Wi-Fi 7 DSL-Router mit 5.760 MBit/s (5GHz) & 1.376 MBit/s (2,4 GHz), bis zu 300 MBit/s mit VDSL-Supervectoring und ADSL2+, WLAN Mesh, DECT-Basis, deutschsprachige Version)ℹ︎
Ersparnis 4%
UVP**: € 238,00
€ 229,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 229,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei Media Markt ansehenℹ︎
NETGEAR GS305E Managed Switch 5 Port Gigabit Ethernet LAN Switch Plus (Plug-and-Play, Netzwerk Switch Managed, IGMP Snooping, QoS, VLAN, lüfterlos, Robustes Metallgehäuse), Schwarzℹ︎
Ersparnis 15%
UVP**: € 25,99
€ 21,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 21,90
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
Apple MacBook Air (13", Apple M4 Chip mit 10‑Core CPU und 8‑Core GPU, 16GB Gemeinsamer Arbeitsspeicher, 256 GB) - Himmelblauℹ︎
€ 849,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 910,92
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
€ 929,00
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
ℹ︎ Werbung / Affiliate-Links: Wenn Sie auf einen dieser Links klicken und einkaufen, erhalte ich eine Provision. Für Sie verändert sich der Preis dadurch nicht. Zuletzt aktualisiert am 20. Dezember 2025 um 20:00. Die hier gezeigten Preise können sich zwischenzeitlich auf der Seite des Verkäufers geändert haben. Alle Angaben ohne Gewähr.
(**) UVP: Unverbindliche Preisempfehlung

Preise inkl. MwSt., zzgl. Versandkosten

Auch interessant:

Nach oben scrollen