AD Check alarm

林 沈 1 Reputation point
2023-09-04T06:59:40.8466667+00:00

AD controller health check alarm

OS:windows Server 2019;

Domain level and forest level:windows Server 2008;

{

Microsoft Windows [版本 10.0.17763.3165]
(c) 2018 Microsoft Corporation。保留所有权利。

C:\Users\administrator.ATL>dcdiag

目录服务器诊断

正在执行初始化设置:
   正在尝试查找主服务器...
   主服务器 = PDC
   * 已识别的 AD 林。
   已完成收集初始化信息。

正在进行所需的初始化测试

   正在测试服务器: Default-First-Site-Name\PDC
      开始测试: Connectivity
         ......................... PDC 已通过测试 Connectivity

正在执行主要测试

   正在测试服务器: Default-First-Site-Name\PDC
      开始测试: Advertising
         ......................... PDC 已通过测试 Advertising
      开始测试: FrsEvent
         ......................... PDC 已通过测试 FrsEvent
      开始测试: DFSREvent
         SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
         ......................... PDC 已通过测试 DFSREvent
      开始测试: SysVolCheck
         ......................... PDC 已通过测试 SysVolCheck
      开始测试: KccEvent
         ......................... PDC 已通过测试 KccEvent
      开始测试: KnowsOfRoleHolders
         ......................... PDC 已通过测试 KnowsOfRoleHolders
      开始测试: MachineAccount
         ......................... PDC 已通过测试 MachineAccount
      开始测试: NCSecDesc
         ......................... PDC 已通过测试 NCSecDesc
      开始测试: NetLogons
         ......................... PDC 已通过测试 NetLogons
      开始测试: ObjectsReplicated
         ......................... PDC 已通过测试 ObjectsReplicated
      开始测试: Replications
         ......................... PDC 已通过测试 Replications
      开始测试: RidManager
         ......................... PDC 已通过测试 RidManager
      开始测试: Services
         ......................... PDC 已通过测试 Services
      开始测试: SystemLog
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:31:54
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个错误事件。EventID: 0x0000165B
            生成时间: 09/04/2023   13:35:32
            事件字符串: 从计算机 'SSLVPN' 设置会话失败,因为安全数据库 没有包含指定计算机引用的信任帐户 'SSLVPN$'。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:39:39
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个错误事件。EventID: 0x000016AD
            生成时间: 09/04/2023   13:40:32
            事件字符串: 从计算机 SSLVPN 设置的会话未能进行身份验证。 发生下列错误:
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:42:09
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:50:32
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000023
            生成时间: 09/04/2023   13:52:26
            事件字符串:
            密钥发行中心 (KDC)遇到来自另一个不包含 PAC 属性字段的 KDC (WBDC)(TGT)票证授予票证。请参阅https://go.microsoft.com/fwlink/?linkid=2173051了解详细信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:52:30
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   13:57:14
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:02:09
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:05:09
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:07:12
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:12:50
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:19:02
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         发生了一个警告事件。EventID: 0x80000025
            生成时间: 09/04/2023   14:20:55
            事件字符串:
            密钥发行中心 (KDC) 在处理另一张票据请求时,遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行, 并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。
         ......................... PDC 没有通过测试 SystemLog
      开始测试: VerifyReferences
         ......................... PDC 已通过测试 VerifyReferences


   正在 ForestDnsZones
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... ForestDnsZones 已通过测试 CheckSDRefDom
      开始测试: CrossRefValidation
         ......................... ForestDnsZones 已通过测试 CrossRefValidation

   正在 DomainDnsZones
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... DomainDnsZones 已通过测试 CheckSDRefDom
      开始测试: CrossRefValidation
         ......................... DomainDnsZones 已通过测试 CrossRefValidation

   正在 Schema
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... Schema 已通过测试 CheckSDRefDom
      开始测试: CrossRefValidation
         ......................... Schema 已通过测试 CrossRefValidation

   正在 Configuration
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... Configuration 已通过测试 CheckSDRefDom
      开始测试: CrossRefValidation
         ......................... Configuration 已通过测试 CrossRefValidation

   正在 ATL
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... ATL 已通过测试 CheckSDRefDom
      开始测试: CrossRefValidation
         ......................... ATL 已通过测试 CrossRefValidation

   正在 ATL.com.cn
    上运行企业测试
      开始测试: LocatorCheck
         ......................... ATL.com.cn 已通过测试 LocatorCheck
      开始测试: Intersite
         ......................... ATL.com.cn 已通过测试 Intersite

}

There are mainly three errors:
Start testing: DFSRevent
There have been warning or error events in the last 24 hours after SYSVOL sharing. Failed SYSVOL replication issues may lead to group policy issues.
The PDC has passed the DFSRevent test

Generation time: 09/04/2023 13:52:26
Event string:
The Key Distribution Center (KDC) encountered a ticket grant ticket from another KDC (WBDC) (TGT) ticket that does not contain PAC attribute fields. see also https://go.microsoft.com/fwlink/?linkid=2173051 Learn more.
A warning event has occurred. EventID: 0x80000025

Generation time: 09/04/2023 13:52:30
Event string:
The Key Distribution Center (KDC) encountered an account information ticket that did not contain the requested ticket while processing another ticket request. This makes security checks impossible to run and may open security vulnerabilities. Please refer to https://go.microsoft.com/fwlink/?linkid=2173051 Learn more.
A warning event has occurred. EventID: 0x80000025


I hope the Great God can provide help;

Windows Server
Windows Server
A family of Microsoft server operating systems that support enterprise-level management, data storage, applications, and communications.
12,943 questions
0 comments No comments
{count} votes

2 answers

Sort by: Most helpful
  1. Limitless Technology 44,221 Reputation points
    2023-09-05T08:14:12.2766667+00:00

    Hello

    Thank you for your question and reaching out.

    Please run from elevated prompt;

    repadmin /showrepl >C:\replresult.txt (run on any domain controller)

    Dcdiag /v /c /d /e /s:%pcname% >C:\dcdiag.log (run on PDC emulator)

    ipconfig /all > C:%pcname%.txt (run on EVERY domain controller)

    ipconfig /all > C:\mypc.txt (run on problem pc)

    Check the domain controller System and Replication (DFS or FRS) event logs for any errors that have occurred since the last boot. Post the Event Source and Event IDs of any discovered events. (There are no evtx files)

    Remove the DNS address listed on AD and replace it with the server's own static IP address (10.11.11.11) plus the loopback address 127.0.0.1, then run ipconfig /flushdns, ipconfig /registerdns, and restart the netlogon service. You can try an authoritative sync to resolve the replication error caused by a single domain controller.

    https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/dcdiag-commands-running-errors

    --If the reply is helpful, please Upvote and Accept as answer--

    0 comments No comments

  2. Daisy Zhou 22,716 Reputation points Microsoft Vendor
    2023-09-05T08:49:42.25+00:00

    Hello 林 沈,

    I'm happy to answer this question and hopefully it will help you.

    Based on the error message provided, warning events have occurred regarding the Key Distribution Center (KDC). These events may be related to Group Policy issues and may affect the normal functioning of SYSVOL Replication and Group Policy.

    The following troubleshooting steps are recommended:

    1.Check time synchronization between domain controllers: ensure that time synchronization between domain controllers is correct. Time differences may cause problems with KDC. You can use the w32tm /query /status command to check the time synchronization status.

    2.Check KDC settings: Verify that the KDC settings are correct. Ensure that the latest service packs and patches are installed and updated as needed.

    3.Check Domain Controller Health Status: Perform a health check of the domain controller, including hardware, disk space, and system logs. Ensure that there are no other related issues with the domain controller.

    4.Check DFS Replication status: Verify that the DFS replication status of SYSVOL is normal. Use the commands dfsrdiag.exe backlog and dfsrdiag.exe replication state to check the DFS replication status and latency.

    I hope the information above is helpful.

    If you have any question or concern, please feel free to let us know.

    Best Regards,
    Daisy Zhou

    ==========================================

    If the Answer is helpful, please click "Accept Answer" and upvote it.

    0 comments No comments

Your answer

Answers can be marked as Accepted Answers by the question author, which helps users to know the answer solved the author's problem.