NIERO@net e.K. – Corporate Blog

Wir sichern Ihre digitalen Unternehmenswerte!

Replikationsfehler zum Standort: Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt

Nachdem wir bei einem unserer Klienten die Domänen- und Gesamtstrukturfunktionsebene von Windows Server 2003 auf Windows Server 2008 R2 angehoben hatten, stellten wir den o.g. Fehler fest.

In dieser kleinen Infrastruktur gibt es zwei Domänencontroller, je einen mit Windows Server 2012 R2 und Windows Server 2008 R2, die jeweils vor einiger Zeit von Windows Server 2003 R2 SP2 migriert wurden.

Die Replikation vom W2K8R2 nach WinServ2012R2 verlief einwandfrei, umgekehrt nicht.

Die Lösung war recht simpel: Neustart des KDC auf beiden Domänencontrollern.

Der Artikel “Clint Boessen’s Blog: Problems When Upgrading your domain and forest functional level from 2003 to 2008 R2” erklärt dieses Phänomen (“In 2003 functional level the Kerberos Key Distribution Centre (KDC) used either RC4-HMAC 128-bit or DES-CBC-MD5 56-bit for Kerberos Encryption however when moving to 2008 Domain Functional Level (or higher) you upgrade the Key Distribution Centre (KDC) to use Advanced Kerberos Encryption which uses AES 128 and AES 256 encryption.”).

Es scheint so, als bekäme das KDC unter seltenen Umständen das Anheben der Funktionsebenen nicht mit.


Aktuelles finden Sie stets auch auf der Website, oder auf Twitter.

NIERO@net e.K. versteht sich als “Solution Innovator” und “Enterprise Architect”, indem wir unser Angebot auf Management Consulting, Mobile- /Cloud-Lösungen, Geschäftsprozess-Lösungen und Managed Services verlagern. Lesen Sie unsere Corporate Statements und erfahren Sie, wofür NIERO@net e.K. steht.

Experten machen den Unterschied: Lesen Sie, weshalb die Zusammenarbeit mit einem Mitgliedsunternehmen der MSPAlliance die Wettbewerbsfähigkeit Ihres Unternehmens erhöht.

Sollten Sie aktive Unterstützung benötigen, können Sie sich jederzeit an uns wenden und nach unseren Managed Services, Hosted Software Services und Hosted System Services für kleine und mittelständische Unternehmen in der Region Hamburg fragen.

Unsere Aufgabe ist es, Ihnen bei der Verwaltung Ihrer Netzwerke zu helfen, damit Sie sich um Ihr Geschäft kümmern können.

Lassen Sie uns Ihnen helfen, die Methoden und Richtlinien zu entwerfen, die Ihr Unternehmen noch erfolgreicher machen.

Unser Ziel: “Enterprise Solutions and Quality for Small Business”

Unsere Kerndienste: Managed Networks – Managed Workstations – Managed Email – Managed Cloud – Managed Continuity – Managed Security – Managed Mobile – Managed Backup

2. Dezember 2015 Posted by | Lessons learned: Notes from the field | , , , | Kommentare deaktiviert für Replikationsfehler zum Standort: Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt

unterstützte Workloads für Hyper-V Replica (HVR) unter Windows Server 2012 R2

Vor einiger Zeit hatten wir in unserer regionalen Community eine Diskussion über den Einsatz von Hyper-V Replica (HVR) unter Windows Server 2012 R2 und haben auch einen Workshop hierzu veranstaltet.

In diesem Zusammenhang galt es zu eruieren, welche Workloads für Hyper-V Replica unterstütz werden.

Wir konnten das Folgende zusammentragen:

  • Generell ist es Hyper-V egal, welche Anwendung in der VM läuft, solange diese VSS unterstützt. Applikationen müssen „hartes“ Ausschalten verkraften.
  • Grundsätzlich sind alle Windows Server 2012 R2 Workloads supported, also auch Domain Controller.
  • Soweit Anwendungen eigene DR-Funktionen haben, sind die natürlich zu bevorzugen.
  • ADDS (virtuelle Domänen Controller) werden uneingeschränkt mit aktuellen DCs und eingeschränkt mit älteren DCs unterstützt (Support for using Hyper-V Replica for virtualized domain controllers)
  • SQL Server wird unterstützt, wenn keine weiteren HA Modi in der VM genutzt werden und das EnableWriteOrderPreservationAcrossDisks flag gesetzt ist (Support policy for Microsoft SQL Server products that are running in a hardware virtualization environment)
  • Für Microsoft Exchange sind die Aussagen unterschiedlich: Während der Großteil der MVPs, wie Paul Cunningham, und auch dieser TechNet-Blog “nein” sagen, haben wir eine Aussage vom deutschen Microsoft- PreSales-Support, dass es doch möglich wäre. Nun sollte man davon ausgehen, dass CSS-Consultants wissen, was sie sagen, trotzdem ist Paul Cunninghams Aussage unter Verweis auf die Exchange 2013 Virtualization Exchange 2013 Help nachvollziehbar: “I’ve been told directly by Microsoft that it is not supported. Consider Hyper-V Replica the same as snapshots. Hyper-V Replica is not explicitly listed as supported” Die angesprochene Exchange-Hilfe sagt aus: “Virtual machine snapshots aren’t application aware, and using them can have unintended and unexpected consequences for a server application that maintains state data, such as Exchange. As a result, making virtual machine snapshots of an Exchange guest virtual machine isn’t supported. Exchange server virtual machines, may be combined with host-based failover clustering and migration technology, as long as the virtual machines are configured such that they won’t save and restore state on disk when moved or taken offline.

Bis wir das zufriedenstellend, offiziell und abschließend, geklärt haben, stimmen wir aus Eigensicherungs-Gründen dem “Nein” bei Microsoft Exchange zu.

Wenn wir Neues wissen, werden wir diesen Beitrag entsprechend aktualisieren.

UPDATE: Parallel zu diesem Beitrag haben wir den Fall “Exchange mit HVR” auf Yammer diskutiert. Tony Redmond war so nett den Fall an die Product Group (PG)  weiterzuleiten. Schon nach kurzer Zeit haben wir von Tony die erbetene Antwort bekommen:

The response from the Exchange product group is pretty simple. They do not test the use of Hyper-V Replica with Exchange and it is not a supported configuration. Like many other instances with technology, it might be possible (on a good day with the wind from the east, but no more than 5 kph) to make Exchange and Hyper-V Replica work nice together. This is particularly so with test systems or servers that are not under heavy load. However, if you attempt the same trick with snapshots taken from DAG member servers that are under heavy load, you run an extreme risk of creating a situation where the snapshots and the application creating the snapshots are unaware of the full application environment that exists within the DAG (like block mode replication, for instance) and so the snapshots will probably not work if you attempt to use them to restore a server in the future. Again, the best thing is to leave an application that has HA designed into its core to do its thing and keep the hypervisor magic for applications that don’t have HA.

Kurz gesagt: Exchange ist weder getestet noch unterstützt für Hyper-V Replica. Die PG wird die entsprechenden TechNet-Artikel aktualisieren.

Empfehlenswert im Allgemeinen ist übrigens das pdf “Best Practices for Virtualizing & Managing Exchange 2013”.


Aktuelles finden Sie stets auch auf der Website, oder auf Twitter.  

Experten machen den Unterschied: Lesen Sie, weshalb die Zusammenarbeit mit einem Mitgliedsunternehmen der MSPAlliance die Wettbewerbsfähigkeit Ihres Unternehmens erhöht.

Sollten Sie aktive Unterstützung benötigen, können Sie sich jederzeit an uns wenden und nach unseren Managed Services, Hosted Software Services und Hosted System Services für kleine und mittelständische Unternehmen in der Region Hamburg fragen.

Unsere Aufgabe ist es, Ihnen bei der Verwaltung Ihrer Netzwerke zu helfen, damit Sie sich um Ihr Geschäft kümmern können.

Lassen Sie uns Ihnen helfen, die Methoden und Richtlinien zu entwerfen, die Ihr Unternehmen noch erfolgreicher machen.

Unser Ziel: “Enterprise Solutions and Quality for Small Business”

Unsere Kerndienste: Managed Networks – Managed Workstations – Managed Email – Managed Cloud – Managed Continuity – Managed Security – Managed Mobile – Managed Backup

4. März 2015 Posted by | Hyper-V | , , , , , , , , , | Kommentare deaktiviert für unterstützte Workloads für Hyper-V Replica (HVR) unter Windows Server 2012 R2