Discussion:
DNS Probleme
(zu alt für eine Antwort)
Holger Spindler
2004-10-20 08:37:38 UTC
Permalink
Bei unseren Servern tauchten im Ereignisprotokoll massenhaft Warnungen auf:

Quelle LSASRV
Ereigniskennung: 40961 und 40961
Kategorie: SPNEGO (Vermittlung)

Beschreibung:

Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server
DNS/server.domain.de festgestellt. Der Fehlercode des
Authentifizierungsprotokolls Kerberos war "Die versuchte Anmeldung ist
ungültig. Der Benutzername war falsch, oder es wurden falsche Informationen
zur Authentifizierung angegeben.
(0xc000006d)".

Zur Umgebung:

Drei Domain Controller, auf dem 1. Domain Controller ist der DNS-Server
installiert. Die Fehler treten auf den beiden anderen CD auf.

Es ist nicht möglich, über \\server\freigabe auf den 1. DC zuzugreifen,
\\IP-Adr.\freigabe geht aber.

Viel problematischer ist, dass kein Abgleich der Domäne mehr zwischen den DC
erfolgt.


Die Umgebung lief ca. 3 Monate einwandfrei, plötzlich tritt o.g. Effekt auf,
ohne dass (bewusst) Konfigurationsänderungen gemacht wurden.

Scheinbar passt irgendetwas mit dem Kerberos- Protokoll nicht.

Wer weis Rat, woran das liegen könnte?

Holger Spindler
Robert Pieroth [MVP]
2004-10-24 14:48:34 UTC
Permalink
Post by Holger Spindler
Quelle LSASRV
Ereigniskennung: 40961 und 40961
Kategorie: SPNEGO (Vermittlung)
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server
DNS/server.domain.de festgestellt. Der Fehlercode des
Authentifizierungsprotokolls Kerberos war "Die versuchte Anmeldung ist
ungültig. Der Benutzername war falsch, oder es wurden falsche Informationen
zur Authentifizierung angegeben.
Drei Domain Controller, auf dem 1. Domain Controller ist der DNS-Server
installiert. Die Fehler treten auf den beiden anderen CD auf.
Dann prüfe mal, ob auf _allen drei DC_ in der TCP/IP Konfiguration unter
"Bevorzugter DNS" auch die IP-Adresse des 1. Domaincontrollers (der Euer
DNS-Server ist) drin steht. Bei sich selber könnte der 1. DC fälschlich
eigenständig mal "127.0.0.1" eingetragen haben. Was falsch ist.
Stelle das auf allen DC _richtig_ ein und gib dann in einer Kommandozeile
(C:\>) nacheinander ein: net stop netlogon && net start netlogon
Post by Holger Spindler
Es ist nicht möglich, über \\server\freigabe auf den 1. DC zuzugreifen,
\\IP-Adr.\freigabe geht aber.
Eindeutiger Hinweis auf nicht funktionierende Auflösung von Namen zu
IP-Adressen. Z.Bsp. durch fehlerhaften Eintrag bei "Bevorzugter DNS".
Post by Holger Spindler
Viel problematischer ist, dass kein Abgleich der Domäne mehr
zwischen den DC erfolgt.
Klar, wenn durch fehlerhafte DNS-Konfiguration sich die DC nicht mehr
gegenseitig finden, geht auch keine Replikation mehr.
Post by Holger Spindler
Die Umgebung lief ca. 3 Monate einwandfrei, plötzlich tritt o.g. Effekt auf,
ohne dass (bewusst) Konfigurationsänderungen gemacht wurden.
Scheinbar passt irgendetwas mit dem Kerberos- Protokoll nicht.
Wer weis Rat, woran das liegen könnte?
Siehe oben.
--
Viele Grüße
Robert Pieroth
http://mvp.support.microsoft.com/default.aspx?scid=fh;DE;mvpsrpieroth
Holger Spindler
2004-10-25 06:32:05 UTC
Permalink
War alles absolut richtig eingestellt, es war auch mein erster Tipp, dass
hier Fehler gemacht wurden.

Holger Spindler
Post by Robert Pieroth [MVP]
Post by Holger Spindler
Quelle LSASRV
Ereigniskennung: 40961 und 40961
Kategorie: SPNEGO (Vermittlung)
Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server
DNS/server.domain.de festgestellt. Der Fehlercode des
Authentifizierungsprotokolls Kerberos war "Die versuchte Anmeldung ist
ungültig. Der Benutzername war falsch, oder es wurden falsche Informationen
zur Authentifizierung angegeben.
Drei Domain Controller, auf dem 1. Domain Controller ist der DNS-Server
installiert. Die Fehler treten auf den beiden anderen CD auf.
Dann prüfe mal, ob auf _allen drei DC_ in der TCP/IP Konfiguration unter
"Bevorzugter DNS" auch die IP-Adresse des 1. Domaincontrollers (der Euer
DNS-Server ist) drin steht. Bei sich selber könnte der 1. DC fälschlich
eigenständig mal "127.0.0.1" eingetragen haben. Was falsch ist.
Stelle das auf allen DC _richtig_ ein und gib dann in einer Kommandozeile
(C:\>) nacheinander ein: net stop netlogon && net start netlogon
Post by Holger Spindler
Es ist nicht möglich, über \\server\freigabe auf den 1. DC zuzugreifen,
\\IP-Adr.\freigabe geht aber.
Eindeutiger Hinweis auf nicht funktionierende Auflösung von Namen zu
IP-Adressen. Z.Bsp. durch fehlerhaften Eintrag bei "Bevorzugter DNS".
Post by Holger Spindler
Viel problematischer ist, dass kein Abgleich der Domäne mehr
zwischen den DC erfolgt.
Klar, wenn durch fehlerhafte DNS-Konfiguration sich die DC nicht mehr
gegenseitig finden, geht auch keine Replikation mehr.
Post by Holger Spindler
Die Umgebung lief ca. 3 Monate einwandfrei, plötzlich tritt o.g. Effekt auf,
ohne dass (bewusst) Konfigurationsänderungen gemacht wurden.
Scheinbar passt irgendetwas mit dem Kerberos- Protokoll nicht.
Wer weis Rat, woran das liegen könnte?
Siehe oben.
--
Viele Grüße
Robert Pieroth
http://mvp.support.microsoft.com/default.aspx?scid=fh;DE;mvpsrpieroth
Robert Pieroth [MVP]
2004-10-25 09:49:06 UTC
Permalink
Post by Holger Spindler
War alles absolut richtig eingestellt, es war auch mein erster Tipp, dass
hier Fehler gemacht wurden.
Holger Spindler
Dann gehe als nächste mal diese mehr als 10 möglichen Ursachen
und Lösungen durch, die hier unter Details: "Comments and Links..." aufgeführt sind:
http://www.eventid.net/display.asp?eventid=40961&eventno=1398&source=LsaSrv
--
Viele Grüße
Robert Pieroth
http://mvp.support.microsoft.com/default.aspx?scid=fh;DE;mvpsrpieroth
Loading...