keine-ahnung
Goto Top

Problem Namensauflösung Kerberos und DCOM

Hallo ins weite Rund, kurz vor dem Urlaub mal wieder keine#ahnung ...

Hi nochmal,

ich habe folgende Nettigkeiten kurz vor dem Urlaub:

Setup: SBS 2008

Vor ca. zwei Wochen habe ich zwei Arbeitsstationen (XPpro)durch zwei neue (W7pro_x64) "ersetzt". Alte FQND waren Sprechzimmer 1 bzw. 2.domäne.local, neue PC heissen Sprechzimmer_1N/_2N.domäne.local.

Jetzt habe ich doch (alternierend) Sorgen mit der Systemstabilität der Büchsen bei der Arbeit im Netz. Vorweg: die alten PC habe ich nur zur Seite gestellt und noch nicht aus der Domäne "ausgetreten", ergo sind sie auch noch in der AD registriert.

Jetzt bekomme ich zunehmend eine Kerberos-Fehlermeldung: ID: 4, Quelle: Security-Kerberos

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "sprechzimmer_2n$" empfangen. Der verwendete Zielname war RPCSS/Sprechzimmer2.xxx.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (xxx.LOCAL) von der Clientdomäne (xxx.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Was mir auffällt, ist der Unterschied zwischen PC-Namen (neu) und Zielnamen (alt). Danach kommen Fehlermeldung aus DCOM:

ID: 10009 Quelle: DistributedCOM

DCOM konnte mit dem Computer "Sprechzimmer2.xxx.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

Auch hier wird ein Computer angesprochen, der aktuell gar nicht (mehr) im Netz ist???

DNS läuft ohne Fehlermeldung, nslookup ist von beiden PC auf den Server und umgekehrt möglich.

Meine Frage:

Habe ich da ein Syntaxproblem bei der Taufe der neuen PC gemacht (lösst der DNS stellenweise den Unterstrich nicht auf und ignoriert das "N" nach der Ziffer?? Kann ich mir eigentlich nicht vorstellen, aber ... keine#ahnung halt face-wink


Für Anregungen wäre ich dankbar, insbesondere wenn Sie mich vor dem Austritt der neuen PC und Neubennenung bewahren (meine Praxisverwaltung ist schlimmer als das Fratzenbuch, die merkt sich unauslöschlich jeden einmal angemeldeten PC ...

Danke und LG, Thomas

Content-Key: 186080

Url: https://administrator.de/contentid/186080

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Haumiblau
Haumiblau 07.06.2012 um 11:47:32 Uhr
Goto Top
Hallo,

Schau mal in deinem DNS nach, da ist bestimmt noch ein Eintrag der auf die Alten XP-PC's hinweist und einer der Neuen hat aber jetzt die IP des alten PC's bekommen.
Du musst bei den neuen PC's in der Forward Lookup Zone ein Häckchen bei "entsprechenden Zeigereintrag (PTR) setzen" reinmachen, dann sollte alles wieder funktionieren.

Grüße
Mitglied: keine-ahnung
keine-ahnung 07.06.2012 um 12:14:52 Uhr
Goto Top
Hi,

danke für den Tipp. Bin momentan nicht in der Praxis. Ich werde am Nachmittag die alten Kisten austreten lassen und aus der AD schmeissen, den "PTR aktualisieren Haken" hatte ich schon drin.

Mal schauen, ich melde mich, sowie ich die Rentner aus der AD gekickt habe.

LG, Thomas
Mitglied: keine-ahnung
keine-ahnung 07.06.2012 aktualisiert um 18:08:55 Uhr
Goto Top
So,

ich habe die "alten" Rechner aus der Domäne abgemeldet, die Einträge in der AD und im DNS-Manager entfernt. Problem war wohl tatsächlich, dass ich den alten PC "2" vor dem letzten Herunterfahren nicht auf DHCP gesetzt habe, und damit die statische IP für den alten und den neuen client im DNS gelistet war.

Die Kerberos-/DCOM-events scheinen nicht mehr aufzutauchen.

Ein Problem habe ich jedoch noch: ich bekomme für den "Nachfolger" des PC "2" keine Namensauflösung der IP im nslookup, kann jedoch die IP über den Namen auflösen. Kann es sein, dass die Änderungen noch nicht im gesamten System angekommen sind (Neustart des SBS kann ich im laufenden Betrieb nicht machen). Die event-logs am Server sind sowohl im Bereich des Systems als auch im Bereich DNS sauber ... Allerdings steht der PC auch (noch???) nicht in der reverse lookup zone.

LG, Thomas
Mitglied: keine-ahnung
keine-ahnung 07.06.2012 aktualisiert um 19:26:53 Uhr
Goto Top
Letzter Kommentar,

jetzt hat sich die Büchse in die reverse zone eingetragen - tempura curat omnia face-wink

Herzlichen Dank an Haumiblau und

LG, Thomas