Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem Namensauflösung Kerberos und DCOM

Frage Microsoft Windows Netzwerk

Mitglied: keine-ahnung

keine-ahnung (Level 5) - Jetzt verbinden

07.06.2012 um 09:51 Uhr, 12903 Aufrufe, 4 Kommentare

Hallo ins weite Rund, kurz vor dem Urlaub mal wieder keine#ahnung ...

Hi nochmal,

ich habe folgende Nettigkeiten kurz vor dem Urlaub:

Setup: SBS 2008

Vor ca. zwei Wochen habe ich zwei Arbeitsstationen (XPpro)durch zwei neue (W7pro_x64) "ersetzt". Alte FQND waren Sprechzimmer 1 bzw. 2.domäne.local, neue PC heissen Sprechzimmer_1N/_2N.domäne.local.

Jetzt habe ich doch (alternierend) Sorgen mit der Systemstabilität der Büchsen bei der Arbeit im Netz. Vorweg: die alten PC habe ich nur zur Seite gestellt und noch nicht aus der Domäne "ausgetreten", ergo sind sie auch noch in der AD registriert.

Jetzt bekomme ich zunehmend eine Kerberos-Fehlermeldung: ID: 4, Quelle: Security-Kerberos

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "sprechzimmer_2n$" empfangen. Der verwendete Zielname war RPCSS/Sprechzimmer2.xxx.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (xxx.LOCAL) von der Clientdomäne (xxx.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

Was mir auffällt, ist der Unterschied zwischen PC-Namen (neu) und Zielnamen (alt). Danach kommen Fehlermeldung aus DCOM:

ID: 10009 Quelle: DistributedCOM

DCOM konnte mit dem Computer "Sprechzimmer2.xxx.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

Auch hier wird ein Computer angesprochen, der aktuell gar nicht (mehr) im Netz ist???

DNS läuft ohne Fehlermeldung, nslookup ist von beiden PC auf den Server und umgekehrt möglich.

Meine Frage:

Habe ich da ein Syntaxproblem bei der Taufe der neuen PC gemacht (lösst der DNS stellenweise den Unterstrich nicht auf und ignoriert das "N" nach der Ziffer?? Kann ich mir eigentlich nicht vorstellen, aber ... keine#ahnung halt


Für Anregungen wäre ich dankbar, insbesondere wenn Sie mich vor dem Austritt der neuen PC und Neubennenung bewahren (meine Praxisverwaltung ist schlimmer als das Fratzenbuch, die merkt sich unauslöschlich jeden einmal angemeldeten PC ...

Danke und LG, Thomas
Mitglied: Haumiblau
07.06.2012 um 11:47 Uhr
Hallo,

Schau mal in deinem DNS nach, da ist bestimmt noch ein Eintrag der auf die Alten XP-PC's hinweist und einer der Neuen hat aber jetzt die IP des alten PC's bekommen.
Du musst bei den neuen PC's in der Forward Lookup Zone ein Häckchen bei "entsprechenden Zeigereintrag (PTR) setzen" reinmachen, dann sollte alles wieder funktionieren.

Grüße
Bitte warten ..
Mitglied: keine-ahnung
07.06.2012 um 12:14 Uhr
Hi,

danke für den Tipp. Bin momentan nicht in der Praxis. Ich werde am Nachmittag die alten Kisten austreten lassen und aus der AD schmeissen, den "PTR aktualisieren Haken" hatte ich schon drin.

Mal schauen, ich melde mich, sowie ich die Rentner aus der AD gekickt habe.

LG, Thomas
Bitte warten ..
Mitglied: keine-ahnung
07.06.2012, aktualisiert um 18:08 Uhr
So,

ich habe die "alten" Rechner aus der Domäne abgemeldet, die Einträge in der AD und im DNS-Manager entfernt. Problem war wohl tatsächlich, dass ich den alten PC "2" vor dem letzten Herunterfahren nicht auf DHCP gesetzt habe, und damit die statische IP für den alten und den neuen client im DNS gelistet war.

Die Kerberos-/DCOM-events scheinen nicht mehr aufzutauchen.

Ein Problem habe ich jedoch noch: ich bekomme für den "Nachfolger" des PC "2" keine Namensauflösung der IP im nslookup, kann jedoch die IP über den Namen auflösen. Kann es sein, dass die Änderungen noch nicht im gesamten System angekommen sind (Neustart des SBS kann ich im laufenden Betrieb nicht machen). Die event-logs am Server sind sowohl im Bereich des Systems als auch im Bereich DNS sauber ... Allerdings steht der PC auch (noch???) nicht in der reverse lookup zone.

LG, Thomas
Bitte warten ..
Mitglied: keine-ahnung
07.06.2012, aktualisiert um 19:26 Uhr
Letzter Kommentar,

jetzt hat sich die Büchse in die reverse zone eingetragen - tempura curat omnia

Herzlichen Dank an Haumiblau und

LG, Thomas
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst Dateinamen mit Batch-Datei ändern - Problem (9)

Frage von fffffuuuuuuuhhhh zum Thema Batch & Shell ...

Debian
Squid Proxyserver - HTTPS Problem (1)

Frage von Cartman zum Thema Debian ...

Windows Server
Problem mit Webdav und Webserver IIS (3)

Frage von JUJUS31 zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(4)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (41)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Off Topic
gelöst Fachzeitschriften als E-Book oder hardcoded? (11)

Frage von KowaKowalski zum Thema Off Topic ...

Windows 10
Windows Store Apps ohne Windows Store installieren (10)

Frage von keefien zum Thema Windows 10 ...