10
DNS Client Event ID 8019
Hallo,
an 2 Windows Servern in unserer DMZ erscheint diese Meldung, sobald ich ipconfig -registerdns eingebe:
The system failed to register host (A or AAAA) resource records (RRs) for network adapter
with settings:
Adapter Name : {xxx}
Host Name : xxx
Primary Domain Suffix : xxx
DNS server list :
x,x
Sent update to server : xxx
IP Address(es) :
xxx
The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.
You can manually retry DNS registration of the network adapter and its settings by typing 'ipconfig /registerdns' at the command prompt. If problems still persist, contact your DNS server or network systems administrator. See event details for specific error code information.
Beide Server wurden von unserem DNS Aufräumprozess entfernt und konnten sich nicht mehr selbst registrieren (A als auch PTR). Was alle anderen Server können.
Port 53 ist aus der DMZ erreichbar. DNS löst auch auf dem Server aus. IP ist statisch vergeben
Wo liegt das Problem? An der Firewall oder am DNS? Jemand eine Idee?
Im Voraus vielen Dank
Peter
an 2 Windows Servern in unserer DMZ erscheint diese Meldung, sobald ich ipconfig -registerdns eingebe:
The system failed to register host (A or AAAA) resource records (RRs) for network adapter
with settings:
Adapter Name : {xxx}
Host Name : xxx
Primary Domain Suffix : xxx
DNS server list :
x,x
Sent update to server : xxx
IP Address(es) :
xxx
The reason the system could not register these RRs was because of a security related problem. The cause of this could be (a) your computer does not have permissions to register and update the specific DNS domain name set for this adapter, or (b) there might have been a problem negotiating valid credentials with the DNS server during the processing of the update request.
You can manually retry DNS registration of the network adapter and its settings by typing 'ipconfig /registerdns' at the command prompt. If problems still persist, contact your DNS server or network systems administrator. See event details for specific error code information.
Beide Server wurden von unserem DNS Aufräumprozess entfernt und konnten sich nicht mehr selbst registrieren (A als auch PTR). Was alle anderen Server können.
Port 53 ist aus der DMZ erreichbar. DNS löst auch auf dem Server aus. IP ist statisch vergeben
Wo liegt das Problem? An der Firewall oder am DNS? Jemand eine Idee?
Im Voraus vielen Dank
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668511
Url: https://administrator.de/contentid/668511
Ausgedruckt am: 25.10.2024 um 23:10 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
ich tippe Berechtigungsproblem auf dem DNS-Server.
ich tippe Berechtigungsproblem auf dem DNS-Server.
Hi,
dachte ich mir auch. Habe dem Computerobjekt Vollzugriff auf die Zone gegeben. Leider gleiche Fehlermeldung. Im Eventlog vom DNS wird nichts dergleichen protokolliert. Alle anderen Windowsserver haben kein Problem mit dem Registrieren und erneuern.
dachte ich mir auch. Habe dem Computerobjekt Vollzugriff auf die Zone gegeben. Leider gleiche Fehlermeldung. Im Eventlog vom DNS wird nichts dergleichen protokolliert. Alle anderen Windowsserver haben kein Problem mit dem Registrieren und erneuern.
Hi,
sind diese Server Domänenmitglieder? Im selben Forest wir der DNS-Server?
Dynamisches Update an DNS-Zone auf "nur sichere" eingeschränkt?
E.
sind diese Server Domänenmitglieder? Im selben Forest wir der DNS-Server?
Dynamisches Update an DNS-Zone auf "nur sichere" eingeschränkt?
E.
Hi,
alles ja. Nichts andere als die anderen Servern, außer ein anderer IP-Bereich. Das kommt aber nur beim PTR zum tragen.
alles ja. Nichts andere als die anderen Servern, außer ein anderer IP-Bereich. Das kommt aber nur beim PTR zum tragen.
OK.
Es könnte sein, dass diese Server sich schon lange nicht mehr bei der Domäne gemeldet haben, weil die Firewall das nicht zulässt. Dann wäre das Passwort des Computerkontos abgelaufen und dadurch die Vertrauensstellung zwischen Memberserver und Domäne nicht mehr gegeben. Der Benutzer kann sich dann bloß deshalb noch anmelden, weil der Benutzer schon mal an diesem Server angemeldet war und der Server keinen Kontakt zur Domäne hat.
Wenn der Server sich nicht an der Domäne anmelden kann, dann gilt er beim Versuch des DNS-Updates als "nicht sicher" (Du hast ja "nur sichere" Aktualisierungen erlaubt).
Testen kannst Du das z.B., in dem Du versuchst, Dich mit einem Benutzer an Server anzumelden, welcher noch nie an diesem angemeldet war.
E.
an 2 Windows Servern in unserer DMZ
Dann stell mal sicher, dass sich diese Server selbst an der Domäne anmelden können.Es könnte sein, dass diese Server sich schon lange nicht mehr bei der Domäne gemeldet haben, weil die Firewall das nicht zulässt. Dann wäre das Passwort des Computerkontos abgelaufen und dadurch die Vertrauensstellung zwischen Memberserver und Domäne nicht mehr gegeben. Der Benutzer kann sich dann bloß deshalb noch anmelden, weil der Benutzer schon mal an diesem Server angemeldet war und der Server keinen Kontakt zur Domäne hat.
Wenn der Server sich nicht an der Domäne anmelden kann, dann gilt er beim Versuch des DNS-Updates als "nicht sicher" (Du hast ja "nur sichere" Aktualisierungen erlaubt).
Testen kannst Du das z.B., in dem Du versuchst, Dich mit einem Benutzer an Server anzumelden, welcher noch nie an diesem angemeldet war.
E.
Moin,
ich hatte schon im AD Lastlogon des Computerobjektes kontrolliert. Er war aktuell. Habe mich jetzt auch noch mit einem User angemeldet, der dort noch nie angemeldet war.
Das hatte ich auch schon im Verdacht, dass auf der Firewall die Verbindung zum AD geblockt wird.
ich hatte schon im AD Lastlogon des Computerobjektes kontrolliert. Er war aktuell. Habe mich jetzt auch noch mit einem User angemeldet, der dort noch nie angemeldet war.
Das hatte ich auch schon im Verdacht, dass auf der Firewall die Verbindung zum AD geblockt wird.
Noch ne Idee.
Schau mit ADSIEDIT in die AD-Partition mit den DNS-Zonen-Daten. Ich hatte es schon öfters, dass in der DNS-Konsole bereits gelöschte und in dieser nicht mehr angezeigte Records in der AD-Partition noch als Objekt existierten und deshalb "blockiert" waren.
Je nachdem, wohin diese Zone repliziert wird, findest Du das unter
Wenn in Domäne
DC=ZONENNAME,CN=MicrosoftDNS,CN=DomainDnsZones,DC=domain,DC=tld
Wenn im Forest
DC=ZONENNAME,CN=MicrosoftDNS,CN=ForestDnsZones,CN=Configuration,DC=domain,DC=tld
Wenn in Applikationspartition
DC=ZONENNAME,CN=MicrosoftDNS,DC=PARTITIONNAME,DC=domain,DC=tld
Schau mit ADSIEDIT in die AD-Partition mit den DNS-Zonen-Daten. Ich hatte es schon öfters, dass in der DNS-Konsole bereits gelöschte und in dieser nicht mehr angezeigte Records in der AD-Partition noch als Objekt existierten und deshalb "blockiert" waren.
Je nachdem, wohin diese Zone repliziert wird, findest Du das unter
Wenn in Domäne
DC=ZONENNAME,CN=MicrosoftDNS,CN=DomainDnsZones,DC=domain,DC=tld
Wenn im Forest
DC=ZONENNAME,CN=MicrosoftDNS,CN=ForestDnsZones,CN=Configuration,DC=domain,DC=tld
Wenn in Applikationspartition
DC=ZONENNAME,CN=MicrosoftDNS,DC=PARTITIONNAME,DC=domain,DC=tld
"Leider" sieht das alles gut aus. Die Einträge sind aktuell. Unsere Firewall Admins wollen sich das ganze jetzt noch anschauen. Evtl. wird doch noch etwas geblockt, weil es über einen anderen Weg geht.
Vielleicht gibt es hier noch eine Idee, ansonsten würde ich auf die Firewall warten.
Vielen Dank
Peter
Vielleicht gibt es hier noch eine Idee, ansonsten würde ich auf die Firewall warten.
Vielen Dank
Peter
Welche Einträge sehen OK aus? Es sollten für diese Server doch keine da sein? Oder warum willst Du diese registrieren wenn doch schon vorhanden?
Ich habe sie nachher statisch eingetragen, damit alles funktioniert.
Zum Testen gelöscht, in der ForestDNSZones mittels adsiedit nachgeschaut, dort waren sie nicht sichtbar. Dann wieder ipconfig -registerdns ausgeführt, gleiche Fehlermeldung.
Zum Testen gelöscht, in der ForestDNSZones mittels adsiedit nachgeschaut, dort waren sie nicht sichtbar. Dann wieder ipconfig -registerdns ausgeführt, gleiche Fehlermeldung.
